Voorkomen van spam

Het voorkomen van spam is dus een continue gevecht. Spammers weten altijd weer manieren te vinden om de spamfilters te slim af te zijn. Deze blog gaat daarover.

Waarom e-mails soms in de junkmail folder terechtkomen als spam (en hoe dit te voorkomen)

Veel organisaties en particulieren ervaren dat hun e-mails onterecht in de junkmail folder belanden. Dit is dus frustrerend en kan zorgen dat belangrijke berichten niet aankomen of niet worden gelezen. Er zijn verschillende oorzaken waarom een e-mail als spam wordt gezien, zoals spamfilters die automatisch e-mails beoordelen op basis van verschillende criteria. In deze blog leggen we uit hoe belangrijke systemen als Microsoft Outlook SafeScreen en Gmail spamfilters werken, en hoe je met technische maatregelen zoals SPF, DKIM en DMARC de kans vergroot dat je e-mails in de inbox komen.

Daarnaast bespreken we hoe je de sender reputatie verbetert, waarom blacklists zoals Barracuda een rol spelen en hoe je DKIM correct instelt in Exchange Online. Tot slot. Met deze kennis kun je de aflevering van je e-mails optimaliseren en frustraties voorkomen.

1. Microsoft Outlook (SafeScreen), junkmail filter en Safe Sender List om spam mails te voorkomen

Microsoft Outlook en Office 365 gebruiken een geavanceerd filtersysteem dat bekendstaat als SafeScreen om spam mails te voorkomen. SafeScreen werkt dus met machine learning en diverse algoritmen om te bepalen of een e-mail mogelijk spam is. Dit gebeurt op basis van het zogenaamde Spam Confidence Level (SCL), een score die bepaalt waar een e-mail wordt afgeleverd: in de inbox, in de junkmail of soms zelfs helemaal geblokkeerd. SafeScreen kijkt onder andere naar het afzendadres, de inhoud van het bericht, en of de afzender bekendstaat als betrouwbaar.

De message header van een bericht ziet er dan als volgt uit.

Message-ID:
 <DB4PR10MB6094F1F214C8011B2B533A22C173A@DB4PR10MB6094.EURPRD10.PROD.OUTLOOK.COM>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-Exchange-Organization-SCL: 1
X-MS-TNEF-Correlator:
 <DB4PR10MB6094F1F214C8011B2B533A22C173A@DB4PR10MB6094.EURPRD10.PROD.OUTLOOK.COM>
msip_labels:
MIME-Version: 1.0

Meer informatie over de SCL scores vind je hier.

Gebruikers hebben daarnaast de mogelijkheid om adressen en domeinen toe te voegen aan een Safe Sender List. Dit helpt ook om spam mails te voorkomen. Door een afzender hieraan toe te voegen, geef je aan dat e-mails van deze afzender nooit als spam gemarkeerd mogen worden. Dit helpt voorkomen dat legitieme berichten onterecht in de junkmap belanden.

Gmail werkt op een vergelijkbare manier, met een eigen spamfilter dat voortdurend leert van gebruikersfeedback en gedrag. Ook Gmail biedt de mogelijkheid om e-mailadressen of domeinen toe te voegen aan een whitelist, waardoor ze als veilig worden beschouwd.

Toch zijn deze filters niet perfect en kunnen fouten voorkomen. Daarom is het cruciaal om technische maatregelen te treffen aan de zenderkant, zoals het correct instellen van SPF, DKIM en DMARC, en te zorgen voor een goede sender reputatie. Zo verklein je de kans dat je e-mails in de spamfolder belanden.

Omgaan met ongewenste e-mail in Outlook Web

In Outlook Web (https://outlook.office.com) kun je op verschillende manieren grip krijgen op ongewenste e-mail (junk mail) en phishingpogingen. Hieronder lees je hoe je veilig en effectief omgaat met deze berichten.

Junk Mail-folder controleren

• Ga in Outlook Web naar je Postvak IN.
• Klik aan de linkerkant op de Junk-E-mail-map.
• Controleer regelmatig of hier per ongeluk legitieme berichten terecht zijn gekomen.
• Klik met de rechtermuisknop op een bericht en kies Niet ongewenst om het terug te zetten naar je inbox. Outlook leert hiervan.

