Kan een domein meer dan één SPF-record hebben?

Nee. RFC 7208 schrijft precies één SPF-record per domein voor. Als er twee TXT-records bestaan die beginnen met v=spf1, geven beide een PermError-foutmelding en mislukt de SPF-controle volledig. Voeg alle geautoriseerde bronnen samen tot één enkel record.

Wat betekent het als mijn domein te veel DNS-opzoekingen heeft?

Uw SPF-record overschrijdt de limiet van 10 DNS-lookups die is vastgelegd in RFC 7208. Dit leidt tot een SPF PermError, waardoor de SPF-verificatie voor alle e-mails mislukt – niet alleen voor de e-mails die buiten de limiet vallen. Beperk het aantal includes, vervang deze door ip4:/ip6:, of maak gebruik van SPF-flattening of macro’s om binnen de limiet te blijven.

Wat is het verschil tussen SPF softfail (~all) en hardfail (-all)?

Softfail (~all) geeft ontvangers de instructie om de e-mail te accepteren, maar deze als verdacht te markeren. Hardfail (-all) geeft ontvangers de instructie om de e-mail direct te weigeren. Gebruik softfail tijdens de eerste installatie en het testen; schakel over naar hardfail zodra alle legitieme afzenders zijn geverifieerd en DMARC is geïmplementeerd.

Voorkomt SPF e-mailspoofing?

Niet op zichzelf. SPF controleert de afzender van de envelop (Return-Path), niet de From-header die ontvangers te zien krijgen. Een aanvaller kan de SPF-controle doorstaan terwijl hij het zichtbare From-adres vervalst. Je hebt DMARC nodig – dat de overeenstemming tussen de SPF-/DKIM-resultaten en de From-header controleert – om het vervalsen van de weergavenaam te voorkomen.

Wat gebeurt er als SPF niet werkt?

Dat hangt af van de SPF-kwalificatie en of DMARC is geconfigureerd. Bij -all en een DMARC-weigeringsbeleid wordt de e-mail geblokkeerd. Bij ~all en geen DMARC wordt de e-mail mogelijk nog steeds afgeleverd, maar gemarkeerd als verdacht. Zonder SPF hebben ontvangers geen SPF-signaal om te beoordelen.

Hoe kan ik mijn SPF-record controleren?

Gebruik een gratis tool om je SPF-record te controleren. Voer je domeinnaam in, waarna de tool je SPF-record ophaalt uit het DNS-systeem, de syntaxis controleert, het aantal DNS-opzoekingen telt en eventuele fouten markeert – inclusief schendingen van het PermError- en void-opzoekingsbeleid.

Heb ik SPF nodig als ik al DKIM en DMARC heb?

Ja. DMARC vereist dat ten minste één van de twee, SPF of DKIM, de controle doorstaat en in overeenstemming is. Hoewel DKIM op zichzelf al aan de DMARC-vereisten voldoet, biedt het gebruik van zowel SPF als DKIM extra zekerheid. Als één van beide faalt (bijvoorbeeld wanneer SPF niet werkt bij het doorsturen), kan de andere nog steeds voldoen aan de DMARC-vereisten.

Wat is SPF-uitlijning?

SPF-overeenstemming houdt in dat het domein in het Return-Path (afzender van de envelop) overeenkomt met het domein in de From-header. DMARC controleert deze overeenstemming. Zonder deze overeenstemming kan SPF wel slagen, maar zal DMARC toch mislukken – wat vaak het geval is bij afzenders van derden, tenzij zij zijn geconfigureerd om uw domein in het Return-Path te gebruiken.

Hoe vaak moet ik mijn SPF-record bijwerken?

Controleer uw SPF-record telkens wanneer u een verzendservice toevoegt of verwijdert, en voer ten minste elk kwartaal een controle uit. SPF-records raken verouderd wanneer leveranciers hun IP-reeksen wijzigen en de verzendinfrastructuur van uw organisatie verandert. Een SPF-record dat zes maanden geleden nog geldig was, kan vandaag de dag onjuist of onvolledig zijn.

Wat is SPF-afvlakking?

