Hoe maak ik een DMARC-record?

DMARC helpt je domein te beschermen tegen misbruik, zoals spoofing en phishing. Het werkt samen met SPF en DKIM om ervoor te zorgen dat e-mails die vanaf je domein worden verzonden, legitiem zijn. Dit verbetert de algehele bezorgbaarheid, wat bijvoorbeeld erg handig kan zijn bij het verzenden van nieuwsbrieven.

In deze handleiding laten we zien hoe je een basis DMARC-record toevoegt in je DNS-instellingen en leggen we uit welk beleid je moet kiezen.

Nieuwe one.com Configuratiescherm update

Met de uitrol van ons nieuwe Configuratiescherm kunnen sommige stappen of screenshots in deze handleiding er anders uitzien dan nu. Terwijl we aan updates werken, raden we je aan onderstaande handleiding te raadplegen wanneer de instructies niet op je scherm overeenkomen:

Navigeren door het nieuwe one.com Configuratiescherm

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) vertelt ontvangende mailservers hoe ze e-mails moeten verwerken die niet door SPF- en DKIM-controles komen. Het helpt voorkomen dat anderen e-mails verzenden die zich voordoen als van jouw domein.

Met DMARC kun je ook rapporten ontvangen over de e-mailactiviteit van je domein, zodat je de e-mailbeveiliging kunt bewaken en verbeteren.

  • SPF verifieert of een e-mail is verzonden via goedgekeurde servers.
  • DKIM voegt een digitale handtekening toe aan e-mails, waardoor ontvangende mailservers de e-mail kunnen verifiëren.
  • DMARC definieert een beleid voor het verwerken van e-mails die niet door SPF- of DKIM-controles komen.

Om DMARC correct te laten werken, moet je domein al het volgende hebben:

DKIM is standaard ingeschakeld voor e-mails die vanaf onze servers worden verzonden. Bekijk onze handleiding over het inschakelen van SPF.

Let op: DMARC heeft alleen effect bij het verzenden van e-mail. Het heeft geen invloed op de spam e-mails die je in je eigen inbox ontvangt. Als echter alle e-mailaccounts deze validatiemethoden implementeren, zou spoofing in theorie niet meer mogelijk zijn.

DMARC-beleid uitgelegd

Een DMARC-beleid bepaalt wat er gebeurt met e-mail die niet door de DMARC-controle komt. Bij het aanmaken van het DMARC-record moet je een beleid kiezen:

  • geen - Alleen monitoring. Er worden geen e-mails geblokkeerd. 
  • quarantaine - Mislukte e-mails worden gemarkeerd als verdacht en vaak verplaatst naar spam.
  • reject - Mislukte e-mails worden volledig geblokkeerd.

Je kunt je DMARC-beleid op elk moment wijzigen. Een gebruikelijke aanpak is om te beginnen met 'geen', dan naar 'quarantaine' te gaan en tot slot naar 'afwijzen'. Zo kun je eerst controleren hoe je domein wordt gebruikt, vervolgens de impact van filters testen en pas niet-geverifieerde e-mails blokkeren zodra alles werkt zoals verwacht.

Als je dit proces wilt volgen, raden we sterk aan om een externe (betaalde) rapportageservice te gebruiken om de rapporten te analyseren, zoals Dmarcian, EasyDMARC of DMARCLY.

Als je DMARC gewoon wilt inschakelen zonder rapporten te analyseren, raden we aan om het beleid op 'quarantaine' te zetten. Hierdoor worden niet-geverifieerde e-mails als verdacht gemarkeerd of naar de spammap verzonden, waardoor de e-mailbeveiliging aanzienlijk wordt verbeterd.

Let op: In een .ch-domein kan het DMARC-beleid niet worden ingesteld op 'geen'.

DMARC e-mail rapporten

Wanneer je een DMARC-record aanmaakt, moet je ook een e-mailadres invoeren om DMARC-rapporten te ontvangen. Deze rapporten worden in XML-formaat verzonden en bevatten een overzicht van al het e-mailverkeer dat beweert van jouw domein te komen, inclusief welke e-mails wel of niet door de DMARC-controle komen.

