E-mailserver en afzender instellen (incl DKIM en DMARC)

Profit kan e-mailberichten genereren en versturen. Hierbij wordt geen gebruik gemaakt van het (op je eigen computer geïnstalleerde) e-mailprogramma. Je legt in Profit diverse instellingen vast, waaronder de te gebruiken e-mailserver.

Zie ook:

• E-mail vanuit Profit niet verzonden
• Verzonden e-mailberichten raadplegen en signalen op niet-verzonden berichten

Richtlijnen voor e-mailen bij AFAS Online

Adviezen voor het succesvol versturen van e-mailberichten via Profit.

E-mailadressen van geadresseerden

• Zorg voor een actueel en correct e-mailadressenbestand in Profit.

  Als er grote aantallen mailberichten naar ongeldige adressen verstuurd worden vanuit AFAS Online, kan dat leiden tot een slechte reputatie van de AFAS Online-mailserver. De AFAS Online-mailservers kunnen zelfs geblokkeerd worden omdat deze ongeldige adressen geïdentificeerd worden als spam. Ongeldige/geweigerde e-mailberichten zijn dus niet alleen van invloed op de omgeving, maar ook op andere omgevingen op AFAS Online. Daarnaast is het vanuit het oogpunt van klantgericht ondernemen belangrijk dat de klantgegevens correct zijn.

• Bekijk regelmatig de geweigerde e-mailberichten en verbeter de incorrecte adressen.
  

Je e-mailadres: afzender@domein.nl

• Gebruik een bestaande afzender voor de e-mail

  Verzend de e-mails vanuit Profit namens een geldig domein (het gedeelte achter het @). Meestal gebruik je hiervoor een afzender van de organisatie, zoals @enyoi.nl. Het is belangrijk dat je eigenaar bent van dit e-mailadres/domein. Is dit niet het geval dan is het registeren van een domeinnaam de eerste stap. Hierin kunnen wij je niet ondersteunen, dit regel je buiten Profit om.

  Een niet-bestaand afzender e-mailadres wordt vaak door de ontvangende partij geweigerd, omdat het als spam gezien wordt. Een 'No-reply' adres is een niet bestaande afzender. Als je toch een noreply-adres wilt gebruiken, zorg er dan minimaal voor dat het domein waar het e-mailbericht vandaan komt, geldig is.

  Bijkomend nadeel van een noreply-adres is dat, zoals de naam al zegt, je op zo’n adres geen meldingen kunt terugkrijgen. Daardoor zie je niet welke e-mailberichten niet zijn aangekomen bij de geadresseerden. Op deze manier mis je de kans om incorrecte e-mailadressen te verbeteren.

• Gebruik een geldig, bestaand domein

  Geldig betekent dat er een verband kan worden aangetoond tussen het domein en de versturende server. De mailserver van de ontvangende partij vergelijkt het domein van het e-mailadres met de versturende mailserver van AFAS Online. Als ze niets met elkaar te maken lijken te hebben, dan heet dit 'sender spoofing'. In dit geval accepteert de ontvangende mailserver de e-mail niet. Dit kun je voorkomen door het SPF-record te wijzigen.

Afzender en geadresseerde per type e-mailbericht instellen

Hoe bepaalt Profit de afzender en geadresseerde van een e-mailbericht?

Afzender instellen:

Je kan in Profit op drie niveaus een afzender inrichten voor e-mails die je vanuit Profit verstuurt.

Lees meer

Geadresseerde instellen:

Je kan in Profit op veel plaatsen een geadresseerde instellen, zodat het mailen zoveel mogelijk automatisch kan verlopen en het e-maibericht bij de juiste persoon terechtkomt.

Lees meer

AFAS Online e-mailserver inrichten

Je gaat de e-mailserver van AFAS gebruiken. Hiervoor gelden een aantal spelregels. Het is belangrijk dat je aan deze spelregels voldoet. Voldoe je niet aan de voorwaarden? Dan heeft dit tot gevolg dat e-mails die je vanuit Profit verstuurt niet aankomen of in de spam belanden. Wat de spelregels zijn lees je in het artikel Voorwaarden e-mailserver AFAS Online.

Je moet de e-mailserver van AFAS machtigen om te mailen namens jouw de domeinnaam van de afzender. Daarna leg je de instellingen in Profit vast.

Profit logt alle verzonden e-mailberichten, inclusief retourinformatie van de ontvanger (zoals een bounce-status, mailbox die niet bereikt kan worden). Gebruik deze functie om uitgaande e-mail actief te monitoren en zo de communicatie te verbeteren.

