← Alle artikelen

Hoe ik een e-mail security SaaS heb gebouwd

· 6 min

E-mail deliverability is een van de meest frustrerende problemen in IT. Je stuurt een mail, hij komt niet aan, en er is geen duidelijke foutmelding. Of erger: hij belandt in spam bij Gmail en niemand vertelt je waarom.

Na jaren bedrijven te helpen met precies dit probleem, besloot ik MailShield te bouwen: een platform dat alle 8 kritieke e-mail security protocollen monitort vanuit één dashboard.

Het probleem met e-mail security

De meeste bedrijven hebben SPF en DKIM op orde. Maar dat is pas het begin. Een typische DNS configuratie voor e-mail ziet er zo uit: 

; SPF - wie mag mail sturen
example.nl.  TXT  "v=spf1 include:_spf.google.com ~all"

; DKIM - cryptografische handtekening
selector._domainkey.example.nl.  TXT  "v=DKIM1; k=rsa; p=MIGf..."

; DMARC - beleid bij failures
_dmarc.example.nl.  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.nl"

Dit is de basis. Maar er zijn nog 5 protocollen die de meeste bedrijven missen:

  • MTA-STS dwingt TLS af voor inkomende mail. Zonder dit kan een aanvaller je mail onderscheppen via een downgrade attack.
  • TLS-RPT is rapportage over TLS negotiation failures. Zonder dit weet je niet dat er problemen zijn.
  • BIMI toont je bedrijfslogo in de inbox. Vereist een VMC certificaat en correct geconfigureerde DMARC.
  • DNSSEC beschermt de integriteit van je DNS records. Voorkomt dat iemand je MX records kan spoofen.
  • DANE koppelt je TLS certificaat aan DNS via TLSA records. De sterkste bescherming tegen man-in-the-middle aanvallen op SMTP.

Waarom ik het zelf heb gebouwd

Er bestonden al tools die individuele protocollen checken. Maar geen enkele tool controleerde alle 8 protocollen samen, met een duidelijke score en alerts bij wijzigingen. Ik wilde één plek waar ik kon zien:

  • Zijn alle protocollen correct geconfigureerd?
  • Is er iets veranderd in de DNS records sinds de laatste check?
  • Wat zeggen de DMARC aggregate reports? Slaagt alle mail voor authenticatie?

De technische keuzes

MailShield draait op mijn eigen infrastructuur in Nederland. Gebouwd met Claude Code, gedeployed via CI/CD, gehost op dezelfde stack die ik voor klanten gebruik. Geen hyperscaler, geen serverless. Een VPS met nginx, een database met dagelijkse backups, en monitoring die mij wakker maakt als er iets misgaat.

Dat is bewust: als ik consultancy geef over infrastructuur maar mijn eigen producten op Vercel draai, klopt het verhaal niet.

Meer weten over e-mail security voor jouw domein? Bekijk mailshield.app of lees meer over mijn mail deliverability diensten.

Lees het volledige artikel op mijn persoonlijke blog →

Hulp nodig met dit onderwerp?

Via Bouwhuis IT help ik bedrijven met precies dit soort vraagstukken.

Contact Plan een gesprek