Snel overzicht
DMARC beschermt je domeinnaam tegen misbruik door criminelen. Het zorgt ervoor dat niemand namens jouw e-mailadres valse berichten kan versturen. Denk aan phishing-mails of fraude.
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Dat klinkt ingewikkeld, maar het idee is simpel: het is een systeem dat controleert of een e-mail écht van jouw domein komt.
Stel je voor: iemand stuurt een e-mail die eruitziet alsof deze van info@jouwbedrijf.nl komt, maar in werkelijkheid verstuurd is door een crimineel. Dit heet e-mail spoofing. DMARC voorkomt dit door ontvangers (zoals Gmail of Outlook) te vertellen:
- "Controleer altijd of e-mails van ons domein echt zijn"
- "Dit zijn de checks die je moet doen" (SPF en DKIM)
- "Dit moet je doen als een e-mail de controle niet doorstaat" (weigeren, in spam plaatsen, of accepteren)
Waarom is dit belangrijk?
Zonder DMARC kan iedereen e-mails versturen die lijken alsof ze van jouw domein komen. Dit kan leiden tot:
- Phishing-aanvallen op je klanten of medewerkers
- Reputatieschade voor je bedrijf
- Juridische problemen als je domein wordt misbruikt
- Je legitieme e-mails die in spam belanden
Hoe werkt DMARC?
DMARC bouwt voort op twee andere beveiligingstechnologieën: SPF en DKIM. Je kunt DMARC zien als de "bewaker" die deze twee controles afdwingt.
De drie pijlers van e-mail authenticatie
-
SPF (Sender Policy Framework)
SPF is een lijst van servers die e-mail mogen versturen namens jouw domein. Het is alsof je zegt: "Deze servers zijn officieel goedgekeurd om e-mail te versturen vanaf mijn domein."
→ Lees meer over SPF -
DKIM (DomainKeys Identified Mail)
DKIM voegt een digitale handtekening toe aan je e-mails. Het werkt als een zegel dat bewijst dat de e-mail niet is aangepast tijdens het transport.
→ Lees meer over DKIM -
DMARC (Domain-based Message Authentication)
DMARC vertelt ontvangers wat ze moeten doen als SPF of DKIM checks falen. Je kunt kiezen uit drie opties:none- Alleen rapporteren, geen actie ondernemenquarantine- Verdachte e-mails in spam plaatsenreject- Verdachte e-mails weigeren (aanbevolen)
Een praktisch voorbeeld
Laten we zeggen dat je bedrijf "BestellenBV.nl" heet:
Scenario zonder DMARC:
Een crimineel stuurt een e-mail vanaf factuur@bestellenbv.nl (vervalst) naar je klanten met een valse betaallink. De klanten denken dat het echt is en betalen. Jouw bedrijf krijgt de schuld.
Scenario met DMARC:
De crimineel probeert hetzelfde. De ontvangende mailserver (bijvoorbeeld Gmail) controleert:
- Is er een geldig SPF record? ❌ (het komt niet van een goedgekeurde server)
- Is er een geldige DKIM handtekening? ❌ (die kan de crimineel niet namaken)
- Wat zegt het DMARC beleid? →
reject - Resultaat: De e-mail wordt geweigerd en bereikt je klanten nooit. Je krijgt een rapport dat iemand dit heeft geprobeerd.
Veelgemaakte fouten bij DMARC
- Direct starten met policy=reject
Begin altijd metp=noneom te monitoren. Schakel pas over naarp=rejectals je zeker weet dat alle legitieme e-mail goed is geconfigureerd. - SPF of DKIM niet correct ingesteld
DMARC werkt niet zonder correcte SPF én DKIM configuratie. Test beide eerst grondig. - Subdomeinen vergeten
Desp=tag in je DMARC record bepaalt wat er gebeurt met subdomeinen (bijv.nieuwsbrief.jouwbedrijf.nl). Vergeet deze niet! - Geen DMARC rapporten controleren
DMARC stuurt rapporten over wie e-mail verstuurt namens jouw domein. Deze rapporten zijn goud waard om problemen en misbruik te ontdekken. - Te strenge alignment
De alignment mode (strict vs relaxed) bepaalt hoe streng DMARC controleert. Begin metrelaxedtenzij je een specifieke reden hebt voorstrict.