SPF-flattening zet alle 'include'-verwijzingen om in ruwe IP-adressen, waardoor het aantal DNS-lookups wordt verminderd. Hierdoor blijft u onder de limiet van 10 lookups, maar ontstaat er een statisch record dat moet worden bijgewerkt telkens wanneer een leverancier zijn IP-adressen wijzigt. Moderne alternatieven zoals SPF-macro’s houden het record dynamisch en blijven tegelijkertijd onder de limiet.

DMARC-geaggregeerd rapport (RUA): wat het is en hoe je het leest

Belangrijkste Conclusies

RUA-rapporten (Reporting URI for Aggregate) bieden een uitgebreid 24-uursoverzicht van al het e-mailverkeer via uw domein, waarbij wordt weergegeven wie er namens u e-mails verstuurt.
In tegenstelling tot forensische rapporten bevatten RUA-rapporten geen inhoud van e-mailberichten of persoonlijk identificeerbare informatie (PII), waardoor ze voldoen aan de wereldwijde voorschriften inzake gegevensbescherming.
Deze rapporten vormen het belangrijkste hulpmiddel om pogingen tot spoofing en verkeerd geconfigureerde legitieme diensten op te sporen.
Onbewerkte XML-rapporten zijn moeilijk handmatig te lezen; het gebruik van een geautomatiseerde analysetool is in 2026 de industriestandaard.
Een consequente analyse van RUA-gegevens is de enige veilige manier om uw beleid in te stellen op ‘afwijzen’ zonder ‘goede’ e-mail te blokkeren.

Elke 24 uur sturen ontvangende mailservers je een gestructureerd gegevensbestand – een DMARC-overzichtsrapport (RUA) – waarin elk IP-adres wordt vermeld dat e-mail heeft verzonden via jouw domein: wat is er gelukt, wat is er misgegaan en wat is er geweigerd. Als je ochtend begint met bezorgingsproblemen en spamklachten, kun je hier de oorzaak achterhalen.

Deze rapporten worden echter geleverd als compacte XML-bestanden die niet bepaald gebruiksvriendelijk zijn. De gegevens zijn dus weliswaar zeer waardevol, maar om er het maximale uit te halen, is de juiste invalshoek nodig.

In deze handleiding leggen we uit wat DMARC-aggregaterapporten precies bevatten, hoe je ze kunt interpreteren zonder gek te worden, en hoe je die ruwe gegevens kunt omzetten in iets dat veel bruikbaarder is.

Wat is een DMARC-geaggregeerd rapport?

Een DMARC-overzichtsrapport is een dagelijks XML-overzicht dat door ontvangende mailservers naar domeineigenaren wordt verzonden en dat alle e-mailverkeer omvat dat beweert gebruik te maken van uw domein gedurende een periode van 24 uur.

In tegenstelling tot forensische rapporten zijn RUA-rapporten privacyvriendelijk. Ze bevatten geen inhoud van individuele e-mails, onderwerpregels of persoonlijk identificeerbare informatie (PII); in plaats daarvan richten ze zich op IP-adressen, volumes en authenticatieresultaten.

Onbewerkte XML (vereenvoudigd)

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>24h</date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>reject</p>
  </policy_published>

  <record>
    <source_ip>209.85.1.1</source_ip>
    <count>1284</count>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </record>
</feedback>

Geparseerd door

Rapporterende organisatie

Wie heeft het rapport verstuurd (Google, Microsoft, Yahoo)?

Rapport-ID • datumbereik • e-mailadres van de contactpersoon

Gepubliceerd DMARC-beleid

Uw lopende polis tijdens de verslagperiode

Domein • afstemmingsmodus • p=geen/quarantaine/weigeren

Verzendend IP-adres

Elke server die e-mail heeft verzonden via uw domein

Detecteer ongeautoriseerde afzenders en vervalste IP-adressen

Verificatieresultaten

SPF-, DKIM- en DMARC-resultaten per bron

geslaagd
mislukt
per SPF • per DKIM

DMARC Aggregate versus Forensic (RUA versus RUF)

RUA-rapporten (geaggregeerd) bieden een dagelijks overzicht op hoog niveau van alle e-mailactiviteit via uw domein, terwijl RUF-rapporten (forensisch) realtime meldingen per incident zijn die gedetailleerde informatie geven over individuele mislukte authenticatiepogingen. Kortom: RUA geeft het totaalbeeld weer, terwijl RUF inzoomt op specifieke problemen, hoewel deze laatste optie vanwege privacyoverwegingen minder breed wordt ondersteund.