Stap 1: Machtigen via SPF-Record

Als je gebruikmaakt van de AFAS Online mailserver verzendt AFAS de e-mails die je vanuit Profit verstuurt namens jullie afzender. Dit zorgt ervoor dat de verstuurder (AFAS) niet overeen komt met de verzender (jullie). De ontvangende mailserver kan het bericht hierdoor niet valideren en de e-mail weigeren. Dit komt doordat er geen relatie is tussen de verzender (AFAS) en jullie als klant (afzender).

Dit los je op met een SPF-record. Je machtigt de AFAS Online e-mailserver door de e-mailserver van AFAS toe te voegen aan het SPF-record van je eigen domein. Hiermee stel je de ontvangende partij op de hoogte, dat een e-mailbericht dat via AFAS Online server binnenkomt, met jullie als afzender, bij jullie bekend is. Als je geen SPF-record inricht worden uitgaande e-mails niet goed afgeleverd of geblokkeerd.

Let op:

Als je de DNS van je domeinnaam aanpast, kan dit tot gevolg hebben dat je website en e-mail niet meer bereikbaar zijn. Wij raden je aan alleen zelf wijzigingen aan te brengen als je ervaring hebt met beheren van de DNS. Neem hiervoor contact op met je Systeembeheerder.

Bij wie moet je zijn om SPF-aanpassingen te doen? AFAS Support kan je hier niet bij helpen, maar je kunt de domein-leverancier opzoeken via https://lookup.icann.org/en/lookup (er zijn ook andere, soortgelijke websites).

Het uitgangspunt van onderstaande uitleg is: yourdomain.nl.

Je vraagt je systeembeheerder of je webhostingpartner om een SPF-record aan te maken of aan te passen.

• Voorbeeld van een bestaand SPF-record

  Voorbeeld:

  Het SPF-record ziet er zo uit:

  Domeinnaam | Type | Record
  yourdomain.nl txt v=spf1 mx ip4:213.76.258.8 include:spf.protection.outlook.com ~all

• Voorbeeld van hetzelfde SPF-record met machtiging voor AFAS

  Voorbeeld:

  Na wijziging ziet het SPF-record er zo uit:

  yourdomain.nl txt v=spf1 mx ip4:213.76.258.8 include:spf.protection.outlook.com include:spf.afas.online ~all

Je hoeft dus alleen het volgende toe te voegen:

include:spf.afas.online

Heb je spf.afas.online toegevoegd aan het SPF-record van je eigen domein? Volg onderstaande stappen om de uitgaande e-mailserver in Profit in te stellen.

Hieronder zie je de instructies van de drie grootste hostingproviders van Nederland:

• Hostnet
• GoDaddy
• YourHosting

Stap 2: E-mailserver in Profit instellen:

1. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
2. Ga naar het tabblad: E-mail.
3. Selecteer AFAS Online in het veld Type e-mailserver.

   Je hoeft alleen Afzender automatische e-mail nog in te vullen.

4. Vul bij Afzender automatische e-mail het adres in dat vermeld zal worden in de automatisch verstuurde e-mailberichten. Vul hier een algemeen e-mailadres van de organisatie in, bijvoorbeeld reply@enyoi.nl (gebruik je eigen e-mailadres, niet dit voorbeeld).

   

Let op:

Leg ook op lagere niveaus een afzender e-mailadres vast, hiermee voorkom je foutmeldingen.

Eigen e-mailserver instellen (incl. Gmail en Exchange Online)

Dit is de standaardprocedure voor het inrichten van de uitgaande e-mailserver.

E-mailserver en afzender instellen in omgeving:

1. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
2. Ga naar het tabblad E-mail.

   Eigen e-mailserver

   1. Selecteer SMTP in het veld Type e-mailserver.
   2. Vul de e-mailserver in, bijvoorbeeld smtp.yourcompany.com.

      

   3. Poort en ‘Veilige communicatie afdwingen’.

      Wat je hier invult is afhankelijk van de instellingen en mogelijkheden van je mailserver. Twijfel je, controleer dan de documentatie van de mailserver(-dienst) of neem contact op met de beheerder hiervan. De veiligste instelling (en daarom de door AFAS aangeraden optie) is om poort 465 te gebruiken in combinatie met de optie ‘Veilige communicatie afdwingen’.

