Defaults.Exposed › Oplossingen › Guides
DKIM slaagt maar DMARC faalt: de standaardhandtekening-val van gappssmtp.com / onmicrosoft.com (2026)
Gepubliceerd 2026-07-08
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.
Uw mail slaagt voor DKIM met de standaardhandtekening van de provider — d= eindigend op gappssmtp.com (Google Workspace) of onmicrosoft.com (Microsoft 365) — maar dat domein komt niet overeen met uw From-domein, dus DMARC krijgt geen gealigneerde pass. Schakel ondertekening met uw eigen domein in om dit op te lossen. Van de 12.145.313 domeinen die de mailservers van Google autoriseren, handhaaft slechts 18,5% DMARC, volgens de Defaults.Exposed-census van 261.086.232 beoordeelde domeinen.
De oplossing is een van de schoonste in e-mailauthenticatie: zet DKIM-ondertekening met uw eigen domein aan. Op Google Workspace is dat het scherm “Authenticate email” in de Admin console — genereer de sleutel, publiceer één TXT-record, zet hem aan. Op Microsoft 365 is het de DKIM-pagina van de Defender-portal — publiceer twee selector-CNAME’s, schakel in. Twintig minuten werk, en DMARC krijgt eindelijk de gealigneerde pass waarop het zat te wachten.
Waarom slaagt DKIM maar faalt DMARC alsnog?
Omdat DMARC niet vraagt “is er een geldige DKIM-handtekening?” — het vraagt “is er een geldige DKIM-handtekening voor het domein in de From-header?” Die tweede voorwaarde heet alignment, en het is de hele essentie van DMARC: bewijzen dat het domein dat uw ontvanger ziet het domein is dat heeft ondertekend.
Standaard ondertekent Google Workspace uw mail met een domein als yourdomain-com.20230601.gappssmtp.com (de datumstempel verschilt per domein) en ondertekent Microsoft 365 met yourtenant.onmicrosoft.com. Beide handtekeningen zijn cryptografisch geldig — DKIM-checkers zeggen pass — maar het d=-domein is van Google of Microsoft, niet van u. Zelfs onder de relaxed alignment van DMARC, die alleen vereist dat de organisatiedomeinen overeenkomen, is gappssmtp.com niet yourdomain.com. Geen match, geen gealigneerde pass, en als SPF ook niet aligneert (dat kan het vaak niet — ontvangende servers evalueren SPF tegen het Return-Path-domein, niet de From-header, en doorsturen breekt het volledig), dan faalt DMARC.
Dit is de kenmerkende val van providerstandaarden: de standaard geeft u bezorgbaarheid, geen bescherming — alignment is de ontbrekende slag van de sleutel. De census laat zien hoeveel afzenders bij de standaard blijven steken: van de 12.145.313 domeinen die de mailservers van Google autoriseren via _spf.google.com (van 138.927.207 SPF-publiceerders wereldwijd), handhaaft slechts 18,5% DMARC. Het beeld bij Microsoft heeft dezelfde vorm: 10.205.070 domeinen autoriseren spf.protection.outlook.com, 85,0% draagt het strikte SPF-record dat de M365-setup ze aanreikt — en slechts 21,7% handhaaft DMARC. De volledige vergelijking staat in onze SPF-ranglijst van e-mailproviders.
De val is onzichtbaar in het dagelijks gebruik: mail komt aan, inboxtests zien er prima uit, niets geeft een fout — totdat u een DMARC-beleid publiceert en uw eigen mail eraan begint te falen. Onze gratis scan legt precies deze kloof bloot.
Hoe herkent u de standaardhandtekening-val in Authentication-Results?