Hieronder volgen de belangrijkste verschillen tussen RUA- en RUF-rapporten.

Functie	RUA (rapportage-URI voor geaggregeerde gegevens)	RUF (Forensisch rapport)
Frequentie	Eens per 24 uur	In realtime, per storing
Toepassingsgebied	Dagelijks overzicht van al het verkeer	Foutmeldingen bij individuele authenticatie
Privacy	Geen persoonsgegevens opgenomen	Kan gegevens/headers op berichtniveau bevatten
Ondersteuning	Algemeen (Google, Microsoft, enz.)	Beperkt (Veel aanbieders laten dit weg om privacyredenen)

RUA

SAMENVATTEND VERSLAG

Frequentie

Eens per 24 uur

Wat het omvat

Alle e-mailverkeer — geslaagd en mislukt

Privacy

Geen persoonsgegevens — veilig voor alle regio's

Het beste voor

Dagelijkse controle en handhaving

RUF

FORENSISCH RAPPORT

Frequentie

In realtime, per storing

Wat het omvat

Alleen afleveringsfouten per e-mail

Privacy

Kan onderwerpregels bevatten

Het beste voor

Onderzoek naar specifieke spoofing-aanvallen

Welke gegevens bevat een DMARC-overzichtsrapport?

Hoewel een onbewerkt XML-bestand er misschien intimiderend uitziet, worden de gegevens daarin geordend in specifieke recordblokken die inzicht geven in de status van je authenticatie.

1. Metagegevens van het rapport

In dit gedeelte wordt vermeld wie het verslag heeft opgesteld en welke periode het verslag bestrijkt:

Rapport-ID: een unieke identificatiecode voor het betreffende rapport.
Tijdsperiode: Het specifieke tijdsbestek van 24 uur waarin de activiteiten werden gemonitord.
Naam van de organisatie: De entiteit die het rapport heeft gegenereerd, meestal een e-mailprovider.
Contactgegevens: Informatie over hoe u contact kunt opnemen met de rapporterende organisatie.

2. Gepubliceerd DMARC-beleid

Hier wordt het specifieke beleid (p=geen, quarantaine of weigeren) weergegeven dat tijdens de rapportageperiode in uw DNS van kracht was.

3. Opnameblokken

Elk recordblok bevat informatie over een specifieke reeks e-mails op basis van hun bron:

Bron-IP: het IP-adres van waaruit de geanalyseerde e-mails afkomstig zijn.
Aantal berichten: het totale aantal e-mails dat in die periode vanaf dat IP-adres is verzonden.
Beoordeeld beleid: de genomen maatregel (afhandeling) en of deze in overeenstemming was met uw beleid.
SPF- en DKIM- resultaten: De specifieke resultaten (geslaagd/mislukt) voor elke authenticatiemethode.

Hoe schakel ik DMARC-geaggregeerde rapporten in?

Om deze rapporten te ontvangen, moet u de tag `rua=` toevoegen aan uw DMARC DNS TXT-record.

Voorbeeldrecord:

v=DMARC1; p=none; rua=mailto:[email protected]

Als u rapporten naar een extern domein wilt verzenden, moet het ontvangende domein een speciaal DNS-record publiceren waarmee toestemming wordt verleend.

Hoe lees je een DMARC-overzichtsrapport?

Reading DMARC aggregate reports manually involves parsing XML tags like <record>, <row>, and <auth_results>.

Trends herkennen

Afzonderlijke rapporten geven slechts een beperkt beeld, maar zijn het meest effectief wanneer ze in combinatie worden gebruikt om de voortgang bij te houden. Zo kan een groot aantal mislukkingen vanaf een specifiek IP-adres in de loop van de tijd wijzen op een poging tot spoofing of op een verkeerd geconfigureerde legitieme server.

Voorbeeld van een XML-fragment

<source_ip>192.168.1.1</source_ip> <count>1023</count> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf>

In dit fragment zijn e-mails afkomstig van IP-adres 192.168.1.1 geslaagd voor DKIM, maar gezakt voor SPF. Aangezien de instelling ‘none’ is, is er ondanks de fout geen actie ondernomen.