      • Toegestane poorten: 465, 587 en 25.
      • Als 'Veilige communicatie afdwingen is ingeschakeld dan wordt een correct geconfigureerde mailserver afgedwongen. De servernaam moet dus overeenkomen met de CN (of een van de alternatieve namen) in het certificaat, het certificaat moet geldig zijn en afkomstig zijn van een vertrouwde uitgever. (Een self-signed certificaat is dus niet geldig.) Voor poort 465 wordt met deze instelling een 'Implicit SSL/TLS'-verbinding gestart. Voor poort 25 of 587 wordt er een verbinding gestart met StartTLS.
      • Als 'Veilige communicatie afdwingen' is uitgeschakeld dan wordt er een poging gedaan om een veilige verbinding op te zetten. Hierbij worden juiste certificaatgegevens niet afgedwongen. Aan deze methode zitten veiligheidsrisico’s, een 'man in the middle' aanval is hierbij bijvoorbeeld mogelijk. Als de server geen SSL-certificaat heeft geconfigureerd, wordt er in 'plain text' gecommuniceerd. Dit geldt voor zowel poort 465, 587 als 25.
      • Profit gebruikt voor communicatie met de mailserver TLS 1.2. Of als dat niet beschikbaar is, TLS 1.1 of anders TLS 1.0.
   4. Vink het veld SMTP-server vereist verificatie aan, als deze verificatie nodig is op de mailserver. Vul dan ook de algemene gebruikersnaam en het wachtwoord in. Gebruikersnaam en wachtwoord: de gebruiker die je invult moet rechten hebben op de mailserver om buiten het domein te e-mailen. Gebruik je op AFAS Online een eigen e-mailserver, dan adviseren we altijd te werken met een gebruikersnaam/wachtwoord en/of IP-filter op je e-mailserver om te voorkomen dat anderen ook e-mail (zoals spam) via je e-mailserver kunnen versturen.
   5. Allowlist zonodig op de mailserver de IP-range 185.46.182.0/24 of het IP-adres 185.46.182.1 / proxy.afas.online. Via dit IP-adres biedt Profit e-mails aan jouw mailserver aan. Als je dit niet doet, dan kan dit tot gevolg hebben dat dit IP-adres op een denylist komt. Daarmee komt o.a. jouw e-mail niet meer aan bij de ontvanger.
   6. Vul bij Afzender automatische e-mail het adres in dat vermeld zal worden in de automatisch verstuurde e-mailberichten. Vul hier een algemeen e-mailadres van de organisatie in, bijvoorbeeld reply@enyoi.nl (gebruik je eigen e-mailadres, niet dit voorbeeld).

   Exchange Online via Azure AD Connect

   Je kunt uitgaande e-mail vanuit Profit verzenden via Exchange Online via Azure AD. Ook is het mogelijk om e-facturen in te lezen via Azure AD, zie de aparte beschrijving.

   De inrichting bestaat uit de volgende stappen:

   1. Applicatie maken in Azure AD
   2. Profit inrichten
   3. Afzenders/gebruikers controleren in Azure AD

   Stap 1: Applicatie maken in Entra ID (voorheen Azure AD)

   Je maakt in Azure AD een applicatie die de juiste rechten heeft.

   1. Ga naar entra.microsoft.com en log in als beheerder.
   2. Klik op Azure Active Directory.
   3. Klik op App registrations.
   4. Klik op New registration.
   5. Geef de nieuwe registratie een logische naam zoals Profit e-mail.
   6. Klik op Register.

      

   7. Klik op API permissions.
   8. Klik op Add a permission.
   9. Klik op Microsoft Graph.
   10. Klik op Application permissions.
   11. Vink Mail.ReadWrite en Mail.Send permissions aan.
   12. Klik op Add permissions.

       Om e-mails vanuit Profit te verzenden, moeten tenminste de permissions Mail.ReadWrite en Mail.Send aan de registratie zijn toegekend. De overige permissions mogen indien gewenst verwijderd worden.

       Let op:

       Dit is een 'grove' instelling, want deze staat namelijk toe dat Profit namens elke gebruiker van je Azure-omgeving mag mailen. Microsoft biedt hiervoor een betere (meer fijnmazige) oplossing: je kan namelijk met behulp van Role Based Access Control je Azure-appregistratie beter beveiligen en het aantal users namens wie profit mag mailen, beperken.

   13. Klik op Grant admin consent for ….

       

   14. Klik op Certificates & secrets.
   15. Klik op New client secret.
   16. Geef de nieuwe secret een logische naam en geef aan hoe lang de secret geldig blijft.
   17. Klik op Add.
   18. Je ziet in de weergave nu de secret. Sla deze op in bijvoorbeeld een wachtwoord-kluis. Na het afsluiten van dit scherm kun je de secret niet meer zien. Als je de secret niet meer weet moet er een nieuwe gemaakt worden. Je hebt deze later nodig bij het inrichten van Profit in het veld Application secret.

