Defaults.Exposed

Defaults.ExposedOplossingenGuides

E-mail instellen op een nieuw domein: de checklist van 20 minuten voor SPF, DKIM en DMARC (2026)

Gepubliceerd 2026-07-08

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.

Een nieuw domein heeft vier dingen nodig vóór de eerste e-mail: een nulmeting-scan, één SPF-record met uw echte provider, DKIM-ondertekening voor een aangepast domein, en een DMARC-record met rapportage vanaf dag één. De meeste domeinen komen daar nooit: 46,4% (121.145.609 van de 261.086.232 beoordeelde domeinen) heeft helemaal geen SPF, volgens de Defaults.Exposed-census (per 2026-06-29).

Alles publiceren duurt ongeveer 20 minuten: scan voor een nulmeting, voeg één SPF-record toe, schakel de DKIM voor een aangepast domein van uw provider in, publiceer DMARC p=none met een rapportageadres, voeg desgewenst MTA-STS toe, scan dan opnieuw en bewaar het rapport. Wat langer duurt, is wat geen checklist kan bespoedigen — DNS-propagatie en verzendreputatie — en deze gids is eerlijk over beide.

Is 20 minuten echt genoeg?

Voor het publiceren van de records, ja — elke stap hieronder is een DNS-invoer plus een paar klikken in het beheerpaneel van uw provider. Twee dingen duren langer, en net doen alsof dat niet zo is, is precies hoe nieuwe domeinen in spam belanden:

De eerlijke bewering: 20 minuten koopt correct gepubliceerde authenticatie. De volgende paar weken van verstandig verzenden kopen aflevergarantie.

De checklist van 20 minuten

  1. Voer eerst de gratis scan uit op defaults.exposed. Scan het nieuwe domein voordat u aan DNS komt. De beoordeelde nulmeting “niets geconfigureerd” kost seconden om vast te leggen en maakt het na-rapport betekenisvol — u wilt het voor-en-na-paar hebben (stap 6).
  2. Publiceer één SPF-record voor uw daadwerkelijke provider. Precies één TXT-record dat begint met v=spf1, met de include van uw provider erin — bijvoorbeeld v=spf1 include:_spf.google.com ~all voor Google Workspace, of include:spf.protection.outlook.com voor Microsoft 365; als uw DNS bij een registrarpaneel staat, behandelt de GoDaddy-handleiding de eigenaardigheden van de interface. Slechts één record: twee v=spf1-records zijn een permanente fout die SPF volledig ongeldig maakt — de toestand waarin 1.013.416 domeinen vastzitten, ongeveer één op de 138 van de domeinen die SPF proberen (census per 2026-06-29), meestal een restant van een migratie. Voeg geen includes toe “voor de zekerheid”: SPF beperkt DNS-lookups tot 10, en minstens 797.263 domeinen hebben hun record ongeldig gemaakt door dat plafond te doorbreken. En weet wat SPF daadwerkelijk controleert: ontvangers evalueren het tegen het Return-Path-domein (RFC5321.MailFrom) — het bounce-adres — niet de From-header die uw ontvangers zien.
  3. Schakel DKIM-ondertekening voor een aangepast domein in. Uw provider ondertekent mail hoe dan ook; de vraag is welk domein de handtekening noemt. Totdat u deze stap voltooit, ondertekent Google Workspace met de standaard gappssmtp.com en Microsoft 365 met onmicrosoft.com — handtekeningen die DKIM doorstaan maar niet aligneren met uw domein, dus DMARC faalt nog steeds. Genereer de sleutel in het beheerpaneel en publiceer wat de provider geeft: een 2048-bits TXT-record voor Google, twee CNAME’s (selector1/selector2) voor Microsoft 365. Past een record niet in uw DNS-paneel, zie dan repareer DKIM — lange sleutels die door interfaces worden verhaspeld zijn een klassieker.
  4. Publiceer DMARC vanaf dag één — p=none met een rapportageadres. Eén TXT-record bij _dmarc.yourdomain.com: v=DMARC1; p=none; rua=mailto:[email protected]. Wees duidelijk over wat dit doet: p=none beschermt nog niets — het is monitoringmodus. Maar het kost niets, en geaggregeerde rapporten dekken vervolgens de verzendgeschiedenis van uw domein vanaf het allereerste bericht. Gevestigde domeinen besteden weken van rapportage aan het ontdekken van afzenders die ze vergeten waren te hebben; u koopt dat inzicht gratis, vanaf dag nul. Zie repareer DMARC voor de opbouw van het record.
  5. Optioneel maar goedkoop op een nieuw domein: MTA-STS en TLS-RPT. MTA-STS vertelt verzendende servers dat uw domein TLS vereist voor inkomende mail (een DNS-record plus een klein gehost beleidsbestand); TLS-RPT rapporteert versleutelingsfouten bij aflevering. Op een gevestigd domein vergen deze zorgvuldigheid; op een nieuw domein met één mailprovider is er niets te breken, en mode: testing is vrijwel risicoloos. Stel ze nu in of sla ze over — maar beslis, laat het niet aanmodderen.
  6. Scan opnieuw en bewaar het rapport. Voer de scan opnieuw uit — SPF, DKIM en DMARC moeten allemaal groen tonen. Bewaar het beoordeelde rapport: gedateerd bewijs van de status van het domein bij lancering, en precies wat een verzekeraar of klantvragenlijst zal vragen.

