DMARC-uitlijning: Relaxte vs. strikte uitlijningsmodi

E-mailverificatie houdt niet langer op bij 'is SPF of DKIM geslaagd'. In 2026 vinden mailboxproviders het net zo belangrijk of die verificatieresultaten overeenkomen met het domein dat gebruikers daadwerkelijk zien in het afzenderadres. Daar komt DMARC-afstemming om de hoek kijken.

DMARC (Domain-based Message Authentication Reporting and Conformance) controleert of het domein dat aan ontvangers wordt getoond overeenkomt met de domeinen die door SPF en DKIM zijn gevalideerd. Als ze niet overeenkomen, kan een e-mail DMARC niet doorstaan, zelfs als SPF of DKIM technisch gezien wel geslaagd zijn. Dit is de reden waarom veel organisaties zien dat legitieme e-mails in de spam terechtkomen of worden geweigerd nadat ze de DMARC-handhaving hebben aangescherpt.

De complexiteit komt voort uit de afstemmingsmodi. Bij een flexibele afstemming zijn domeincombinaties binnen de organisatie toegestaan, inclusief subdomeinen. Bij een strikte afstemming moet het domein exact overeenkomen. Als je de verkeerde modus kiest, kan dat ongemerkt de leverbaarheid verstoren, vooral wanneer er meerdere ESP's, subdomeinen of doorsturingen bij betrokken zijn.

Deze gids legt uit hoe DMARC-afstemming werkt, wat het werkelijke verschil is tussen strikte en versoepelde afstemming in 2026, wat veelvoorkomende foutscenario's zijn en hoe u kunt bepalen welke modus het beste bij uw e-mailinfrastructuur past zonder dat dit ten koste gaat van de plaatsing in de inbox.

Wat is DMARC Alignment?

DMARC alignment is het proces waarbij wordt gecontroleerd of het domein in de 'Van'-header van uw e-mail overeenkomt met de domeinen die worden gebruikt bij SPF- en DKIM-authenticatie. DMARC wordt voor uw e-mail afgestemd als het bericht voldoet aan de SPF- en/of DKIM-identificatieafstemming.

Dit zorgt ervoor dat uw e-mails legitiem zijn en beschermd tegen een reeks e-mailfraudeaanvallen, waaronder phishing, spoofing, ransomware en meer.

Het DMARC-verificatieprotocol controleert of DMARC identifiers overeenkomen om vast te stellen of een e-maildomein mogelijk spoofed is. Wanneer je e-mail wordt gevalideerd, controleert DMARC 3 identifiers:

• De koptekst Van
• Het retouradres
• De domeinnaam in de DKIM-handtekening

Belangrijk punt: DMARC slaagt voor de afstemming als SPF of DKIM overeenkomt met het From-domein (afhankelijk van uw strikte of soepele instellingen). Als geen van beide overeenkomt, faalt DMARC, zelfs als SPF of DKIM op zichzelf een 'pass' laat zien.

Dit voorkomt dat spoofers e-mails versturen die lijken alsof ze afkomstig zijn van jouw domein, terwijl ze zich achter de schermen authenticeren met een ander domein.

Hoe werkt DMARC Alignment?

Om DMARC-afstemming goed te begrijpen, is het handig om te weten welke domeinidentiteit DMARC moet beschermen. vergelijken. 

Wanneer u DMARC implementeert, koppelt u de resultaten van SPF en DKIM om alle e-mails die afkomstig zijn van uw domein te authenticeren. Voor elke e-mail gebruikt DMARC wat bekend staat als de 'centrale identiteit', namelijk het domein dat in de From-header staat. Dit is het domein dat ontvangers zien en het domein dat DMARC probeert te beschermen.

Wanneer een e-mail van uw domein de ontvangende server bereikt, SPF het retourpad (Envelope From/bounce-adres) en DKIM valideert de versleutelde handtekening met behulp van het DKIM-ondertekeningsdomein. DMARC neemt vervolgens het resultaat van elke controle en controleert of het domein dat in SPF en/of DKIM wordt gebruikt, overeenkomt met het domein in de From-header.