       

   19. Klik op Overview
   20. Je ziet de waarden Application (client) ID en Directory (tenant) ID. Deze heb je later nodig bij het inrichten van Profit voor de velden Application id en Directory id.

       Let op:

       Als het onderstaande scherm getoond wordt, moet je de waarde in het veld Waarde (Value) overnemen als Application Secret in Profit (dus niet de waarde in Geheim-id).

       

   Stap 2: Profit inrichten

   1. Open de omgeving.
   2. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
   3. Ga naar het tabblad E-mail.
   4. Selecteer Exchange Entra AD bij Type e-mail server.
   5. Vul de waarden Directory id, Application id en Application secret (op basis van de inrichting van de Azure AD App in stap 1).
   6. Vul in het veld Afzender automatische e-mail een e-mailadres in dat bekend is in Azure AD (zie ook stap 3)

      

   Stap 3: Afzenders/gebruikers controleren in Entra AD (voorheen Azure AD)

   In Profit kunnen er op verschillende momenten e-mails verstuurd worden door verschillende afzenders. Mailen via Exchange Entra AD zal alleen succesvol zijn als de gebruikte afzender een gebruiker is in Entra AD. Om een Entra AD-gebruiker te maken gaat je in de Entra AD beheer omgeving (stap 1) naar Users en kies je voor New user. Zie ook dit artikel van Microsoft: https://learn.microsoft.com/nl-nl/azure/active-directory/manage-apps/add-application-portal-assign-users

   

   Foutmelding: MailKit.Net.Smtp.SmtpCommandException: 5.7.64 Relay Access Denied ATTR36.

   Probleem:

   • E-mailberichten (alle, of alleen bepaalde soorten) worden niet verstuurd. In het logboek staat de fout "5.7.64 Relay Access Denied ATTR36. For more details please refer to https://support.microsoft.com/kb/3169958".
   • De fout betekent dat de uitgaande (Exchange Online) mailserver van je organisatie weigert deze vanuit Profit aangeleverde e-mails te versturen.

   Oorzaak:

   • De e-mails hebben een afzender die niet wordt toegestaan. Je kan bijvoorbeeld niet zomaar een afzender gebruiken van een domein dat niet het eigendom is van je organisatie en door specifiek jullie Exchange-server wordt toegestaan als afzender.

   Oplossing:

   • Deel de foutmelding met je Exchange-beheerder. De beheerder kan de link openen en het probleem oplossen, zie o.a.de volgende punten.
   • Controleer de afzender(s).
   • Stel in Exchange Online een connector in om het AFAS Online IP-adres toe te staan e-mailadressen te versturen. Dat gaat om IP 185.46.182.1 (FQDN proxy.afas.online). Zie het overzicht IP-adressen, URL's en ciphers. URL's en ciphers. Volg voor de Microsoft documentatie de link in de foutmelding: https://support.microsoft.com/kb/3169958.

   Let op:

   Google beëindigde op 30 september 2024 de ondersteuning van het versturen van uitgaande e-mail via Gmail op basis van gebruikersnaam + wachtwoord. Ook het inlezen van e-facturen via deze methode is ingetrokken.Gebruik daarom een Google app-wachtwoord of een Google service account key.

   Gmail op basis van twee-factorauthenticatie + app-wachtwoord

   Google beëindigt op 30 september 2024 de ondersteuning van het versturen van Gmail op basis van gebruikersnaam + wachtwoord. Als alternatief kun je Gmail met een app-wachtwoord gebruiken. Bij deze methode is verificatie in twee stappen (twee-factor authenticatie) nodig.

   Aandachtspunten:

   • Bij het mailen via de Gmail-mailserver staat Gmail standaard niet toe dat je e-mail verstuurt namens een andere afzender dan je eigen e-mailadres. Het is wel mogelijk om via de website van Gmail extra e-mailadressen aan je Gmail-account toe te voegen (en te verifiëren). Daarna kan je wel via de Gmail mailserver namens die afzenders mailen vanuit Profit. Meer informatie: E-mails verzenden vanaf een ander adres of een alias.
   • Gmail en Yahoo controleren vanaf 1 februari 2024 strenger op de beveiligingsmaatregelen die je als verzender treft. De belangrijkste wijziging is dat ze alleen geautoriseerde e-mails gaan toelaten in de inbox van de ontvanger. Daarom adviseren we om DMARC in te stellen als je Gmail en Yahoo gebruikt.

   Stappen:

   1. Verificatie in twee stappen inschakelen:

      Voor een app wachtwoord is verificatie in twee stappen noodzakelijk. Richt dit eerst in, zie ook Google help.