Waarom zijn DMARC-overzichtsrapporten belangrijk voor e-mailbeveiliging?

Je kunt niet beschermen wat je niet ziet. De rapporten van RUA zitten boordevol bruikbare inzichten die je bedrijf vooruit helpen:

Verbeter de afleverbaarheid: breng in kaart in welke gevallen legitieme e-mails als spam worden gemarkeerd en pas de instellingen aan om dit te verhelpen.
Verbeter de beveiliging en naleving: spoor onbevoegde afzenders op die zich voordoen als uw merk of uw domein op kwaadwillige wijze gebruiken.
Veilige afhandeling: zorg voor het nodige inzicht om van p=none (alleen controleren) over te schakelen naar p=quarantine of p=reject, zonder legitieme e-mail tegen te houden.
Beperk schaduw-IT (onbevoegde clouddiensten die door medewerkers worden gebruikt zonder goedkeuring van de IT-afdeling): breng clouddiensten van derden in kaart die mogelijk zonder uw medeweten e-mails namens u versturen.

Hoe maak je effectief gebruik van DMARC-geaggregeerde rapporten?

Om het maximale uit uw DMARC-overzichtsrapporten te halen, moet u de overstap maken van passieve gegevensverzameling naar actief domeinbeheer. Aangezien ruwe XML-gegevens notoir moeilijk handmatig te ontleden zijn, helpen deze zes strategische best practices u om met vertrouwen een situatie van volledige DMARC-handhaving (p=reject) te bereiken.

1. Maak gebruik van een gespecialiseerde DMARC-analyseoplossing

Hoewel je XML-bestanden technisch gezien in een teksteditor kunt openen, is dat bij honderden rapporten op grote schaal onpraktisch. Een gespecialiseerde tool zoals de DMARC-rapportanalysator neemt je het zware werk uit handen door:

XML omzetten in visuele weergaven: duizenden regels code omzetten in intuïtieve geografische kaarten, cirkeldiagrammen en dashboards met informatie over cyberdreigingen.
Automatische bronherkenning: in plaats van alleen een IP-adres te zien, zoals 209.85.220.41, identificeert een professionele analysetool de dienst aan de hand van de naam (bijvoorbeeld „Google Workspace“ of „Salesforce“).
Foutmarkering: Syntaxfouten in uw SPF-/DKIM-records die ervoor kunnen zorgen dat legitieme e-mails niet worden afgeleverd, worden automatisch gemarkeerd.

2. Zorg voor een vast beoordelingsritme

E-mailsystemen zijn dynamisch; er komen steeds nieuwe marketingtools bij en de IP-reeksen van externe leveranciers veranderen regelmatig.

Dagelijkse controle: Controleer tijdens de eerste installatiefase (bij p=none) dagelijks de rapporten om er zeker van te zijn dat er geen legitiem verkeer wordt geblokkeerd.
Wekelijkse controles: Zodra uw beleid de status p=quarantaine of p=afgewezen heeft, volstaat een wekelijkse controle doorgaans om te controleren op nieuwe pogingen tot spoofing of „schaduw-IT“ (ongeautoriseerde clouddiensten die door verschillende afdelingen worden gebruikt).
Proactief versus reactief: wacht niet tot er een crisis rond de afleverbaarheid of een phishingaanval plaatsvindt voordat u uw RUA-gegevens bekijkt.

3. Bekijk de details van storingen met een groot aantal meldingen

Niet elke storing vormt een veiligheidsrisico, maar storingen die op grote schaal voorkomen, zijn vrijwel altijd ernstig.

Zoek uit wie de afzenders zijn: zoek naar IP-adressen die duizenden e-mails versturen maar niet voldoen aan de DMARC-normen.
Configuratiefout of kwaadwilligheid: Als het IP-adres van een bekende aanbieder is (zoals HubSpot of Mailchimp), wijst de fout op een configuratiefout in uw SPF- of DKIM-instellingen. Als het IP-adres onbekend is en afkomstig is uit een risicovolle regio, gaat het waarschijnlijk om een poging tot spoofing.
Controleer de foutcodes: let erop waarom de poging is mislukt; ging het om een probleem met de overeenstemming (het domein in de ‘From’-header kwam niet overeen met het geauthenticeerde domein) of om een volledige authenticatiefout?