DMARC Stap voor Stap Instellen
Stap 1: Controleer je SPF en DKIM
Voordat je DMARC instelt, moeten SPF en DKIM correct werken:
- Test je domein met onze gratis domein scanner
- Zorg dat SPF en DKIM beide een groene vink krijgen
- Los eventuele problemen eerst op
Stap 2: Maak een DMARC record aan
Een basis DMARC record voor monitoring ziet er zo uit:
_dmarc.jouwdomein.nl. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl"Dit record betekent:
v=DMARC1- Dit is een DMARC record versie 1p=none- Voer geen actie uit, alleen monitorenrua=mailto:dmarc@jouwdomein.nl- Stuur rapporten naar dit e-mailadres
Stap 3: Voeg het record toe aan je DNS
Log in bij je DNS provider (vaak je domeinnaam registrar of hosting provider) en voeg een nieuw TXT record toe:
- Naam/Host:
_dmarcof_dmarc.jouwdomein.nl - Type: TXT
- Waarde: Het DMARC record zoals hierboven
- TTL: 3600 (1 uur)
Let op
DNS wijzigingen kunnen 24-48 uur duren voordat ze wereldwijd actief zijn. Test je record na een paar uur met onze tool of met online DMARC checkers.
Stap 4: Monitor de rapporten
Na een paar dagen ontvang je DMARC rapporten op het opgegeven e-mailadres. Deze rapporten tonen:
- Welke servers e-mail versturen namens jouw domein
- Hoeveel e-mails slagen of falen voor SPF/DKIM
- Potentieel misbruik of verkeerde configuraties
Stap 5: Verscherp geleidelijk je beleid
Als je zeker weet dat alle legitieme e-mail correct werkt (meestal na 2-4 weken monitoren):
- Stap 1: Wijzig
p=nonenaarp=quarantine
Start met 10% van de e-mails (v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@jouwdomein.nlpct=10) om voorzichtig te zijn - Stap 2: Verhoog geleidelijk het percentage naar 100%
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@jouwdomein.nl - Stap 3: Schakel over naar volledige bescherming
v=DMARC1; p=reject; rua=mailto:dmarc@jouwdomein.nl; ruf=mailto:forensic@jouwdomein.nl
Gefeliciteerd!
Als je p=reject hebt ingesteld, is je domein optimaal beschermd tegen e-mail spoofing. Dit betekent dat ontvangers zoals Gmail en Outlook alle e-mail die niet voldoet aan je SPF/DKIM eisen automatisch zullen weigeren.
DMARC Tags Uitgelegd
Een volledig DMARC record kan meer tags bevatten. Hier zijn de belangrijkste:
| Tag | Betekenis | Voorbeeld |
|---|---|---|
v |
Versie (altijd DMARC1) | v=DMARC1 |
p |
Policy (none, quarantine, reject) | p=reject |
sp |
Policy voor subdomeinen | sp=reject |
rua |
E-mailadres voor rapporten | rua=mailto:dmarc@voorbeeld.nl |
ruf |
E-mailadres voor forensische rapporten | ruf=mailto:forensic@voorbeeld.nl |
pct |
Percentage e-mails waarop policy geldt | pct=100 |
adkim |
DKIM alignment mode (r=relaxed, s=strict) | adkim=r |
aspf |
SPF alignment mode (r=relaxed, s=strict) | aspf=r |
Veelgestelde Vragen
Werkt mijn e-mail nog zonder DMARC?
Ja, maar je loopt risico. Zonder DMARC kunnen criminelen makkelijker je domeinnaam misbruiken. Bovendien eisen veel grote bedrijven (zoals banken) tegenwoordig DMARC van hun leveranciers.
Moet ik direct p=reject instellen?
Nee, absoluut niet! Begin altijd met p=none om te monitoren. Pas na minimaal 2 weken (beter: 4 weken) kun je overschakelen naar p=quarantine en daarna naar p=reject. Zo voorkom je dat legitieme e-mail wordt geblokkeerd.
Wat als ik geen DMARC rapporten wil ontvangen?
Je kunt de rua tag weglaten, maar dit wordt sterk afgeraden. De rapporten zijn waardevol om te zien:
- Of je SPF/DKIM correct zijn ingesteld
- Welke diensten e-mail versturen namens jouw domein
- Of er misbruik plaatsvindt
Geldt DMARC ook voor subdomeinen?
Standaard erft een subdomein het DMARC beleid van het hoofddomein. Je kunt echter een aparte policy instellen voor subdomeinen met de sp= tag, of een specifiek DMARC record aanmaken voor een subdomein zoals _dmarc.nieuwsbrief.jouwdomein.nl.
Hoe weet ik of mijn DMARC correct werkt?
Gebruik onze gratis domein scanner om je DMARC, SPF en DKIM te controleren. De tool geeft aan of alles correct is ingesteld en geeft concrete tips bij problemen.