      • Ga naar https://myaccount.google.com en log in op je Google-account.
      • Ga naar het onderdeel Beveiliging.
      • Klik op Verificatie in twee stappen.

        

      • Klik op Verificatie in twee stappen aanzetten.

        

      • Doorloop de stappen en geef je telefoonnummer op als tweede factor.

      Als je de tweede factor hebt ingericht, dan kun je verder met het app wachtwoord. Zie ook Google help.

   2. Ga naar https://myaccount.google.com/apppasswords.
   3. Maak een app aan.

      

      Je app wachtwoord wordt getoond, bewaar dit op een veilige plaats.
      

   4. Ga naar Profit.
   5. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
   6. Ga naar het tabblad: E-mail.
   7. Neem de onderstaande instellingen over. Vul je eigen e-mailadres, gebruikersnaam en afzender in.

      

   8. Bij Poort voor uitgaande e-mail gebruik je altijd 587.
   9. Bij Veilige communicatie afdwingen geldt het volgende:
      • Als 'Veilige communicatie afdwingen is ingeschakeld dan wordt een correct geconfigureerde mailserver afgedwongen. De servernaam moet dus overeenkomen met de CN (of een van de alternatieve namen) in het certificaat, het certificaat moet geldig zijn en afkomstig zijn van een vertrouwde uitgever. (Een self-signed certificaat is dus niet geldig.) Voor poort 465 wordt met deze instelling een 'Implicit SSL/TLS'-verbinding gestart. Voor poort 25 of 587 wordt er een verbinding gestart met StartTLS.
      • Als 'Veilige communicatie afdwingen' is uitgeschakeld dan wordt er een poging gedaan om een veilige verbinding op te zetten. Hierbij worden juiste certificaatgegevens niet afgedwongen. Aan deze methode zitten veiligheidsrisico’s, een 'man in the middle' aanval is hierbij bijvoorbeeld mogelijk. Als de server geen SSL-certificaat heeft geconfigureerd, wordt er in 'plain text' gecommuniceerd. Dit geldt voor zowel poort 465, 587 als 25.
      • Profit gebruikt voor communicatie met de mailserver TLS 1.2. Of als dat niet beschikbaar is, TLS 1.1 of anders TLS 1.0.
   10. Vink het veld SMTP-server vereist verificatie aan, als deze verificatie nodig is op de mailserver. Vul dan ook de algemene gebruikersnaam en het wachtwoord in. Gebruikersnaam en wachtwoord: de gebruiker die je invult moet rechten hebben op de mailserver om buiten het domein te e-mailen. Gebruik je op AFAS Online een eigen e-mailserver, dan adviseren we altijd te werken met een gebruikersnaam/wachtwoord en/of IP-filter op je e-mailserver om te voorkomen dat anderen ook e-mail (zoals spam) via je e-mailserver kunnen versturen.
   11. Allowlist zonodig op de mailserver de IP-range 185.46.182.0/24 of het IP-adres 185.46.182.1 / proxy.afas.online. Via dit IP-adres biedt Profit e-mails aan jouw mailserver aan. Als je dit niet doet, dan kan dit tot gevolg hebben dat dit IP-adres op een denylist komt. Daarmee komt o.a. jouw e-mail niet meer aan bij de ontvanger.
   12. Vul bij Afzender automatische e-mail het adres in dat vermeld zal worden in de automatisch verstuurde e-mailberichten. Vul hier een algemeen e-mailadres van de organisatie in, bijvoorbeeld reply@enyoi.nl (gebruik je eigen e-mailadres, niet dit voorbeeld).

   Aandachtspunten:

   • Gebruik je two-factor voor je Gmail-account, dan moet je een app-password instellen voor in Profit (two-factor is verplicht).
   • Bij het mailen via de Gmail-mailserver staat Gmail standaard niet toe dat je e-mail verstuurt namens een andere afzender dan je eigen e-mailadres. Het is wel mogelijk om via de website van Gmail extra e-mailadressen aan je Gmail-account toe te voegen (en te verifiëren). Daarna kan je wel via de Gmail mailserver namens die afzenders mailen vanuit Profit. Meer informatie: E-mails verzenden vanaf een ander adres of een alias.
   • Gmail en Yahoo controleren vanaf 1 februari 2024 strenger op de beveiligingsmaatregelen die je als verzender treft. De belangrijkste wijziging is dat ze alleen geautoriseerde e-mails gaan toelaten in de inbox van de ontvanger. Daarom adviseren we om DMARC in te stellen als je Gmail en Yahoo gebruikt.