4. Analyseer langetermijntrends en seizoensinvloeden

De geaggregeerde DMARC-rapporten geven een momentopname van de afgelopen 24 uur, maar de echte informatie zit hem in de trends.

Verkeersnorm: Krijg inzicht in uw ‘normale’ verkeersvolume, zodat u afwijkingen direct kunt herkennen, zoals een plotselinge piek in het verkeer die zou kunnen duiden op een botnetaanval.
Effect van het beleid: Houd bij hoe uw slagingspercentage bij authenticatie verbetert naarmate u uw records verfijnt. Een gestage stijging van het percentage 'DMARC Pass'-resultaten is het groene licht dat u nodig hebt om over te stappen op een strenger beleid.
Historische vergelijking: Bewaar ten minste 6 tot 12 maanden aan historische gegevens om te voldoen aan beveiligingsaudits en om seizoensgebonden schommelingen in het e-mailverkeer te kunnen vaststellen.

5. Zorg voor een feedbackcyclus die tot actie leidt

Gegevens zijn alleen nuttig als ze tot verbeteringen leiden. Gebruik de inzichten uit je rapporten om:

SPF-records bijwerken: verwijder oude, ongebruikte IP-adressen of leveranciers om binnen de limiet van 10 DNS-lookups te blijven.
DKIM-sleutels bijwerken: Als uit rapporten blijkt dat er DKIM-fouten optreden voor een bepaalde kantoorlocatie, is het wellicht tijd om uw sleutels te vernieuwen of een defecte selector te herstellen.
Problemen met adresafstemming oplossen: Veel leveranciers voldoen aan SPF/DKIM, maar slagen niet voor DMARC omdat het „Return-Path“-veld niet overeenkomt met uw merkdomein. Uit rapporten blijkt precies waar u instellingen voor „Aangepast Return-Path“ of „Aangepaste DKIM“ moet implementeren.

6. Bevindingen en herstelmaatregelen vastleggen

De DMARC-rapportgeschiedenis dient als auditbewijs voor nalevingskaders, waaronder SOC 2, HIPAA en PCI-DSS.

Registreer belangrijke gebeurtenissen: Leg vast wanneer je een nieuwe leverancier hebt toegevoegd, wanneer je je beleid hebt gewijzigd van ‘geen’ naar ‘quarantaine’, en geef de reden daarvoor aan.
Bewijsstukken voor regelgevende instanties: Als een auditor vraagt hoe u klantgegevens beschermt tegen e-mailspoofing, dienen uw DMARC-rapporten en uw logboek met corrigerende maatregelen als onomstotelijk bewijs van uw beveiligingsstatus.
Kennisoverdracht: Dankzij de documentatie weet u zeker dat, mocht uw hoofdbeheerder voor e-mail het bedrijf verlaten, het nieuwe teamlid op de hoogte is van de bestaande e-mailarchitectuur en de geautoriseerde afzenders.

Hoe vereenvoudigt PowerDMARC de DMARC-rapportage?

Het handmatig verwerken van honderden XML-bestanden is op grote schaal onhaalbaar. PowerDMARC automatiseert de volledige levenscyclus van uw rapporten en gaat verder dan alleen het parseren van gegevens, waardoor het een complete Security Operations (SecOps)-ervaring biedt.