Open een bericht dat u hebt verzonden (naar een Gmail- of Outlook-mailbox), bekijk de originele/onbewerkte bron en zoek de Authentication-Results-header. Het verklikkersignaal is een DKIM-pass met de verkeerde d= — een door Gmail ontvangen voorbeeld ziet er zo uit:
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass smtp.mailfrom=yourdomain.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com
Lees hem als drie vragen:
| Headerfragment | Wat het betekent | Oordeel |
|---|---|---|
dkim=pass header.d=yourdomain.com | Handtekening geldig ÉN komt overeen met uw From-domein | Gealigneerd — dit is het doel |
dkim=pass header.d=…gappssmtp.com of …onmicrosoft.com | Handtekening geldig, maar het is het standaarddomein van de provider — DMARC negeert hem voor alignment | De val: pass zonder bescherming |
dkim=fail (elke d=) | Handtekening ongeldig — een ander probleem | Zie hoe u DKIM repareert |
Bij door Microsoft ontvangen mail verschijnt hetzelfde verhaal als dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com naast compauth=fail — het patroon dat wordt behandeld in de gids voor Outlook-weigeringen.
Toont uw header in plaats daarvan zowel dkim=pass als spf=pass met een DMARC-fail, dan zit u in het bredere alignmentgeval — de gids DMARC faalt maar SPF en DKIM slagen loopt relaxed vs. strict alignment volledig door.
Hoe schakelt u DKIM-ondertekening met uw eigen domein in?
- Voer de gratis scan uit op defaults.exposed voordat u iets aanraakt. Die laat zien of uw domein gealigneerde DKIM heeft, wat uw DMARC-beleid werkelijk is, en of iets anders (SPF, de syntaxis van het DMARC-record) u na deze fix nog zal blokkeren — zodat u de hele klus in één keer doet.
- Stel vast met welke standaard u ondertekent. Controleer
header.d=in Authentication-Results zoals hierboven:gappssmtp.combetekent de Google Workspace-standaard,onmicrosoft.comde Microsoft 365-standaard. - Google Workspace: genereer en publiceer uw eigen sleutel. Ga in de Admin console naar Apps → Google Workspace → Gmail → Authenticate email, selecteer uw domein en klik op Generate New Record (2048-bit, tenzij uw DNS-host dat niet kan opslaan). Publiceer het TXT-record dat u krijgt op
google._domainkey.yourdomain.com, wacht op DNS (tot 48 uur), en dan — de stap die mensen missen — klik op Start authentication. Het record genereren doet niets totdat u de ondertekening aanzet. Volledige walkthrough: DKIM instellen op Google Workspace. - Microsoft 365: publiceer de twee selector-CNAME’s en schakel in. Ga in de Defender-portal naar Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, selecteer uw eigen domein en maak de sleutels aan. Publiceer beide CNAME’s —
selector1._domainkeyenselector2._domainkey, wijzend naar de doelen die Microsoft u toont (kopieer de exacte doelen uit de portal — domeinen die vóór mei 2025 zijn ingeschakeld eindigen op het.onmicrosoft.comvan uw tenant; nieuwere eindigen op.dkim.mail.microsoft) — en zet de ondertekening daarna aan. Twee selectors is niet optioneel: Microsoft roteert sleutels tussen beide. Volledige walkthrough: DKIM instellen op Microsoft 365. - Controleer de nieuwe handtekening. Stuur een vers bericht naar een externe mailbox en controleer Authentication-Results opnieuw:
dkim=passmoet nuheader.d=yourdomain.comtonen. Als uw DNS-paneel automatisch uw zone aan het CNAME-doel heeft geplakt of de lange TXT-waarde heeft verhaspeld, schakelt de handtekening niet om — paneelgrillen, niet de provider, veroorzaken hier de meeste mislukkingen. - Scan opnieuw en doe iets met de gealigneerde pass. Bevestig dat de scan gealigneerde DKIM toont, en gebruik hem vervolgens: een DMARC-beleid op
p=nonebeschermt niets. Over alle 261.086.232 beoordeelde domeinen handhaaft slechts 10,59% DMARC (gegevens per 2026-06-29) — gealigneerde DKIM is wat handhaving veilig maakt om aan te draaien. Begin bij hoe u DMARC repareert.
Breekt het inschakelen van eigen DKIM iets?
