Hoe maak ik een DMARC-record aan?

DMARC helpt je domein te beschermen tegen misbruik, zoals spoofing en phishing. Het werkt samen met SPF en DKIM om ervoor te zorgen dat e-mails die vanaf je domein worden verzonden, legitiem zijn. Dit verbetert de algehele afleverbaarheid, wat bijvoorbeeld erg handig kan zijn bij het versturen van nieuwsbrieven.

In deze handleiding lees je hoe je een standaard DMARC-record toevoegt aan je DNS-instellingen en wordt uitgelegd welk beleid je het beste kunt kiezen.

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) geeft ontvangende mailservers aan hoe ze moeten omgaan met e-mails die de SPF- en DKIM-controles niet doorstaan. Het helpt voorkomen dat anderen e-mails versturen die doen alsof ze afkomstig zijn van jouw domein.

Met DMARC kun je ook rapporten ontvangen over de e-mailactiviteit van je domein, zodat je je e-mailbeveiliging kunt controleren en verbeteren.

  • SPF controleert of een e-mail via goedgekeurde servers is verzonden.
  • DKIM voegt een digitale handtekening toe aan e-mails, waardoor de ontvangende mailservers de e-mail kunnen verifiëren.
  • DMARC legt een beleid vast voor de afhandeling van e-mails die niet door de SPF- of DKIM-controle komen.

Om DMARC goed te laten werken, moet je domein al beschikken over:

  • Een record SPF
  • DKIM-ondersteuning voor je e-maildienst

DKIM is standaard ingeschakeld voor e-mails die vanaf onze servers worden verzonden, en je kunt check onze handleiding over het inschakelen van SPF raadplegen.

Opmerking: DMARC werkt alleen bij het versturen van e-mails. Het heeft geen invloed op de spam-e-mails die je in je eigen inbox ontvangt. Als alle e-mailaccounts deze validatiemethoden zouden toepassen, zou spoofing in theorie echter niet meer mogelijk zijn.

DMARC-beleidsregels uitgelegd

Een DMARC-beleid bepaalt wat er gebeurt met e-mails die de DMARC-controle niet doorstaan. Wanneer je het DMARC-record aanmaakt, moet je een beleid kiezen:

  • geen - Alleen monitoring. Er worden geen e-mails geblokkeerd. 
  • quarantaine - Mislukte e-mails worden als verdacht gemarkeerd en vaak naar de spamfolder verplaatst.
  • weigeren - Mislukte e-mails worden volledig geblokkeerd.

Je kunt je DMARC-beleid op elk moment aanpassen. Een veelgebruikte aanpak is om te beginnen met 'none', vervolgens over te stappen naar 'quarantine' en uiteindelijk naar 'reject'. Zo kun je eerst in de gaten houden hoe je domein wordt gebruikt, daarna de effecten van het filteren testen en pas e-mails zonder authenticatie blokkeren als alles naar behoren werkt.

Als je dit proces wilt volgen, raden we je ten zeerste aan om een externe (betaalde) rapportageservice te gebruiken om de rapporten te analyseren, zoals Dmarcian, EasyDMARC of DMARCLY.

Als je DMARC alleen wilt inschakelen zonder rapporten te analyseren, raden we je aan het beleid in te stellen op 'quarantaine'. Hierdoor worden niet-geverifieerde e-mails als verdacht gemarkeerd of naar de spamfolder gestuurd, wat je e-mailbeveiliging aanzienlijk verbetert.

Let op: bij .ch-domeinen mag het DMARC-beleid niet op 'none' worden ingesteld.

DMARC-e-mailrapporten

Als je een DMARC-record aanmaakt, moet je ook een e-mailadres opgeven om DMARC-rapporten te ontvangen. Deze rapporten worden in XML-formaat verzonden en bevatten een overzicht van al het e-mailverkeer dat beweert afkomstig te zijn van jouw domein, inclusief welke e-mails de DMARC-controle doorstaan of niet.