Er is echter één klein probleem. Iedereen, ook criminelen, kan een domein kopen en SPF en DKIMimplementeren. Theoretisch zou het dus mogelijk moeten zijn dat iemand een e-mail verstuurt met het domein van uw organisatie in het Van: adres (de centrale identiteit) en het Return Path van zijn eigen domein door de SPF-authenticatie laat gaan. Gebruikers zien meestal alleen het Van: adres en niet het Return Path, dus ze zullen niet eens merken dat er een discrepantie tussen beide bestaat.

DMARC uitlijningstypes: Strikte vs. Relaxte Identifier-uitlijningen 

Zodra DMARC-afstemming op hoog niveau wordt begrepen, is de volgende stap het bepalen hoe strikt domeinvergelijking moet worden toegepast. DMARC biedt twee afstemmingsmodi: relaxed en strict, die bepalen hoe nauwkeurig de geauthenticeerde SPF- en DKIM-domeinen moeten overeenkomen met het domein dat wordt weergegeven in de From-header.

Zij-aan-zij vergelijking: strikte versus soepele afstemming

Deze afstemmingsmodi zijn onafhankelijk van elkaar van toepassing op SPF en DKIM, maar bepalen samen of een e-mail DMARC doorstaat.

1. DMARC Ontspannen Uitlijning

Wanneer ontspannen afstemming is ingeschakeld voor SPF en DKIM, beschouwt DMARC een e-mail als afgestemd als de geauthenticeerde domeinen organisatorisch overeenkomen met het domein van de afzender. Dit betekent dat subdomeinen als afgestemd worden behandeld.

In de ontspannen modus wordt DMARC-afstemming als geslaagd beschouwd, zelfs als het domein in het Mail From-commando en de domeinen in de Return-Path-header (voor SPF) of de DKIM-handtekening (voor DKIM) niet exact overeenkomen, maar tot hetzelfde organisatiedomein behoren.

Voorbeeld van versoepelde DMARC-afstemming
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

Hier zijn de uitlijningstags aspf=r en adkim=r een versoepelde uitlijning voor zowel SPF als DKIM.

2. DMARC strikte afstemming

Strikte afstemming zorgt voor een hogere mate van nauwkeurigheid. In deze modus wordt DMARC-afstemming alleen goedgekeurd als het domein in de From-header exact overeenkomt met de domeinen die worden gebruikt voor SPF- en DKIM-authenticatie.

Als strikte uitlijning is ingeschakeld, worden subdomeinen niet als uitgelijnd beschouwd. Elke afwijking, zelfs binnen hetzelfde organisatiedomein, zorgt ervoor dat de uitlijning mislukt.

Voorbeeld van strikte DMARC-afstemming
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

Hier, aspf=s en adkim=s vereisen een exacte overeenkomst voor zowel SPF- als DKIM-uitlijning.

De rol van SPF en DKIM Identifier Alignment

SPF- en DKIM-identificatie-afstemming is bedoeld om domein-imitatie te voorkomen, niet alleen om te bevestigen dat een e-mail de basisauthenticatiecontroles heeft doorstaan. Zonder afstemming kan een e-mail technisch gezien SPF of DKIM doorstaan met behulp van één domein, terwijl een ander, vertrouwd domein wordt weergegeven in het afzenderadres – het deel dat ontvangers daadwerkelijk zien.

Authenticatie-identificatie-afstemming helpt bepalen of de afzender van de e-mail daadwerkelijk bevoegd is om namens het domein dat aan ontvangers wordt getoond berichten te verzenden. Mailboxproviders vertrouwen op dit afstemmingssignaal om legitieme e-mailbronnen te onderscheiden van vervalste of misleidende berichten, zelfs wanneer SPF of DKIM onafhankelijk een 'pass' retourneren.