Hoeveel domeinen voltooien deze checklist daadwerkelijk?

Heel weinig — en de meeste vallen al bij de eerste horde. Van de 261.086.232 domeinen die in de Defaults.Exposed-census zijn beoordeeld (per 2026-06-29):

Checklist-mijlpaalCensuswerkelijkheid (van 261.086.232 beoordeelde domeinen, per 2026-06-29)
Stap 2 — publiceer een willekeurig SPF-record46,4% doet het nooit: 121.145.609 domeinen hebben helemaal geen SPF
Stap 4+ — DMARC met een handhavend beleid10,59% (27.640.987 domeinen); 89,41% heeft geen gehandhaafd beleid
De volledige trits — SPF + DKIM + gehandhaafde DMARC3,87% (10.092.481 domeinen)

De 20 minuten die deze pagina beschrijft, zetten een gloednieuw domein voor op ongeveer 96% van het internet wat betreft de volledige trits. Het SPF-volwassenheidsmodel behandelt elke trede van die ladder.

Hoe snel kan een nieuw domein p=reject bereiken?

Weken, geen maanden — het echte voordeel van fris beginnen. Wat DMARC-handhaving traag maakt op gevestigde domeinen, is erfenis: de vergeten CRM-connector, de facturatietool die iemand in 2019 aansloot, het nieuwsbriefplatform dat niemand documenteerde. Elk moet worden gevonden in de rapporten en gerepareerd voordat het beleid kan worden aangescherpt — vandaar de gebruikelijke uitrol van maanden.

Een nieuw domein heeft geen erfenisafzenders: u hebt elke verzendbron zelf geconfigureerd, deze week, en de rapporten van stap 4 zullen dat bevestigen. Draai p=none twee tot vier weken voor echte verzending, controleer of de rapporten alles dekken wat u daadwerkelijk gebruikt (postvakken, facturen, kwitanties, het contactformulier van de website), verhuis dan naar p=quarantine en vervolgens naar p=reject zodra ze schoon draaien. De gefaseerde mechaniek — pct-opbouw, subdomeinbeleid, waar u op moet letten — staat in van p=none naar p=reject; op een nieuw domein doorloopt u ze in sneltreinvaart, naar een plek die slechts 10,59% van de beoordeelde domeinen heeft bereikt.

Hoe zit het met het oude domein dat u vervangt?

Als dit nieuwe domein deel uitmaakt van een rebranding, is het domein dat u achterlaat nu uw grootste e-mailrisico: nog steeds van u, nog steeds vertrouwd door tegenpartijen, niet langer in de gaten gehouden. Verlaat het niet — sluit het expliciet af. Dat is zijn eigen korte klus: dat oude domein van uw rebranding is een deur die u hebt laten openstaan.

Veelgestelde vragen

Kan ik deze records publiceren voordat ik een mailprovider kies? DMARC, ja — p=none met rua is provideronafhankelijk, dus publiceer het op de dag dat u registreert. SPF heeft de include van uw provider nodig; totdat u er een hebt gekozen, publiceer v=spf1 -all (niets is geautoriseerd om te versturen) en vervang dat in stap 2. Dat is strikt beter dan de geen-record-toestand waarin 121.145.609 domeinen zich bevinden (46,4% van 261.086.232 beoordeeld, per 2026-06-29).

Heb ik DKIM nodig als SPF al slaagt? Ja. SPF breekt met opzet bij doorsturen, en het valideert het Return-Path-domein, dat voor veel tools niet het uwe is — gealigneerde DKIM is het onderdeel dat beide overleeft. Slechts 3,87% van de beoordeelde domeinen voltooit de volledige trits SPF+DKIM+gehandhaafde-DMARC (census per 2026-06-29); DKIM is de stap die de meeste afhakers overslaan. Begin bij repareer DKIM als de scan het markeert.

Moet een nieuw domein ~all of -all gebruiken? Op een gevestigd domein is ~all de voorzichtige keuze terwijl u vergeten afzenders opspoort. Een nieuw domein heeft er geen om te vinden: zodra de include van uw provider erin staat en DKIM ondertekent, is -all veel eerder veilig. Wilt u riem en bretels? Bevestig het eerst met twee schone weken DMARC-rapporten.

Alle drie de records slagen — waarom gaat mijn mail toch nog naar spam? Omdat authenticatie en reputatie verschillende dingen zijn: geslaagde records betekenen dat ontvangers kunnen verifiëren dat de mail van u is, niet dat ze u al vertrouwen. Nieuwe domeinen verdienen vertrouwen door consistente, gewenste mail met laag volume te versturen en geleidelijk op te bouwen. Als mail controles niet doorstaat in plaats van gewoon in spam te belanden, begin dan bij repareer SPF en werk de scanresultaten af.

Stuur de eigenaar het rapport

Stelt u dit domein in voor een klant, sluit de klus dan af met bewijs. Voer de gratis scan opnieuw uit na stap 6 en stuur het beoordeelde rapport door naar de bedrijfseigenaar: SPF, DKIM en DMARC geslaagd, in gewone taal, gedateerd bij lancering. Het is het bewijsstuk dat ze nodig zullen hebben voor de cyberverzekeringsverlenging en de volgende beveiligingsvragenlijst van een leverancier — en het bewijst dat het domein aan zijn leven begon zoals 96% van het internet nooit voor elkaar krijgt.

Controleer uw domein → · Van p=none naar p=reject zonder legitieme e-mail te verliezen → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.