Defaults.Exposed › Oplossingen › Guides
Mailchimp-, Brevo- of Klaviyo-e-mails falen op DMARC? Zet echte domeinauthenticatie aan (2026)
Gepubliceerd 2026-07-08
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.
Nieuwsbriefplatforms falen op DMARC wanneer ze “vanaf” uw domein verzenden zonder zich als uw domein te authenticeren. De oplossing is de custom domeinauthenticatie van het platform — zijn DKIM-CNAME’s, plus een custom bouncedomein waar dat wordt aangeboden. Het gat is normaal: van de 740.321 domeinen die SendGrid autoriseren, handhaaft slechts 18,0% DMARC, volgens de Defaults.Exposed-census van 261.086.232 domeinen (2026-06-29).
De oplossing bestaat uit een paar DNS-records en tien minuten in de instellingen van uw platform. Hieronder: waarom de gedeelde authenticatie van het platform in februari 2024 ophield genoeg te zijn, welke schakelaar u omzet in Mailchimp, Brevo, Klaviyo en SendGrid, en de reparatiestappen in volgorde — inclusief het afscheid van een freemail-From-adres, dat door geen enkel DNS-record te redden is.
Waarom falen nieuwsbriefmails op DMARC terwijl het platform zegt dat alles geverifieerd is?
Omdat het platform zichzelf heeft geauthenticeerd, niet u. Standaard verzendt een ESP uw campagnes met zijn eigen bouncedomein in de Return-Path, en ondertekent het DKIM vaak ook met zijn eigen domein. Ontvangende mailservers evalueren SPF tegen het Return-Path-domein (RFC5321.MailFrom), niet de From-header, dus SPF slaagt keurig… voor het domein van het platform.
DMARC interesseert het niet of SPF of DKIM in abstracte zin slaagde. Het vraagt of een van beide slaagde voor het domein in uw From-adres — die match heet alignment. De SPF-pass van de ESP staat op zijn bouncedomein, niet het uwe; zonder custom-domein-DKIM staat zijn handtekening op zijn domein, niet het uwe. Niets lijnt uit, dus uw From-domein faalt op DMARC — terwijl het dashboard van het platform groene vinkjes toont, want vanuit zijn perspectief werkt de authenticatie. Custom domeinauthenticatie aanzetten (DKIM ondertekend als uw domein) is de hele oplossing. Voor de volledige alignment-mechaniek, zie DMARC faalt maar SPF en DKIM slagen.
Wat veranderde er in februari 2024?
Google en Yahoo begonnen eisen aan bulkverzenders te handhaven: uitgelijnde authenticatie voor het From-domein, een gepubliceerd DMARC-beleid, one-click afmelden en limieten op de spamratio. De sluiproute via gedeelde infrastructuur — meeliften op de authenticatie van de ESP, verzenden vanaf wat dan ook — hield op te werken. Twee gevolgen voor nieuwsbriefverzenders:
- Elke serieuze ESP dringt nu aan op custom domeinauthenticatie, omdat campagnes zonder in de spam belandden of ronduit bounceten (de Gmail-variant is 550-5.7.26).
- Freemail-From-adressen zijn dood voor bulk. U kunt geen campagnes meer verzenden vanaf
[email protected]via een ESP: freemaildomeinen publiceren strikte DMARC-beleidsregels, uw ESP kan daar nooit mee uitlijnen, en ontvangende servers weigeren de boel of gooien alles in de spam. U hebt uw eigen domein in het From-adres nodig — er is geen omweg.
De volledige set eisen staat in ons data-artikel over de afzendereisen van Google en Yahoo.
Hoe heet de schakelaar in Mailchimp, Brevo, Klaviyo en SendGrid?
Elk platform heeft dezelfde functie onder een andere naam. Wat het altijd oplevert is een klein setje CNAME-records voor uw DNS — daaraan herkent u het, wat het menu ook zegt.
| Platform | Naam van de functie (bij benadering) | Wat u aan DNS toevoegt | Opmerkingen |
|---|---|---|---|
| Mailchimp | Domain authentication | DKIM-CNAME’s (k2._domainkey, k3._domainkey) | Alleen DKIM-alignment — Mailchimp gebruikt geen SPF-include meer; voeg er geen toe |
| Brevo | Authenticate your domain | DKIM-CNAME-set + verificatierecord | Controleer de actuele recordset in de documentatie van Brevo bij het instellen |
| Klaviyo | Dedicated sending domain | DKIM-CNAME’s + bounce-subdomein (Return-Path) | Het dedicated domein geeft u ook SPF-alignment |
| SendGrid | Domain authentication (automated security) | CNAME-set (DKIM + return-path) | Geen SPF-include nodig — de CNAME’s dekken het af |
Twee patronen die het opmerken waard zijn. Ten eerste wil geen van deze platforms een include: toegevoegd aan uw SPF-record — moderne ESP-authenticatie is CNAME-gedelegeerd, en een achtergebleven include verbrandt alleen DNS-lookup-budget. Ten tweede is CNAME-delegatie een feature: het platform roteert zijn DKIM-sleutels achter de gedelegeerde namen zonder dat u DNS nog hoeft aan te raken.
Hoe lost u DMARC-fouten bij nieuwsbrieven op, stap voor stap?
- Voer de gratis scan uit op defaults.exposed voordat u DNS aanraakt. Die toont de live SPF-, DKIM- en DMARC-status van uw domein, zodat u het alignment-gat ziet dat u gaat dichten.
- Zet custom domeinauthenticatie aan in het platform (tabel hierboven). Het genereert CNAME-records die specifiek zijn voor uw account.