Afgestemde e-mails hebben meer kans om de verificatiecontroles van de afzender te doorstaan en door ontvangende mailservers als betrouwbaar te worden beschouwd. Wanneer de afstemming mislukt, beschouwen providers het bericht als een hoger risico en kunnen ze het filteren, in quarantaine plaatsen of weigeren, vooral wanneer DMARC wordt afgedwongen bij beleidsregels zoals p=quarantine of p=reject.

Welke factoren kunnen van invloed zijn op de afstemming van SPF en DKIM-identificatie?

Verschillende veelvoorkomende verzendscenario's kunnen leiden tot uitlijningsfouten:

• E-maildiensten van derden en ESP's kunnen e-mails authenticeren met behulp van hun eigen domeinen, tenzij expliciet geconfigureerd voor afstemming.
• E-mailforwarding kan SPF verstoren als gevolg van IP-wijzigingen en DKIM ongeldig maken als de inhoud van het bericht wordt gewijzigd.

Hoe uitlijningsmodi van toepassing zijn op SPF

SPF-afstemming richt zich op de relatie tussen het Return-Path (Envelope From)-domein en het From-header-domein.

SPF-afstemming slaagt wanneer deze domeinen worden afgestemd volgens de geselecteerde DMARC-afstemmingsmodus:

• Ontspannen SPF-uitlijning: Organisatorische domeinmatches zijn toegestaan, dus subdomeinen worden doorgelaten.
• Strikte SPF-afstemming: Alleen exacte domeinovereenkomsten worden goedgekeurd

Omdat SPF afhankelijk is van het verzendende IP-adres, is SPF-afstemming bijzonder gevoelig voor scenario's zoals het doorsturen van e-mails, waarbij het IP-adres van de doorstuurserver mogelijk niet is geautoriseerd in het oorspronkelijke SPF-record.

Hoe uitlijningsmodi van toepassing zijn op DKIM

DKIM-afstemming evalueert of het DKIM-ondertekeningsdomein (de d= -waarde in de DKIM-handtekening) overeenkomt met het From-domein.

DKIM-afstemming slaagt wanneer het ondertekenende domein overeenkomt met het domein van de afzender volgens de gekozen afstemmingsmodus:

• Ontspannen DKIM-afstemming: Overeenkomsten met het domein van de organisatie zijn toegestaan
• Strikte DKIM-afstemming: Exacte domeinmatch vereist

In tegenstelling tot SPF wordt DKIM niet beïnvloed door IP-wijzigingen tijdens het doorsturen, maar DKIM-afstemming kan mislukken als de inhoud of headers van het bericht tijdens het transport worden gewijzigd.

Hoe uitdagingen op het gebied van afstemming aan te pakken

Om een consistente DMARC-afstemming te behouden, moeten organisaties ervoor zorgen dat alle legitieme verzendbronnen bewust worden afgestemd op het domein dat in het afzenderadres wordt gebruikt, en regelmatig worden gecontroleerd naarmate de e-mailinfrastructuur verandert.

Bij PowerDMARC gaan we nog een stap verder door u te helpen bij het configureren en onderhouden van SPF, DKIM, ARCen DMARC op een gecentraliseerde manier te configureren en te onderhouden. Dit maakt het gemakkelijker om externe afzenders op één lijn te brengen, uitdagingen op het gebied van doorsturen aan te pakken en authenticatierecords bij te werken naarmate uw configuratie evolueert, zodat uw legitieme e-mails de grootste kans hebben om de inbox te bereiken.

Voorbeelden van DMARC-afstemming

De volgende voorbeelden laten zien hoe strikte en flexibele uitlijning zich gedragen in echte scenario's voor het verzenden van e-mails.