Er zijn twee soorten rapporten:

  • RUA-rapporten - Dagelijks verzonden en bevatten een samenvatting van alle e-mailactiviteit voor het domein, inclusief IP-adressen en authenticatieresultaten.
  • RUF-rapporten - Alleen verzonden wanneer een e-mail niet door DMARC komt. Ze bevatten gedetailleerde informatie, zoals de berichtheader en delen van de oorspronkelijke e-mail.

De meeste gebruikers hebben baat bij het ontvangen van alleen RUA-rapporten, omdat deze alle informatie bevatten die nodig is voor monitoring. RUF-rapporten zijn optioneel en voornamelijk handig voor geavanceerde probleemoplossing.

Let op: Niet alle e-mailproviders verzenden DMARC-rapporten, daarom is het normaal dat sommige e-mails niet in je gegevens voorkomen.

Maak een DMARC-record aan op je domein

Voordat je begint

We raden aan een e-mailaccount op je domein aan te maken om deze rapporten te ontvangen, bijvoorbeeld: dmarc-reports@jouwdomein.com. Hierdoor blijven je rapporten gescheiden en zijn ze gemakkelijker te beheren.


Voeg het DMARC-record toe

Hierdoor wordt DMARC geactiveerd in de monitoringmodus en ontvang je dagelijks RUA-rapporten met een overzicht van de e-mailactiviteit vanaf je domein.
  1. Log in op het Configuratiescherm.
  2. Ga naar de tegel Geavanceerde instellingen en klik op DNS-instellingen.
  3. Ga naar DNS-records en klik op Nieuw record aanmaken
  4. Kies TXT als recordtype.
  5. Voer de volgende waarden in:
    - Hostnaam: _dmarc
    - Waarde: Voer onderstaande tekst in en vervang de naam van het beleid van je keuze en een e-mailadres door het e-mailadres van je keuze:
    v=DMARC1; p=policy name; rua=mailto:an-email-address
    - TTL: Laat dit veld leeg om de standaardwaarde van 3600 seconden te gebruiken, tenzij je een specifieke waarde nodig hebt.
  6. Klik op Record aanmaken om de instellingen op te slaan.
    Wijzigingen worden meestal binnen enkele minuten van kracht.

Om te controleren of het record correct is ingesteld, kun je een DMARC-recordchecker gebruiken.

Optioneel: Voeg RUF toe aan je DMARC-record

Als je meer gedetailleerde rapporten wilt over individuele e-mails die niet voldoen aan DMARC, kun je de optionele ruf tag toevoegen. Deze "forensische" rapporten kunnen berichtkoppen bevatten en, in sommige gevallen, delen van de originele e-mail. Ze zijn voornamelijk handig voor geavanceerde probleemoplossing.

Als je ervoor kiest om RUF toe te voegen, raden we aan dezelfde speciale mailbox te gebruiken:

v=DMARC1; p=policy name; rua=mailto:an-email-address; ruf=mailto:an-email-address


Versterk je beleid

Nadat je de rapporten hebt bekeken en hebt bevestigd dat de geldige e-mail correct is geverifieerd, kun je het DMARC-beleid geleidelijk aan verscherpen. 

Begin met p=none, schakel dan over naar p=quarantaine en tot slot naar p=reject.

Voorbeeld

In dit voorbeeld stellen we DMARC in op het domein one-example.com. We hebben quarantaine als beleid gekozen en dmarc-reports@one-example.com als e-mailadres voor RUA- en RUF-rapporten ingevoerd.

De screenshot laat

Gerelateerde artikelen:

Was dit artikel nuttig?

Kun je het antwoord niet vinden?

Start een chat

De snelste manier om contact op te nemen — op werkdagen van 09:00 tot 18:00.

Start chat

Bellen kan ook!

Beschikbaar op werkdagen van 09:00 tot 16:00.

Bel +31 20 899 02 86 / +32 7 848 27 55