   Stappen:

   1. Neem de onderstaande instellingen over. Vul je eigen e-mailadres, gebruikersnaam en afzender in.

      

   2. Bij Poort voor uitgaande e-mail gebruik je altijd 587.
   3. Bij Veilige communicatie afdwingen geldt het volgende:
      • Als 'Veilige communicatie afdwingen is ingeschakeld dan wordt een correct geconfigureerde mailserver afgedwongen. De servernaam moet dus overeenkomen met de CN (of een van de alternatieve namen) in het certificaat, het certificaat moet geldig zijn en afkomstig zijn van een vertrouwde uitgever. (Een self-signed certificaat is dus niet geldig.) Voor poort 465 wordt met deze instelling een 'Implicit SSL/TLS'-verbinding gestart. Voor poort 25 of 587 wordt er een verbinding gestart met StartTLS.
      • Als 'Veilige communicatie afdwingen' is uitgeschakeld dan wordt er een poging gedaan om een veilige verbinding op te zetten. Hierbij worden juiste certificaatgegevens niet afgedwongen. Aan deze methode zitten veiligheidsrisico’s, een 'man in the middle' aanval is hierbij bijvoorbeeld mogelijk. Als de server geen SSL-certificaat heeft geconfigureerd, wordt er in 'plain text' gecommuniceerd. Dit geldt voor zowel poort 465, 587 als 25.
      • Profit gebruikt voor communicatie met de mailserver TLS 1.2. Of als dat niet beschikbaar is, TLS 1.1 of anders TLS 1.0.
   4. Vink het veld SMTP-server vereist verificatie aan, als deze verificatie nodig is op de mailserver. Vul dan ook de algemene gebruikersnaam en het wachtwoord in. Gebruikersnaam en wachtwoord: de gebruiker die je invult moet rechten hebben op de mailserver om buiten het domein te e-mailen. Gebruik je op AFAS Online een eigen e-mailserver, dan adviseren we altijd te werken met een gebruikersnaam/wachtwoord en/of IP-filter op je e-mailserver om te voorkomen dat anderen ook e-mail (zoals spam) via je e-mailserver kunnen versturen.
   5. Allowlist zonodig op de mailserver de IP-range 185.46.182.0/24 of het IP-adres 185.46.182.1 / proxy.afas.online. Via dit IP-adres biedt Profit e-mails aan jouw mailserver aan. Als je dit niet doet, dan kan dit tot gevolg hebben dat dit IP-adres op een denylist komt. Daarmee komt o.a. jouw e-mail niet meer aan bij de ontvanger.
   6. Vul bij Afzender automatische e-mail het adres in dat vermeld zal worden in de automatisch verstuurde e-mailberichten. Vul hier een algemeen e-mailadres van de organisatie in, bijvoorbeeld reply@enyoi.nl (gebruik je eigen e-mailadres, niet dit voorbeeld).

   Neem de onderstaande instellingen over. Vul je eigen gebruikersnaam en afzender in.

   Voor een Office 365-account is poort 587 verplicht, andere poorten zijn niet toegestaan.

   

   Stel de SendAs-rechten in.

Gmail (met Google service account key)

Gebruik deze stappen als je uitgaande e-mail wilt versturen via Gmail. Hiervoor heb je het volgende nodig:

• Google service account key
• Gmail-account. Profit stuurt de uitgaande e-mail namens deze account.

  Let op:

  Google beëindigde op 30 september 2024 de ondersteuning van het versturen van uitgaande e-mail via Gmail op basis van gebruikersnaam + wachtwoord. Ook het inlezen van e-facturen via deze methode is ingetrokken.Gebruik daarom een Google app-wachtwoord of een Google service account key.

Uitgaande e-mail via Gmail inrichten:

1. Google service account key inrichten

   Let op:

   Alleen een gebruiker die rechten heeft binnen de Google workspace account van de organisatie kan een Google service account key aanmaken. Hiervoor is een Google G Suite-account nodig, hier zijn kosten aan verbonden.

   Stappen om Google service account key in te richten

   1. Ga naar https://console.developers.google.com/iam-admin/serviceaccounts.
   2. Open het project waaronder je de service account wilt toevoegen.

      

   3. Maak een service account aan.

      

      De nieuwe service-account wordt getoond.

      

   4. Open de eigenschappen van de service-account.
   5. Ga naar het tabblad: Keys.
   6. Maak een nieuwe key aan.

      

   7. Selecteer het key type JSON en maak de key aan.
   8. Ga naar het tabblad: Details.
   9. Open de sectie Advances settings.
   10. Kopieer de Client ID.

       

   11. Klik op de actie: View Google workspace admin console.

       Hier richt je domain-wide delegation in.