Afzenders toevoegen aan veilige lijst

Wil je voorkomen dat berichten van een bepaalde afzender in de Junk-folder komen?

• Open een e-mail van de gewenste afzender.
• Klik op de drie puntjes (•••) rechtsboven in het berichtvenster.
• Kies Afzender toevoegen aan veilige afzenders.
• Alternatief: Ga naar Instellingen (tandwiel rechtsboven) > Alle Outlook-instellingen weergeven > E-mail > Junk-e-mail. Voeg daar handmatig e-mailadressen of domeinen toe aan de lijst met veilige afzenders.

Afzenders blokkeren

Last van steeds terugkerende spam van een bepaald adres?

• Klik met de rechtermuisknop op het bericht of open het bericht.
• Kies Afzender blokkeren.
• De afzender wordt automatisch toegevoegd aan je geblokkeerde lijst, en toekomstige berichten worden naar de Junk-map gestuurd.

Phishing melden om spam mail te voorkomen

Phishing e-mails doen zich vaak voor als betrouwbare afzenders zoals banken of overheidsdiensten. Meld deze actief:

• Open de verdachte e-mail.
• Klik op de drie puntjes (•••) rechtsboven in het bericht.
• Kies Beveiligingsproblemen melden > Phishing.
• Outlook stuurt dit door naar Microsoft voor analyse en blokkeert soortgelijke berichten sneller.

Spam of mail ongewenst rapporteren om te helpen voorkomen

Wil je helpen spamfilters te verbeteren? Outlook leert hiermee om vergelijkbare berichten in de toekomst beter te herkennen.

• Klik op het bericht.
• Kies via de drie puntjes (•••) Beveiligingsproblemen melden > Ongewenst of Spam.
• Instellingen voor ongewenste e-mail in Outlook Web (Outlook on the Web)

Outlook Web biedt gebruikers uitgebreide controle over hoe ongewenste e-mails (spam, phishing, etc.) worden behandeld. Je kunt de filterinstellingen verfijnen, domeinen blokkeren, veilige afzenders instellen en meer. Hier lees je hoe je deze instellingen kunt configureren.

Toegang tot de instellingen

1. Ga naar https://outlook.office.com en log in.
2. Klik rechtsboven op het tandwielicoon (⚙️) om de Snelle instellingen te openen.
3. Onderaan klik je op Alle Outlook-instellingen weergeven.
4. Ga naar E-mail > Junk-e-mail.

Overzicht van beschikbare instellingen

Veilige afzenders en domeinen om spam mails te voorkomen

Voeg hier e-mailadressen of volledige domeinen toe waarvan je altijd e-mails wilt ontvangen.

• Bijvoorbeeld:
  • voorbeeld@bedrijf.nl → Alleen dit adres
  • @bedrijf.nl → Iedereen van dit domein wordt als veilig beschouwd
• Handig voor vertrouwde organisaties, collega’s, klanten of nieuwsbrieven die vaak in de junk belanden.

Geblokkeerde afzenders en domeinen

Voeg adressen of domeinen toe waarvan je nooit meer iets wilt ontvangen.

• Bijvoorbeeld:
  • spam@nepdomein.com → Blokkeert dit specifieke adres
  • @nepdomein.com → Blokkeert alle afzenders van dit domein
• Outlook stuurt berichten van deze afzenders automatisch naar de map Junk-E-mail.

Filterinstellingen: standaard versus streng om spam mails te voorkomen

Helemaal onderaan de Junk-instellingen vind je een belangrijke keuze:

Standaard (aanbevolen):

• Outlook gebruikt een slimme spamfilter op basis van gedrag, meldingen en inhoudsanalyse.
• Berichten van veilige afzenders en je contactpersonen worden meestal toegelaten.

Strikt:

• Outlook past een zwaarder filter toe en stuurt ook berichten van onbekende of minder verdachte afzenders sneller naar de junkfolder.
• Kan handig zijn als je veel spam ontvangt, maar verhoogt ook het risico op false positives.