Voorbeeld 1: SaaS-bedrijf dat meerdere subdomeinen gebruikt

• Uit de koptekst: [email protected]
• SPF-retourpad: marketing.bedrijf.com
• DKIM-handtekening: support.bedrijf.com

Ontspannen uitlijningsresultaat: ✓ Geslaagd (organisatiedomeinen komen overeen)
Strikt afstemmingsresultaat: ✗ Niet geslaagd (exacte overeenstemming vereist)

Dit is gebruikelijk voor SaaS-bedrijven die e-mails versturen vanaf meerdere subdomeinen. Dankzij de versoepelde afstemming kunnen deze berichten DMARC passeren zonder extra configuratie.

Voorbeeld 2: Financiële instelling met exacte domeinmatching

• Uit de koptekst: [email protected]
• SPF Return-Path: bank.com
• DKIM-handtekening: bank.com

Ontspannen uitlijningsresultaat: ✓ Geslaagd
Strikt uitlijningsresultaat: ✓ Geslaagd

Aangezien alle domeinen exact overeenkomen, slagen beide uitlijningsmodi. Deze opzet is typisch voor organisaties met een gecentraliseerde infrastructuur en strenge beveiligingsvereisten.

Voorbeeld 3: E-maildienst van derden zonder afstemming

• Uit de koptekst: [email protected]
• SPF Return-Path: mailservice.com
• DKIM-handtekening: mailservice.com

Ontspannen uitlijningsresultaat: ✗ Mislukt
Strikt uitlijningsresultaat: ✗ Niet geslaagd

In dit scenario komen noch SPF noch DKIM overeen met het From-domein. Zelfs als SPF of DKIM afzonderlijk worden goedgekeurd, mislukt DMARC vanwege een verkeerde afstemming, wat de noodzaak van een juiste configuratie van externe afzenders benadrukt.

Hoe kies je de juiste DMARC-uitlijningsmodus?

De keuze tussen een soepele of strikte DMARC-afstemming hangt af van uw e-mailinfrastructuur, uw tolerantie voor valse positieven en hoe streng u DMARC-beleidsregels zoals p=quarantine of p=reject wilt handhaven. Het doel is om de bescherming tegen spoofing te verbeteren zonder de legitieme e-mailstroom te verstoren.

Welke DMARC-uitlijningsmodus is beter?

Er is geen universele 'betere' optie. Een flexibele afstemming is meestal het veiligste uitgangspunt voor de meeste organisaties, omdat deze ondersteuning biedt voor veelvoorkomende praktijksituaties (meerdere subdomeinen en externe afzenders). Een strikte afstemming biedt betere bescherming, maar vereist een overzichtelijkere, consistentere verzendarchitectuur en nauwlettender toezicht om te voorkomen dat legitieme e-mails worden geblokkeerd.

Kies voor een ontspannen houding wanneer

Een flexibele afstemming is doorgaans het beste wanneer uw organisatie een complexer verzendecosysteem heeft, zoals:

• U verstuurt e-mails vanaf meerdere subdomeinen (bijvoorbeeld marketing.voorbeeld.com, support.voorbeeld.com)
• U gebruikt meerdere e-mailplatforms of externe verzenders die mogelijk authenticatie uitvoeren met behulp van subdomeinen.
• U implementeert DMARC voor het eerst en wilt het risico op verstoringen verminderen.
• Je hebt flexibiliteit nodig terwijl je verkeerd afgestelde verzendbronnen identificeert en repareert.

Kies voor strikte uitlijning wanneer

Strikte afstemming is het meest effectief wanneer uw verzendconfiguratie streng wordt gecontroleerd en u maximale bescherming wilt tegen identiteitsfraude, zoals:

• U verstuurt e-mail vanaf één primair domein met minimale variatie.
• U hebt strenge beveiligingseisen (bijvoorbeeld financiële dienstverlening, overheid, gereguleerde omgevingen)
• U wilt pogingen tot subdomein-spoofing voorkomen.
• U bent klaar om DMARC af te dwingen op p=quarantine of p=reject, met monitoring.

