Dedicate-IT — IT-diensten voor bedrijven
Microsoft 365

E-mailbeveiliging met Microsoft 365: SPF, DKIM en DMARC instellen

Door Dedicate-IT · 10 november 2025

E-mailfraude is een van de meest voorkomende vormen van cybercriminaliteit. Criminelen sturen e-mails die lijken te komen van uw bedrijfsdomein — aan klanten, leveranciers of medewerkers. Met drie DNS-records — SPF, DKIM en DMARC — maakt u dit een stuk moeilijker.

SPF: wie mag e-mail versturen namens uw domein?

SPF (Sender Policy Framework) is een DNS-record dat aangeeft welke servers e-mail mogen versturen vanuit uw domein. Een ontvangende mailserver controleert of de verzendende server op de SPF-lijst staat.

Voor Microsoft 365 ziet een SPF-record er zo uit:

v=spf1 include:spf.protection.outlook.com -all

Dit vertelt: alleen Microsoft 365-servers mogen e-mail versturen vanuit dit domein. De -all aan het einde betekent: alles wat niet op de lijst staat, wordt afgewezen.

DKIM: digitale handtekening onder elke e-mail

DKIM (DomainKeys Identified Mail) voegt een digitale handtekening toe aan elke uitgaande e-mail. De ontvanger kan via het DNS-record controleren of de e-mail daadwerkelijk van uw domein komt en niet is gemanipuleerd.

In Microsoft 365 schakelt u DKIM in via het Microsoft Defender-portal → E-mail & samenwerking → Beleidsregels → DKIM. Vervolgens worden twee CNAME-records aangemaakt in uw DNS.

DMARC: wat gebeurt er als SPF of DKIM faalt?

DMARC (Domain-based Message Authentication) koppelt SPF en DKIM aan elkaar en bepaalt wat er moet gebeuren met e-mails die de controles niet doorstaan.

Een eenvoudig DMARC-record:

v=DMARC1; p=quarantine; rua=mailto:dmarc@uwbedrijf.nl

  • p=none: niets doen, alleen rapporteren (geschikt om te beginnen)
  • p=quarantine: verdachte e-mail naar spam
  • p=reject: verdachte e-mail volledig weigeren (sterkste beveiliging)

Begin altijd met p=none, analyseer de rapporten, en versterk pas daarna naar quarantine of reject.

Volgorde van implementatie

1. Stel SPF in → direct effect

2. Activeer DKIM via Microsoft 365

3. Voeg DMARC toe met p=none

4. Analyseer DMARC-rapporten (gratis tools: MXToolbox, DMARC Analyzer)

5. Verscherp DMARC-beleid naar p=quarantine of p=reject

Conclusie

SPF, DKIM en DMARC zijn verplichte basismaatregelen voor elke zakelijke e-mailomgeving. Dedicate-IT configureert deze records correct voor uw domein en Microsoft 365-omgeving.

Terug naar kennisbank

Meer weten of hulp nodig?

Onze specialisten helpen u graag. Bel ons direct of stuur een bericht.

085 - 301 6665Contact opnemen