Let op: Bij gebruik van de strikte modus is het sterk aan te raden om je lijst met veilige afzenders goed bij te houden om verlies van legitieme e-mails te voorkomen.

E-mails van contactpersonen altijd vertrouwen

• Optioneel vinkje: “Berichten van mijn contactpersonen vertrouwen.”
• Zorgt ervoor dat e-mails van mensen in je Outlook-contactpersonen nooit in de junkmap terechtkomen.

Tips voor optimaal gebruik

Gebruik filters samen met regels (via Instellingen > E-mail > Regels) om bijvoorbeeld berichten van een bepaald domein meteen te verwijderen, markeren of doorsturen.

Controleer regelmatig je Junk-map om te voorkomen dat je legitieme berichten mist.

Gebruik domeinregels slim: een domein als @gmail.com blokkeren is technisch mogelijk, maar praktisch niet aan te raden omdat je dan veel geldige berichten misloopt.

Nu de praktijk

Op bijvoorbeeld internet vind ik heel veel postings van mensen die inmiddels redelijk gefrustreerd zijn geraakt. Microsoft support lost het in hun ogen ook niet op. Wat zijn zoal de dingen waar deze mensen (en ik zelf) tegenaan (zijn ge)lopen.

Bij bijvoorbeeld een nieuwe installatie van Office 365 kan het voorkomen dat legitieme e-mails in de spamfolder belanden. Dit komt doordat het SmartScreen-filter van Microsoft tijd nodig heeft om te leren welke e-mails legitiem zijn en welke niet. Om dit proces te verhelpen, heb ik een ticket bij Microsoft ingediend en wat voorbeelden van berichten doorgestuurd die door Microsoft van een hoge spamscore waren voorzien, terwijl dat legitieme mails waren. Zij hebben toen dat proces versneld. Voordat je contact met hen opneemt, zorg er dan wel voor dat je onderstaande stappen uitgevoerd hebt.

2. Wat is DMARC en waarom is het belangrijk om spam mails te voorkomen?

DMARC staat voor Domain-based Message Authentication, Reporting & Conformance. Het is een e-mailauthenticatieprotocol dat helpt voorkomen dat anderen namens jouw domein e-mails kunnen versturen zonder jouw toestemming. Dit wordt ook wel spoofing genoemd en komt vaak voor bij phishing- en spamaanvallen. DMARC werkt samen met twee andere protocollen: SPF en DKIM.

Een DMARC-record wordt toegevoegd aan je DNS en geeft aan wat ontvangende mailservers moeten doen als een binnenkomende e-mail niet voldoet aan de SPF- en DKIM-controles. Je kunt instellen dat zulke e-mails worden geweigerd, in quarantaine worden geplaatst of zonder extra maatregelen worden afgeleverd. Daarnaast kun je rapportages ontvangen over mislukte en succesvolle verificaties, wat waardevolle inzichten geeft over hoe jouw domein wordt gebruikt of misbruikt.

Het implementeren van DMARC verhoogt de veiligheid en de betrouwbaarheid van jouw e-mails. Het beschermt niet alleen jouw merk en ontvangers, maar verbetert ook de deliverability van legitieme e-mails. Ontvangers kunnen met DMARC met meer vertrouwen e-mails van jouw domein accepteren.

Het correct instellen van bijvoorbeeld DMARC vergt aandacht en kennis, omdat het afhangt van een juiste configuratie van SPF en DKIM en het opzetten van de juiste beleidsregels in het DMARC-record. Maar het is één van de belangrijkste stappen om te voorkomen dat jouw e-mails in de spamfolder belanden of dat kwaadwillenden jouw domein misbruiken.

Tot zover de theorie. Hoe werkt dit in de praktijk?

Basisprincipes van een DMARC-record

• Type: TXT
• Naam (host): _dmarc.jouwdomein.nl
• Waarde (inhoud): bevat het DMARC-beleid

Voorbeeld 1: Alleen rapporteren (none)

v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl

🔹 Uitleg:

• v=DMARC1: Dit is verplicht – het geeft aan dat het een DMARC-record is.
• p=none: Geen actie ondernemen bij mislukte e-mails, alleen rapporteren.
• rua=mailto:dmarc@jouwdomein.nl: Rapporten worden verzonden naar dit e-mailadres.