Er zijn twee soorten rapporten:

  • RUA-rapporten – Worden dagelijks verzonden en bevatten een overzicht van alle e-mailactiviteit voor je domein, inclusief IP-adressen en authenticatieresultaten.
  • RUF-rapporten – Worden alleen verzonden als een e-mail niet voldoet aan DMARC. Ze bevatten gedetailleerde informatie, zoals de berichtkop en delen van de oorspronkelijke e-mail.

De meeste gebruikers hebben er baat bij om alleen RUA-rapporten te ontvangen, omdat die alle informatie bevatten die nodig is voor het monitoren. RUF-rapporten zijn optioneel en vooral handig voor geavanceerde probleemoplossing.

Opmerking: Niet alle e-mailproviders sturen DMARC-rapporten, dus het is normaal dat sommige e-mails niet in je gegevens voorkomen.

Maak een DMARC-record aan voor je domein

Voordat je begint

We raden je aan op je domein een e-mailadres hrefaan te makenhref dat speciaal bedoeld is voor het ontvangen van deze rapporten, bijvoorbeeld: dmarc-reports@yourdomain.com. Zo houd je je rapporten gescheiden en zijn ze makkelijker te beheren.


Voeg het DMARC-record toe

Hiermee wordt DMARC in de bewakingsmodus geactiveerd en ontvang je dagelijks RUA-rapporten met een overzicht van de e-mailactiviteit van je domein.
  1. Log in op je com-configuratiescherm.
  2. Ga naar de tegel ‘Geavanceerde instellingen’ en klik op ‘DNS-instellingen’.
  3. Ga naar DNS-records en klik op ‘Nieuw record aanmaken’
  4. Kies TXT als recordtype.
  5. Voer de volgende waarden in:
    - Hostnaam: _dmarc
    - Waarde: Voer de onderstaande tekst in en vervang ‘policy name’ door de gewenste polisnaam en ‘an-email-address’ door het gewenste e-mailadres:
    v=DMARC1; p=policy name; rua=mailto:an-email-address
    - TTL: Laat dit veld leeg om de standaardwaarde van 3600 seconden te gebruiken, tenzij je een specifieke waarde nodig hebt.
  6. Klik op 'Record aanmaken' om je instellingen op te slaan.
    De wijzigingen worden meestal binnen een paar minuten doorgevoerd.

Om te controleren of het record correct is ingesteld, kun je een DMARC recordchecker gebruiken.

Optioneel: Voeg RUF toe aan je DMARC-record

Als je meer gedetailleerde rapporten wilt over individuele e-mails die niet aan de DMARC-vereisten voldoen, kun je de optionele ruf-tag toevoegen. Deze ‘forensische’ rapporten kunnen berichtkopteksten bevatten en, in sommige gevallen, delen van de oorspronkelijke e-mail. Ze zijn vooral handig voor geavanceerde probleemoplossing.

Als je ervoor kiest om RUF toe te voegen, raden we je aan dezelfde speciale mailbox te gebruiken:

v=DMARC1; p=policy name; rua=mailto:an-email-address; ruf=mailto:an-email-address


Versterk je beleid

Nadat je je rapporten hebt bekeken en hebt gecontroleerd of de legitieme e-mail correct is geverifieerd, kun je je DMARC-beleid geleidelijk aanscherpen. 

Begin met p=none, schakel vervolgens over naar p=quarantine en ten slotte naar p=reject.

Voorbeeld:

In dit voorbeeld stellen we DMARC in voor het domein one-example.com. We hebben ‘quarantaine’ als beleid gekozen en dmarc-reports@one-example.com opgegeven als e-mailadres voor RUA- en RUF-rapporten.

De schermafbeelding toont een voorbeeld van het toevoegen van een TXT-record voor DMARC in het DNS-beheer.

Gerelateerde artikelen:

Was dit artikel nuttig?

Kun je het antwoord niet vinden?

Start een chat

De snelste manier om contact op te nemen — op werkdagen van 09:00 tot 18:00.

Start chat

Bellen kan ook!

Beschikbaar op werkdagen van 09:00 tot 16:00.

Bel +31 20 899 02 86 / +32 7 848 27 55