Een praktisch besluitvormingskader

Om de juiste DMARC-uitlijningsmodus te selecteren zonder de leverbaarheid in gevaar te brengen:

1. Controleer uw verzaginfrastructuur
   Maak een lijst van alle systemen die e-mails versturen voor uw domein (marketingtools, CRM's, ticketsystemen, salarisadministratie, facturering, interne relais), inclusief subdomeinen.
2. Controleer hoe elke bron vandaag wordt geauthenticeerd
   Controleer of SPF en/of DKIM worden goedgekeurd en of de geauthenticeerde domeinen overeenkomen met het domein in de From-header.
3. Begin met een ontspannen uitlijning als u twijfelt
   Een ontspannen houding is meer vergevingsgezind terwijl je verkeerde configuraties en mismatches tussen leveranciersdomeinen ontdekt.
4. Ga pas over op strikte afstemming als de afstemming stabiel is
   De strikte modus kan het beste worden toegepast zodra uw legitieme bronnen consistent authenticeren en afstemmen, en u de resultaten kunt verifiëren via DMARC-rapportage.
5. Blijf continu controleren na het wisselen van modus
   Uitlijningsproblemen komen vaak terug wanneer teams nieuwe tools toevoegen, ESP-configuraties wijzigen of nieuwe subdomeinen introduceren.

In de meeste gevallen is de beste aanpak om te beginnen met een flexibele afstemming, afstemmingsproblemen in alle legitieme bronnen op te lossen en vervolgens over te stappen op een strikte afstemming, maar alleen als uw infrastructuur dit ondersteunt.

Hoe DMARC-afstemming te controleren, testen en valideren 

Zodra u strikte DMARC-afstemming inschakelt (of van plan bent om van versoepelde naar strikte afstemming over te stappen), wordt monitoring essentieel om valse positieven te voorkomen en te voorkomen dat legitieme e-mails worden gefilterd of geweigerd. De meest betrouwbare manier om DMARC-afstemming te valideren is via DMARC-aggregatrapportage, die laat zien of SPF en DKIM correct zijn afgestemd op uw From-domein voor alle verzendbronnen.

Hier volgt een stapsgewijs proces om de DMARC-afstemming voor uw e-mailberichten te controleren:

1. Ga naar Rapportage in het hoofdmenu
2. Klik op DMARC-aggregatrapporten en vouw de vervolgkeuzelijst uit.
3. Selecteer Per resultaat
4. Controleer verzendbronnen per resultaat om de DMARC-naleving en afstemmingsresultaten voor elk resultaat te bekijken.

Wanneer DMARC Alignment slaagt

DMARC-afstemming slaagt wanneer SPF- of DKIM-identificatieafstemming slaagt (of beide), op basis van de door u geselecteerde afstemmingsmodus (strikt of versoepeld).

Waarom DMARC Alignment mislukt

DMARC-afstemmingsfouten treden meestal op wanneer noch SPF noch DKIM overeenkomen met het domein in de From-header. Veelvoorkomende redenen zijn onder meer:

• Het domein in de From-header komt niet overeen met het Return-Path-domein (SPF-afstemmingsfout)
• Het domein in de From-header komt niet overeen met het DKIM-ondertekeningsdomein (DKIM-afstemmingsfout).
• E-maildiensten van derden zijn verkeerd geconfigureerd en authenticeren met behulp van hun eigen domeinen.
• Het doorsturen van e-mails verstoort SPF (IP-wijzigingen) en kan DKIM ongeldig maken als berichten tijdens het transport worden gewijzigd.

Controleer de resultaten van de uitlijning met PowerDMARC

PowerDMARC helpt u uw e-mails te controleren terwijl u een strikt DMARC-afstemmingsbeleid hanteert, met behulp van onze DMARC-analysator tool. Wij helpen u bij het volgen van uw e-mailverzendbronnen, het controleren op afstemmingsfouten en het optimaliseren van uw authenticatieconfiguratie, rechtstreeks vanuit ons dashboard.