Gebruik: ideaal als eerste stap om te monitoren voordat je e-mails gaat blokkeren.

Voorbeeld 2: Quarantaine (bijv. spamfolder)

v=DMARC1; p=quarantine; rua=mailto:dmarc@jouwdomein.nl; pct=100

🔹 Uitleg:

• p=quarantine: Laat ontvangende servers berichten markeren als verdacht.
• pct=100: Beleid toepassen op 100% van de e-mails

Gebruik: geschikt als je al enige controle over SPF en DKIM hebt, maar nog niet alles perfect is.

Voorbeeld 3: Afwijzen (reject)

v=DMARC1; p=reject; rua=mailto:dmarc@jouwdomein.nl; ruf=mailto:forensic@jouwdomein.nl; adkim=s; aspf=s

🔹 Uitleg:

• p=reject: E-mails die niet voldoen aan SPF of DKIM worden geweigerd.
• ruf=mailto:forensic@jouwdomein.nl: (optioneel) stuur forensische rapporten (kan privacy-implicaties hebben).
• adkim=s en aspf=s: Strikte matching vereist van DKIM/SPF – domeinen moeten exact overeenkomen.

Gebruik: voor domeinen waar je volledige controle hebt over e-mailstromen.

Voorbeeld 4: Geleidelijk beleid (reject met 50%)

v=DMARC1; p=reject; pct=50; rua=mailto:dmarc@jouwdomein.nl

🔹 Uitleg:

• pct=50: Pas het reject-beleid toe op slechts 50% van de e-mails.

Gebruik: handig om gecontroleerd over te stappen van “none” naar “reject”.

Belangrijke tips

Gebruik een DMARC-analysetool zoals DMARCian of Postmark om rapporten inzichtelijk te maken.

Voeg het record toe bij je DNS-provider als een TXT-record op het subdomein: _dmarc.jouwdomein.nl

Gebruik altijd een geldig e-mailadres bij rua en ruf, waar je de rapporten kunt ontvangen en analyseren.

3. Wat is DKIM en hoe werkt het om spam mails te voorkomen

DKIM, oftewel DomainKeys Identified Mail, is een techniek waarbij een digitale handtekening wordt toegevoegd aan uitgaande e-mails. Deze handtekening bewijst dat de e-mail echt afkomstig is van de eigenaar van het domein en dat de inhoud onderweg niet is aangepast. Dit werkt met een private sleutel op de verzendende mailserver en een publieke sleutel die in het DNS van het domein wordt geplaatst.

Wanneer een ontvangende mailserver een e-mail ontvangt, controleert deze de handtekening door de publieke sleutel in het DNS op te halen. Als de handtekening klopt en overeenkomt met de inhoud, weet de server dat het bericht legitiem is en niet is gewijzigd tijdens verzending. Dit zorgt voor vertrouwen bij de ontvanger en vermindert de kans dat de mail als spam wordt gezien.

DKIM is een van de belangrijkste standaarden voor e-mailbeveiliging en wordt wereldwijd breed ondersteund door mailproviders. Samen met SPF en DMARC vormt DKIM een solide basis om de authenticiteit van je e-mails te waarborgen.

Door DKIM correct in te stellen, verbeter je je sender reputatie en help je voorkomen dat je mails ten onrechte in de junkmail folder belanden. Het is een technische stap die in het DNS moet worden ingericht en meestal ook ondersteund wordt door je mailserver of e-maildienstverlener.

Tot zover de theorie. Hoe werkt dit in de praktijk?

DKIM instellen in DNS

• Type: TXT
• Naam (host): selector._domainkey.jouwdomein.nl
  (bijvoorbeeld: selector1._domainkey.jouwdomein.nl)
• Waarde (inhoud): bevat de publieke sleutel, bijvoorbeeld:
  v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQE... (afgekort)

Voorbeeld 1: Microsoft 365 (Exchange Online)
Als je DKIM inschakelt in Microsoft 365, genereert Microsoft twee selectors (meestal selector1 en selector2). Je DNS-records zien er dan zo uit:

• Hostnamen:
  • selector1._domainkey.jouwdomein.nl
  • selector2._domainkey.jouwdomein.nl
• Waarde (voorbeeld):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDp... (lange sleutel)

🔹 In Microsoft 365 beheer je DKIM via het Microsoft 365 Defender Portal of PowerShell. De publieke sleutels voeg je toe in je DNS bij je provider (bijv. TransIP, Cloudflare, etc.).