Nee — dit is de zeldzame e-mailauthenticatiefix zonder noemenswaardige explosieradius: mail die met de standaardhandtekening vertrok, vertrekt simpelweg met een betere, en de provider blijft de sleutels beheren (Microsoft roteert automatisch over de twee selectors). De echte faalwijze is het half doen — Googles TXT publiceren maar nooit op Start authentication klikken, of één M365-selector publiceren in plaats van beide. En verwijder de DNS-records later niet “om op te ruimen”; de ondertekening stopt op het moment dat de sleutel verdwijnt.
Eén kanttekening over de reikwijdte: dit repareert mail die via Google of Microsoft wordt verzonden. Nieuwsbrieftools en CRM’s ondertekenen ook met hun eigen standaarden, en elk daarvan heeft zijn eigen DKIM met uw domein nodig — dat patroon, en de Gmail-bulkafzenderregels die het nu eisen, worden behandeld in de 550-5.7.26-gids.
Veelgestelde vragen
DKIM toont “pass” op elke testtool — waarom moet er dan iets gerepareerd worden?
Omdat de tools een smallere vraag beantwoorden dan DMARC stelt. De handtekening is geldig — maar hij is van gappssmtp.com of onmicrosoft.com, niet van u, dus hij telt voor niets in DMARC-alignment. Daarom blijven zoveel afzenders bij de standaard steken: van 12.145.313 Google-autoriserende domeinen handhaaft slechts 18,5% DMARC (gegevens per 2026-06-29).
Laat relaxed DMARC-alignment de standaardhandtekening slagen?
Nee. Relaxed alignment versoepelt de match alleen tot organisatiedomeinen — mail.yourdomain.com aligneert met yourdomain.com. Het organisatiedomein van de standaardhandtekening is gappssmtp.com of onmicrosoft.com, dat niets met het uwe deelt. Geen enkele alignmentmodus redt een d= van een derde partij.
Is de gappssmtp.com / onmicrosoft.com-handtekening slecht? Moet ik hem verwijderen? Hij is niet slecht — hij zorgt dat uw mail een geldige handtekening draagt, wat helpt bij spamfiltering. Hij is alleen niet van u. U verwijdert hem niet; u vervangt hem door ondertekening met uw eigen domein in te schakelen.
Mijn domein zit op Microsoft 365 met strikte SPF — ben ik dan al gedekt?
Waarschijnlijk niet: dat strikte record is de M365-standaard die zijn ene taak doet. Van 10.205.070 domeinen die spf.protection.outlook.com autoriseren, heeft 85,0% strikte SPF maar handhaaft slechts 21,7% DMARC (gegevens per 2026-06-29). SPF breekt bovendien bij doorsturen, omdat het wordt geëvalueerd tegen de Return-Path in plaats van de From-header — gealigneerde DKIM is het been dat overeind blijft, en precies daarom doet deze fix ertoe.
Hoe lang duurt de fix? Het consolewerk is minuten per provider. DNS is het wachten: Google zegt tot 48 uur te rekenen voordat u de authenticatie start; de CNAME’s van Microsoft zijn meestal binnen enkele uren live. Reken op één werkdag van begin tot eind, grotendeels wachten.
Stuur de eigenaar het rapport
Repareert u dit voor een klant of uw werkgever, sluit de cirkel dan met bewijs. Voer de gratis scan opnieuw uit zodra de nieuwe handtekening live is en stuur het beoordeelde rapport door naar de bedrijfseigenaar: gedateerd, in gewone taal, met DKIM gealigneerd met hun domein. Dat is het bewijsstuk voor de cyberverzekeringsverlenging en de volgende beveiligingsvragenlijst van leveranciers — bewijs dat het domein zich als zichzelf authenticeert, niet als onderhuurder van gappssmtp.com.
Controleer uw DKIM-alignment gratis
Zie of uw mail ondertekent als uw eigen domein — en precies wat u moet repareren — privé en alleen voor de eigenaar.
Controleer uw domein → · DMARC faalt maar SPF en DKIM slagen → · Repareer DKIM → · DKIM instellen op Google Workspace → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.