- Voeg de CNAME’s exact zoals opgegeven toe aan uw DNS. De klassieke fout: DNS-panelen die automatisch uw zone eraan plakken en zo van
k2._domainkey.yourdomain.comk2._domainkey.yourdomain.com.yourdomain.commaken. Plak alleen het hostgedeelte als uw paneel het domein zelf toevoegt. Meldt het platform later “no key for signature”, dan is het selector-record niet geland — zie DKIM “no key for signature”. - Stel het custom bouncedomein (Return-Path) in waar het platform er een aanbiedt. Dit lijnt ook de SPF-kant uit, waardoor DMARC op twee manieren kan slagen. Waar het niet wordt aangeboden (Mailchimp) is uitgelijnde DKIM alléén een volwaardige DMARC-pass — één uitgelijnde kant is alles wat DMARC vereist.
- Verplaats uw From-adres naar uw eigen domein als het nog op freemail staat.
[email protected], niet[email protected]. Een vereiste, geen voorkeur. - Verifieer in het platform en scan daarna opnieuw. Wacht tot de controle van het platform op groen springt (DNS kan minuten tot enkele uren duren), stuur uzelf een campagne en controleer of de headers laten zien dat DKIM door uw domein is ondertekend. Werk daarna alles af wat verder wordt gesignaleerd op de pagina repareer DMARC — heeft uw domein helemaal geen DMARC-record, dan is dat het volgende kwartiertje werk.
Hoeveel nieuwsbriefverzenders hebben dit daadwerkelijk op orde?
De census leest het af aan de DNS-kant: per platform, hoeveel domeinen het autoriseren — en hoeveel daarvan het domein beschermen dat het verzenden doet, volgens de Defaults.Exposed-census van 261.086.232 domeinen (2026-06-29).
| Platform (SPF-target) | Domeinen die het autoriseren | DMARC gehandhaafd |
|---|---|---|
SendGrid (sendgrid.net) | 740.321 | 18,0% |
Mailgun (mailgun.org) | 1.306.692 | 35,9% |
Amazon SES (amazonses.com) | 551.446 | 41,9% |
Gegevens per de census van 2026-06-29. “DMARC gehandhaafd” = het autoriserende domein publiceert p=quarantine of p=reject.
Zelfs bovenaan de tabel laten de meeste verzenders op professionele platforms het domein onbeschermd: 41,9% van de 551.446 domeinen die Amazon SES autoriseren handhaaft DMARC, 35,9% van Mailguns 1.306.692 — en slechts 18,0% van SendGrids 740.321. De infrastructuur is professioneel; de domeinbescherming meestal niet. De volledige providerranglijst — inclusief mailboxproviders — staat in welke e-mailprovider heeft de sterkste SPF.
Veelgestelde vragen
Moet ik Mailchimp aan mijn SPF-record toevoegen?
Nee — en doe het ook niet. Mailchimp gebruikt uitsluitend DKIM-alignment via zijn k2/k3-CNAME’s en publiceert geen SPF-include meer voor klanten. Een oude include:servers.mcsv.net doet niets voor DMARC en verspilt DNS-lookup-budget; de uitgelijnde kant is hier DKIM.
Haalt domeinauthenticatie mijn nieuwsbrieven uit de spammap? Het neemt de grootste oorzaak weg — niet-uitgelijnde mail op een domein met een DMARC-beleid — en het is een harde eis van de Google/Yahoo-regels. Het lost geen lijstkwaliteitsproblemen op: hoge klachtenpercentages en ontbrekende one-click afmelding houden mail in de spam, zelfs als de authenticatie perfect is. Repareer eerst de authenticatie; dat is het deel met een eenduidig antwoord.
Kan ik campagnes blijven verzenden vanaf mijn @gmail.com-adres? Nee. Freemailproviders publiceren strikte DMARC-beleidsregels, juist zodat niemand anders als hen kan verzenden, en uw ESP kan nooit uitlijnen met gmail.com. Sinds februari 2024 wordt die mail op grote schaal geweigerd of in de spam gegooid. Een From-adres op uw eigen domein is de enige route.
Ik heb domeinauthenticatie aangezet — waarom faalt DMARC nog steeds? Meestal een van drie dingen: de CNAME’s zijn verhaspeld door een DNS-paneel dat de zone eraan plakt (stap 3), het From-domein van de campagne komt niet overeen met het domein dat u hebt geauthenticeerd, of een andere verzendbron faalt naast de nieuwsbrief. Van alle 261.086.232 domeinen in de census van 2026-06-29 handhaaft überhaupt maar 10,59% DMARC — doet het uwe dat wel, dan bent u er bijna; scan opnieuw en lees af welke kant niet uitlijnt.
Geldt dit ook voor kleine lijsten, onder de 5.000 e-mails per dag? De strengste drempels gelden formeel voor bulkverzenders, maar ontvangende servers passen de authenticatiebasis op iedereen toe, en ESP’s vereisen domeinauthenticatie inmiddels ongeacht het volume. Behandel het als verplicht: het zijn een paar DNS-records, en het voorkomt dat uw campagnes stukgaan op de dag dat uw lijst groeit.
Stuur de eigenaar het rapport
Repareert u dit voor een klant — of bent u eigenaar van de nieuwsbrief maar niet van de DNS — maak het werk dan af met bewijs. Voer de gratis scan opnieuw uit zodra de CNAME’s geland zijn en stuur het beoordeelde rapport door naar de bedrijfseigenaar: gewone taal, gedateerd, DMARC-alignment gerepareerd. Het is het document dat de cyberverzekeringsverlenging en de volgende beveiligingsvragenlijst van een klant beantwoordt — een gedocumenteerd voor-en-na, niet “ik heb wat knoppen aangeklikt in Mailchimp”.
Controleer uw domein → · DMARC faalt maar SPF en DKIM slagen → · Repareer DMARC → · Repareer DKIM → · Hoe wij beoordelen → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.