Voorbeeld 2: Google Workspace

Google gebruikt standaard de selector google:

• Host:
  google._domainkey.jouwdomein.nl
• Waarde (voorbeeld):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgK... (lange sleutel)

🔹 In Google Admin beheer je DKIM via:
Apps > Google Workspace > Gmail > Authenticate email

Voorbeeld 3: Mailchimp

Mailchimp gebruikt doorgaans een aparte selector, bijvoorbeeld k1.

• Host:
  k1._domainkey.jouwdomein.nl
• Waarde (voorbeeld):

v=DKIM1; k=rsa; p=MIGfMA0GCSqG... (lange sleutel)

🔹 Je stelt dit in bij Mailchimp onder Website > Domains > Authenticate. Daar krijg je de exacte waarde die je in je DNS moet plaatsen.

Belangrijke aandachtspunten

1. Kopieer de DKIM-record exact zoals je provider hem aanlevert.
2. Let op de juiste selectornaam. De combinatie selector._domainkey.jouwdomein.nl moet kloppen.
3. De publieke sleutel (waarde) kan lang zijn. Veel DNS-providers accepteren dit, maar sommige vereisen dat je hem in meerdere strings opsplitst (bijvoorbeeld "deel1""deel2").
4. DKIM-sleutels kunnen verlopen of worden geroteerd. Bij sommige providers gebeurt dit automatisch (Microsoft), bij andere moet je dat handmatig doen.

Controletools

Gebruik een tool om te verifiëren of je DKIM goed werkt, zoals:

Of verzend een testmail naar: check-auth@verifier.port25.com

https://dkimcore.org/tools/

https://mxtoolbox.com/dkim.aspx

4. Wat is SPF en waarom is het noodzakelijk om spam mails te voorkomen?

SPF, oftewel Sender Policy Framework, is een methode om te specificeren welke mailservers namens jouw domein e-mails mogen versturen. Dit doe je door een speciaal TXT-record aan je DNS toe te voegen waarin IP-adressen of servers worden opgenomen die geautoriseerd zijn.

Wanneer een ontvangende mailserver een mail ontvangt, controleert deze het SPF-record van het verzendende domein om te zien of het IP-adres van de verzendende server daarin staat. Als dat het geval is, gaat de mail door. Zo niet, dan kan de mail geweigerd of als spam gemarkeerd worden.

SPF helpt dus om te voorkomen dat onbevoegden e-mails versturen die lijken alsof ze van jouw domein komen. Het is een essentiële maatregel om bijvoorbeeld spoofing te verminderen en de betrouwbaarheid van jouw mailverkeer te verhogen.

Een veelvoorkomende fout bij SPF is het niet goed configureren van het record of het vergeten van belangrijke mailservers die namens jouw domein mogen mailen. Dit kan leiden tot afleverproblemen, zelfs bij legitieme mails. Het is daarom belangrijk om SPF goed te onderhouden en regelmatig te controleren.

Door SPF in combinatie met bijvoorbeeld DKIM en DMARC te gebruiken, zet je een sterk fundament neer voor veilige en betrouwbare e-mailcommunicatie.

Tot zover de theorie. Hoe werkt dit in de praktijk?

Basisprincipes van een SPF-record

• Type: TXT
• Naam (host): @ (of je root domein, bijv. jouwdomein.nl)
• Waarde (inhoud): begint altijd met v=spf1

Voorbeeld 1: Alleen gebruik van eigen mailserver (bijv. IP-adres)

v=spf1 ip4:192.0.2.10 -all

🔹 Uitleg:

• ip4:192.0.2.10: Alleen dit IPv4-adres mag mail verzenden.
• -all: Alle andere bronnen zijn expliciet niet toegestaan (hard fail).