   12. Ga naar: Security / Access and data control / API controls.
   13. Klik op de actie: Manage domain wide delegation.

       

   14. Plak hier de eerder gekopieerde 'Client ID'.

       

   15. Vul bij scope in:

       https://www.googleapis.com/auth/gmail.send

   16. Voeg de API client toe.
2. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
3. Ga naar het tabblad E-mail.
4. Selecteer Google Workspace bij Type e-mailserver.
5. Vul de Google service account key (JSON-bestand).
6. Vul je eigen afzender e-mailadres in.

   

DKIM als extra beveiligingslaag voor te versturen e-mails

Als je de mailserver van AFAS Online gebruikt, heb je naast het SPF-record nog een optie om je mailstroom te beveiligen: DKIM. Dit houdt in dat e-mails die je vanuit Profit verstuurd (namens de mailserver van AFAS Online) worden voorzien van een DKIM-handtekening. Deze handtekening bevat de afzender(domein) van jouw organisatie.

Je vraagt dit aan via de AFAS Klantportal (je kunt de aanvraag volgen via het klantdossier). Hiervoor doorloop je onderstaande stappen, waarna je van AFAS een gebruikersnaam en wachtwoord ontvangt. Door het gebruikersnaam en wachtwoord in een Profit-omgeving in te vullen bij de mailserver, zal vanuit die omgeving DKIM-ondertekening worden toegepast voor het domein waar je dit voor aanvraagt.

Je kan dezelfde gebruikersnaam en wachtwoord in meerdere Profit-omgevingen invullen om zo vanuit meerdere omgevingen DKIM-ondertekening namens dat domein toe te passen. Dit proces bestaat uit twee stappen, namelijk de aanvraag via de AFAS Klantportal en het vastleggen van de instellingen in de Profit-omgeving. Onderaan lees je hoe je een extra domein kunt toevoegen, bijvoorbeeld als je in een ander land actief wordt.

Alleen als je DKIM gebruikt, heb je geen SPF-record nodig. Het is echter wel toegestaan om DKIM te combineren met een SPF-record.

Let op:

Bij wie moet je zijn om DKIM-aanpassingen te doen in de controllpanel van de domeinleverancier? AFAS Support kan je hier niet bij helpen, maar je kunt dit opzoeken via https://lookup.icann.org/en/lookup (er zijn ook andere, soortgelijke websites).

Stap 1: Aanvraag via de AFAS Klantportal

1. Maak eerst twee CNAME-records aan in het DNS van je domein. Dit gaat om onderstaande twee records, waarbij voorbeelddomein.nl vervangen moet worden met jouw domein.
   • afasonline1._domainkey.voorbeelddomein.nl moet aangemaakt worden als CNAME met verwijzing naar afasonline1.domainkey.afas.online.
   • afasonline2._domainkey.voorbeelddomein.nl moet aangemaakt worden als CNAME met verwijzing naar afasonline2.domainkey.afas.online.

   AFAS adviseert voor beide CNAME-records een TTL (Time to live) van 1 uur. Je systeembeheerder kan de CNAME-records voor je aanmaken in het DNS.

   Het is toegestaan om de aanvraag bij AFAS al te doen voordat de CNAME-records zijn aangemaakt. In dat geval wordt de aanvraag afgekeurd met optie om de aanvraag opnieuw te laten beoordelen, nadat je de twee CNAME records correct hebt aangemaakt. Als je een AFAS Online SPF-record gebruikt, dan moet je dit geconfigureerd hebben, voordat je deze aanvraag doet. Bij DKIM is een SPF-record niet vereist.

   Let op:

   Bij sommige DNS-hosting providers (bijvoorbeeld bij TRANS IP) neem je niet het volledige CNAME-record op. Je vult alleen het CNAME record in, exclusief de domeinnaam.

   Je vult dan niet afasonline1._domainkey.voorbeelddomein.nl in, maar afasonline1._domainkey. (dit geldt uiteraard ook voor het tweede CNAME record afasonline2...)

   Je hosting provider vult in dat geval zelf het record met het domein aan (bijvoorbeeld enyoi.nl).

   Waarom moet je dit zo doen? Vul je bij bijvoorbeeld hostingprovider TRANS IP wel afasonline1._domainkey.voorbeelddomein.nl in, dan wordt het record feitelijk aangemaakt als afasonline1._domainkey.voorbeelddomein.nl.voorbeelddomein.nl met als resultaat dat een DKIM-aanvraag via klant.afas.nl wordt afgekeurd.

2. Log in op de AFAS Klantportal als Beheerder.
3. Ga op de AFAS Klantportal naar Mijn Gegevens / Abonnementen / Mijn Abonnement.
4. Klik op het abonnement van je Profit-omgeving.