Geavanceerde automatisering en visualisatie

Automatische XML-parsing: PowerDMARC zet complexe XML-gegevens om in overzichtelijke dashboards, kaarten en grafieken, zodat handmatig uitlezen overbodig is.
Identificatie van de afzender: Onze oplossing identificeert uw diensten op basis van hun naam (bijvoorbeeld Salesforce, Zoom) in plaats van alleen op basis van onduidelijke IP-adressen, waardoor legitieme leveranciers snel kunnen worden onderscheiden van kwaadwillenden.
Verwerking van afwijkende gegevens: PowerDMARC is ontworpen om rapporten van providers zoals Microsoft te verwerken die niet aan de RFC-normen voldoen, waardoor uw gegevens altijd volledig blijven.
Gehoste SPF & DKIM: Heb je genoeg van de limiet van 10 DNS-lookups? Met onze gehoste tools kun je records rechtstreeks vanuit het dashboard beheren zonder je DNS aan te raken, waardoor de foutmelding ‘Te veel lookups’ direct wordt verholpen.
BIMI (Brand Indicator for Message Identification) met ondersteuning voor VMC (Verified Mark Certificates): ga verder dan alleen beveiliging door uw geverifieerde merklogo weer te geven in de inbox van ontvangers, wat bijdraagt aan hogere open rates en meer vertrouwen.
DMARC voor Managed Service Providers (MSP’s) en multi-tenancy: ons platform is geüpdatet met verbeterd wereldwijd overzicht, waardoor managed service providers honderden domeinen vanuit één centraal dashboard kunnen beheren.
Door AI aangestuurde dreigingsinformatie: maak gebruik van onze updates om spoofingpatronen te herkennen en ontvang automatische meldingen wanneer er een nieuwe, onbevoegde afzender wordt gedetecteerd die uw domein gebruikt.
Aangepaste PDF-rapportage: genereer met één klik rapporten die direct aan het management kunnen worden gepresenteerd, waarmee u uw traject van p=none naar p=reject kunt documenteren voor nalevingscontroles.

Samenvattend

In het steeds veranderende dreigingslandschap van 2026 is het versturen van e-mails zonder zicht op de resultaten geen optie meer. De geaggregeerde DMARC-rapporten vormen het krachtigste instrument in het arsenaal van een beheerder om inzicht en controle te krijgen over het domeingebruik. Door met PowerDMARC ruwe XML-gegevens om te zetten in bruikbare informatie, kunnen organisaties phishing proactief tegengaan, de afleverbaarheid van e-mails verbeteren en zorgen voor naleving van wereldwijde voorschriften voor bulkverzenders.

Veelgestelde Vragen

Wat is een DMARC-overzichtsrapport?

Een dagelijks XML-overzicht van e-mailverificatieactiviteiten en de resultaten van SPF, DKIM en DMARC, dat door ontvangende mailservers naar domeineigenaren wordt verzonden.

Hoe vaak worden deze rapporten verzonden?

Meestal één keer per 24 uur per rapporterende organisatie (Google en Microsoft sturen bijvoorbeeld afzonderlijke rapporten).

Bevatten deze rapporten persoonsgegevens?

Nee. Ze bevatten wel IP-adressen en volumes, maar geen inhoud van e-mailberichten of persoonsgegevens, waardoor ze in alle regio’s veilig zijn.

Kan ik rapporten naar een extern domein sturen?

Ja, maar het externe domein moet een DNS-record publiceren waarin toestemming wordt gegeven om die rapporten te ontvangen.

Hoe schakel ik DMARC-geaggregeerde rapporten in?

Om DMARC-overzichtrapporten in te schakelen, voegt u een TXT-record toe aan uw DNS-instellingen:

Presentator: _dmarc
Waarde: v=DMARC1; p=none;rua=mailto:[email protected];

Stel de status in op p=quarantaine of p=afwijzen zodra u klaar bent. Dit biedt het inzicht dat nodig is om uw domein te beveiligen, aangezien 91% van de cyberaanvallen daar vandaan komt.

Over
Laatste berichten

Milena Baghdasaryan

Inhoudspecialist bij PowerDMARC

Milena is een ervaren schrijfster en content creator met meer dan 7 jaar ervaring in het creëren van boeiende content over IT, cyberbeveiliging, virtuele evenementen en meer. Ze heeft bewezen werk van hoge kwaliteit af te leveren voor internationale tijdschriften en is afgestudeerd aan prestigieuze instellingen zoals New York University Abu Dhabi, UWC China en het Europacollege.

Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)

DMARC-overzichtsrapporten uitgelegd: wat ze zijn, wat ze bevatten en hoe je ze gebruikt - 6 mei 2026
Sendmarc-review: functies, gebruikerservaringen, voor- en nadelen (2026) - 22 april 2026
Naleving van FIPS: hoe u uw infrastructuur kunt beveiligen vóór de deadline van 2026 - 20 april 2026

DMARC-geaggregeerde rapporten uitgelegd: wat ze zijn, wat ze bevatten en hoe je ze gebruikt