Voorbeeld 2: Gebruik van Microsoft 365 / Exchange Online

v=spf1 include:spf.protection.outlook.com -all

🔹 Uitleg:

• include:spf.protection.outlook.com: Dit laat de Microsoft 365-servers mail verzenden.
• -all: Weiger alles wat niet via Microsoft 365 komt.

Voorbeeld 3: Meerdere e-maildiensten (bijv. Google Workspace + Mailchimp)

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

🔹 Uitleg:

• include:_spf.google.com: Voor Google Workspace (Gmail for business).
• include:servers.mcsv.net: Voor Mailchimp.
• -all: Weiger alles wat daarbuiten valt.

Voorbeeld 4: Domein host zijn eigen mailserver én gebruikt een derde partij

v=spf1 ip4:198.51.100.25 include:_spf.sendgrid.net -all

🔹 Uitleg:

• ip4:198.51.100.25: Je eigen mailserver.
• include:_spf.sendgrid.net: SendGrid als e-mailprovider.
• -all: Alleen deze twee bronnen mogen verzenden.

Voorbeeld 5: Begin met soft fail (monitoringfase)

v=spf1 include:_spf.google.com ~all

🔹 Uitleg:

• ~all: Soft fail — e-mails buiten deze regel worden gemarkeerd als “mogelijk ongeautoriseerd” maar niet geweigerd.
• Handig voor testfases of wanneer je nog niet zeker weet welke diensten namens je domein e-mails verzenden.

Veelgemaakte fouten om te vermijden

Geen afsluiting met -all, ~all of ?all → SPF moet altijd afsluiten met een “catch-all”-regel.

Meerdere SPF-records toevoegen → dit is niet toegestaan. Combineer alles in één SPF-record.

Te veel includes → max. 10 DNS-lookups zijn toegestaan binnen SPF.

5. Sender reputatie: wat is het en hoe bouw je het op?

Sender reputatie is dus een score die mailproviders toekennen aan jouw domein of IP-adres op basis van hoe betrouwbaar je mailgedrag is. Een goede reputatie zorgt ervoor dat je e-mails sneller in de inbox aankomen, terwijl een slechte reputatie kan leiden tot spamfilters, blokkades of afwijzing.

De reputatie wordt beïnvloed door verschillende factoren. Bijvoorbeeld het aantal klachten van ontvangers die je mail als spam markeren, het aantal bounces (niet-bezorgde mails), de kwaliteit van je mailinglijst en het consistent naleven van goede verzendpraktijken.

Als je een slechte sender reputatie hebt, kun je moeite krijgen om überhaupt je mails afgeleverd te krijgen. Het opbouwen van bijvoorbeeld een goede reputatie kost tijd en geduld. Het is belangrijk om alleen naar mensen te mailen die expliciet toestemming hebben gegeven (opt-in), en je lijst regelmatig op te schonen van inactieve adressen.

Verder helpt het om SPF, DKIM en DMARC correct in te stellen, een duidelijke afmeldmogelijkheid te bieden, en te zorgen voor relevante en niet-spamachtige inhoud. Ook het geleidelijk verhogen van het volume van verzonden e-mails (warming up) helpt bij het opbouwen van vertrouwen.

Monitor je sender reputatie via tools en rapportages die bijvoorbeeld Microsoft en Google bieden. Door actief te werken aan een goede reputatie verbeter je de aflevering en de impact van je e-mailcampagnes.

6. Blacklists en wat te doen als je erop staat

Blacklists zijn lijsten met IP-adressen en domeinen die bekendstaan als bronnen van spam of kwaadaardige e-mails. Veel e-mailproviders en beveiligingssystemen, zoals Barracuda, gebruiken deze lijsten om spam tegen te houden. Als jouw mailserver op zo’n blacklist staat, is de kans groot dat je e-mails worden geweigerd of direct in de spamfolder terechtkomen.

Redenen om op een blacklist te komen zijn onder andere het verzenden van spam, een gehackte mailserver die misbruikt wordt, of het versturen van grote aantallen mails zonder goede toestemming.