   Heet de Profit-omgeving bijvoorbeeld O98765AA, dan is het abonnement 98765.

5. Klik op: DKIM-aanvraag aanmaken.
6. Vul in het veld DKIM-domein het domein in wat je wil gaan gebruiken.

   Het is belangrijk om bij het veld DKIM-domein de juiste domeinnaam in te vullen. Je vult hier het domein in waarvoor je DKIM wilt gebruiken. Het domein is onderdeel van het e-mailadres.

   Voorbeeld:

   Je mailadres is eva@voorbeelddomein.nl.

   We hebben alleen het gedeelte achter de @ nodig, dus voorbeelddomein.nl.

Stap 2: Instellingen in de Profit-omgeving

1. Via de aanvraag ontvang je een gebruikersnaam en wachtwoord, deze stel je als volgt in in Profit:
   1. Open de omgeving.
   2. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
   3. Ga naar het tabblad E-mail.
   4. Vink DKIM toepassen bij uitgaande e-mails aan en vul e-mailadres en wachtwoord in die in de DKIM-aanvraag staan.

Na het instellen worden je e-mailberichten DKIM versleuteld verstuurd.

DKIM-aanvraag voor een extra domein

Stel, je hebt ooit enyoi.nl aangevraagd en dit domein werkt naar wens. Je hebt onlangs een vestiging in België geopend en wil nu ook dat de mails namens enyoi.be DKIM ondertekend worden. In dat geval moet je de aanvraag nogmaals starten en vul je enyoi.be in. Dezelfde checks worden gedaan. Alleen de stappen onder Instellingen in de Profit-omgeving zijn dan niet meer nodig. In de aanvraag zal AFAS aangeven dat je al een gebruikersnaam en wachtwoord hebt en dat je die niet opnieuw ergens hoeft vast te leggen. Als de aanvraag voltooid is dan worden ook de e-mailberichten die je namens enyoi.be verstuurd, met DKIM ondertekend.

Meerdere omgevingen

Wanneer je meerdere omgevingen hebt, vink je per omgeving DKIM toepassingen bij uitgaande mail aan en gebruik je dezelfde gebruikersnaam en wachtwoord.

Controle beleid voor ontvangers instellen op domein afzender (DMARC)

Let op:

Gmail en Yahoo controleren vanaf 1 februari 2024 strenger op de beveiligingsmaatregelen die je als verzender treft. De belangrijkste wijziging is dat ze alleen geautoriseerde e-mails gaan toelaten in de inbox van de ontvanger. Daarom adviseren we om DMARC in te stellen als je Gmail en Yahoo gebruikt.

Je kunt DMARC gebruiken. DMARC is een e-mailvalidatiesysteem dat helpt bij het beschermen van je domein tegen e-mailfraude, zoals phishing en spoofing. Bij DMARC kan je met een registratie (DMARC record) op het domein waar je e-mails vandaan verstuurt aangeven hoe je wilt dat ontvangers om gaan met bepaalde controles (zoals DKIM en SPF) voor e-mails die vanuit jouw domein verstuurd (lijken te) zijn. Dit helpt het beperken van spam of e-mails die niet echt namens je organisatie verstuurd zijn.

Omdat DMARC een instelling is op je domein richt je dit als organisatie zelf in. Je hoeft hiervoor geen aanvraag bij AFAS en in te sturen en AFAS biedt hier geen ondersteuning op. Neem hiervoor contact op met de beheerder van je domein of mailservers. Verstuur je uitgaande mails via de AFAS e-mailserver, lees dan hier boven hoe je SPF en DKIM kan instellen.

Meer informatie:

• https://dmarcadvisor.com/nl/wat-is-dmarc

SMTP-instellingen (verzenden grote hoeveelheden e-mail)

Je kunt e-mail verzenden via een externe provider als Spotler SendPro, die gespecialiseerd is in de verzending van grote hoeveelheden e-mailberichten.

Let op:

AFAS biedt geen Support op de configuratie bij de externe provider, neem hiervoor contact op met de externe provider.

Profit instellen:

1. Open de omgeving.
2. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
3. Ga naar het tabblad E-mail.
4. Selecteer SMTP in het veld Type e-mailserver.
5. Server voor uitgaande mail: SMTP-server van de externe partij.
6. Poort voor uitgaande mail: 465
7. Vink Veilige communicatie afdwingen en SMTP server vereist verificatie aan.
8. Vul Gebruikersnaam en Wachtwoord.

   

9. Als alles goed geconfigureerd is in Profit en bij de externe partij, kun je een testmail versturen via de knop Test.