Als je merkt dat je op dus een blacklist staat, is het allereerst belangrijk om de oorzaak te achterhalen en op te lossen. Dit kan dus betekenen dat je malware moet verwijderen, je mailserver moet beveiligen, of je verzendgedrag moet aanpassen.

Vervolgens kun je contact opnemen met de beheerder van de blacklist en een verzoek tot delisting indienen. Dit is vaak een handmatig proces en het kan even duren voordat je weer van de lijst af bent.

Preventie is echter beter dan genezen. Zorg dus dat je mailserver goed beveiligd is, houd je aan de beste praktijken en gebruik SPF, DKIM en DMARC om je reputatie te beschermen.

Tot zover de theorie. Hoe werkt dit in de praktijk?

Als je een eigen mailserver draait en je IP-adres komt op een blacklist (DNSBL/RBL) terecht, dan kan dat je mailaflevering ernstig hinderen: ontvangers krijgen je mail in de spamfolder of helemaal niet. Gelukkig kun je vaak actie ondernemen om je IP weer van de blacklist te laten verwijderen.

Hieronder leg ik stap voor stap uit wat je kunt doen.

Controleer of je IP echt op een blacklist staat

Gebruik een tool zoals:

• 🔍 MXToolbox Blacklist Check
• 🔍 UltraTools Blacklist Check

Voer het IP-adres van je mailserver in (niet je domein!) en kijk op welke lijsten je voorkomt.

Los het onderliggende probleem op om spam mails te voorkomen

Voordat je verzoeken tot verwijdering indient, is het cruciaal om te zorgen dat je mailserver in orde is. Controleer o.a.:

Reverse DNS (PTR-record)

• Je IP moet een reverse DNS hebben, zoals mail.jouwdomein.nl
• Test: nslookup <ip-adres>

SPF, DKIM en DMARC correct ingesteld

• Zorg dat deze e-mailauthenticatierecords in je DNS staan.
• Controleer met tools zoals:
  • https://dmarcian.com/
  • https://mxtoolbox.com/spf.aspx

Geen open relay

• Controleer dat je mailserver niet ongecontroleerd e-mails doorstuurt van derden.
• Test: https://www.mailradar.com/openrelay/

Server wordt niet misbruikt voor spam

• Scan op malware, bots of misconfiguratie.
• Controleer mailqueue: wordt er veel verzonden vanaf ongewenste accounts?

Stap 3: Verzoek om delisting indienen

Afhankelijk van de blacklist moet je contact opnemen om je IP adres te laten verwijderen.

Blacklist	Delisting pagina	Opmerkingen
Spamhaus (ZEN)	https://www.spamhaus.org/lookup/	Erg streng; onderliggende oorzaak moet worden opgelost.
SORBS	http://www.sorbs.net/lookup.shtml	Vereist registratie en uitleg.
Spamcop	https://www.spamcop.net/bl.shtml	Automatische delisting na 24 uur als er geen nieuw spamverkeer is.
UCEPROTECT	https://www.uceprotect.net/	Kan soms op ASN-niveau blacklisten; verwijderen lastig.
Barracuda	https://www.barracudacentral.org/rbl/removal-request	Redelijk snel.

Let op: Je moet vaak een e-mailadres opgeven dat bij het domein/IP hoort en een uitleg geven over wat je hebt opgelost.

Voorkomen dat je opnieuw op een blacklist komt

1. Monitor je IP regelmatig met monitoringtools of alerts (zoals bij MXToolbox).
2. Rate limiting en throttling op je mailserver instellen, zeker bij grote verzendlijsten.
3. Spamfilters en contentcheck instellen — geen verdachte of spamachtige content verzenden.
4. Gebruik een dedicated IP alleen voor jouw legitieme e-mailverkeer.
5. Verzendlijsten opschonen – geen inactieve of ongewenste adressen blijven mailen.

Alternatief: Gebruik een externe e-mailprovider

Als je constant problemen hebt met blacklists of reputatie, overweeg dan een SMTP-relay service zoals:

• Amazon SES
• SendGrid
• Mailgun
• Microsoft 365 / Google Workspace

Deze diensten zorgen voor IP-reputatiebeheer en voorkomen dat je eigen IP op een blacklist terechtkomt.

7. Exchange Online en DKIM-signatures: Hoe voeg je ze toe?

Exchange Online, onderdeel van Microsoft 365, biedt dus een ingebouwde mogelijkheid om DKIM-signatures aan uitgaande e-mails toe te voegen. Dit helpt om je e-mails te authenticeren en de aflevering te verbeteren. Dit helpt natuurlijk ook om spam mails te voorkomen.

Om DKIM in Exchange Online te activeren, moet je eerst twee CNAME-records toevoegen aan je DNS. Deze verwijzen naar Microsoft’s DKIM-servers en zorgen ervoor dat de handtekeningen gecontroleerd kunnen worden.

De stappen zijn als volgt:

1. Log in op het Microsoft 365 Defender portal.
2. Ga naar ‘E-mail & samenwerking’ en kies ‘DKIM’.
3. Selecteer het domein waarvoor je DKIM wilt inschakelen.
4. Maak in je DNS twee CNAME-records aan volgens de instructies die Microsoft geeft. Deze records zien er meestal zo uit: selector1._domainkey.jouwdomein.nl en selector2._domainkey.jouwdomein.nl.
5. Nadat de DNS-records zijn toegevoegd en gepropageerd, activeer je DKIM in het Defender portal.

Tot slot. Zodra dit is gedaan, zal Exchange Online automatisch alle uitgaande e-mails van dat domein digitaal ondertekenen met DKIM. Dit verhoogt de betrouwbaarheid en helpt voorkomen dat je mails als spam worden gemarkeerd.

8. List-Unsubscribe header: wat is het en hoe stel je het in om spam mails te voorkomen?

De List-Unsubscribe header is dus een speciale e-mailheader die je toevoegt aan je uitgaande marketing- of nieuwsbriefmails. Deze header maakt het voor ontvangers heel makkelijk om zich af te melden van een mailinglijst zonder dat ze eerst hoeven te zoeken naar een afmeldlink in de e-mail zelf. Grote e-mailproviders zoals Gmail, Outlook en Yahoo gebruiken deze header om een afmeldknop direct naast het bericht te tonen. Dit verbetert de gebruikerservaring en helpt bovendien klachten over spam te verminderen.

Door de List-Unsubscribe header toe te voegen, geef je ontvangers een duidelijke en snelle manier om uit te schrijven, wat bijdraagt aan een betere sender reputatie en voorkomt dat mensen je berichten als spam markeren. Dit helpt dus ook om spam mails te voorkomen. Het is dus een win-win situatie: ontvangers hebben controle en jij houdt je mailinglijst schoon en gezond.

Verschillende vormen

De header kan dus verschillende vormen hebben, bijvoorbeeld een mailto-adres waar een afmeldmail naartoe gestuurd wordt, of een URL waar iemand zich kan uitschrijven via een webformulier. Vaak zie je ook een combinatie van beide.

Binnen Exchange Online kun je de List-Unsubscribe header toevoegen met behulp van een transportregel (mail flow rule). Dit doe je als volgt:

1. Ga naar het Microsoft 365 Defender portal en open de Exchange beheerconsole.
2. Navigeer naar Mailstroom > Regels.
3. Maak een nieuwe regel aan met bijvoorbeeld de naam “List-Unsubscribe header toevoegen”.
4. Kies als actie Een berichtheader toevoegen.
5. Vul de naam van de header in: List-Unsubscribe.
6. Vul de waarde in, bijvoorbeeld: <mailto:unsubscribe@jouwdomein.nl>, <https://jouwdomein.nl/afmelden>.
7. Sla de regel op en activeer deze.

Vanaf dat moment wordt de List-Unsubscribe header automatisch aan alle uitgaande e-mails toegevoegd die aan de regel voldoen.

Tot slot. Het implementeren van deze header is een relatief eenvoudige maar zeer effectieve manier om ontvangers controle te geven en de aflevering van je e-mails te verbeteren. Dit helpt ook natuurlijk om spam mails te voorkomen.

Wil je contact met mij opnemen, dan kan dat via het contact formulier.