Neem contact met ons op vandaag nog om te beginnen!

FAQs

Wat is DMARC afstemming?

DMARC-afstemming is het proces waarbij wordt gecontroleerd of het domein dat in de From-header van een e-mail wordt weergegeven, overeenkomt met de domeinen die door SPF en/of DKIM zijn geauthenticeerd. Dit zorgt ervoor dat het domein dat ontvangers zien, hetzelfde is als het domein dat tijdens de authenticatie wordt gevalideerd, waardoor spoofing en identiteitsfraude worden voorkomen.

Wat is de standaardinstelling voor uitlijning voor DMARC?

De standaard DMARC-uitlijningsinstelling is versoepeld voor zowel SPF als DKIM. Hierdoor zijn domeincombinaties binnen een organisatie toegestaan, wat betekent dat subdomeinen de uitlijningscontroles mogen doorstaan, tenzij er expliciet strengere instellingen zijn geconfigureerd.

Wat is een Return-Path-domein en waarom is dit belangrijk voor DMARC?

Een Return-Path-domein (ook bekend als het Envelope From- of bounce-adres) is het domein dat onbezorgde of teruggestuurde e-mails ontvangt. Tijdens een DMARC-controlewordt de SPF-afstemming geëvalueerd aan de hand van het Return-Path-domein, niet aan de hand van het zichtbare From-adres. Als het Return-Path-domein niet overeenkomt met het From-domein, zal de SPF-afstemming mislukken.

Wat is een DKIM-handtekeningdomein?

Een DKIM-handtekeningdomein is het domein dat wordt gebruikt om een e-mail cryptografisch te ondertekenen (de d= -waarde in de DKIM-handtekening). Tijdens de DMARC-evaluatie controleert DKIM-alignment of dit ondertekeningsdomein overeenkomt met het From-domein. Relaxed alignment staat organisatorische overeenkomsten toe, terwijl strict alignment een exacte domeinmatch vereist.

Hoe beïnvloedt het doorsturen van e-mails de DMARC-afstemming?

Het doorsturen van e-mails kan leiden tot DMARC-afstemmingsfouten door SPF en, in sommige gevallen, DKIM te verbreken. SPF kan mislukken wanneer doorgestuurde e-mails worden verzonden vanaf IP-adressen die niet zijn geautoriseerd in het SPF-record van de oorspronkelijke afzender. DKIM kan mislukken als de inhoud of headers van de e-mail tijdens het doorsturen worden gewijzigd. Als noch SPF noch DKIM afgestemd blijven, zal DMARC mislukken.

Hoe kan ik DMARC-afstemmingsfouten controleren?

U kunt afwijkingen in de afstemming controleren door DMARC-overzichtsrapporten en forensische (fout)rapporten in te schakelen. Deze rapporten laten zien welke verzendbronnen zijn afgestemd, welke afwijken en waarom, zodat u problemen kunt oplossen en de leverbaarheid kunt verbeteren voordat u strengere DMARC-beleidsregels gaat toepassen.

Hoe stel ik DMARC-afstemming correct in?

Om DMARC-afstemming correct in te stellen:

1. Configureer SPF en DKIM voor alle legitieme verzendbronnen
2. Publiceer een DMARC-record met de juiste aspf en adkim uitlijningstags
3. Controleer DMARC-rapporten om verkeerd uitgelijnde domeinen te identificeren
4. Problemen met de uitlijning van derden en subdomeinen oplossen
5. Ga geleidelijk over van een ontspannen naar een strikte uitlijning zodra de stabiliteit is bevestigd.

Wat is ontspannen afstemming in DMARC?

Ontspannen afstemming maakt organisatorische domeinmatches mogelijk. Als uw From-domein bijvoorbeeld example.com is en uw SPF Return-Path of DKIM-ondertekeningsdomein mail.example.com, zal ontspannen afstemming nog steeds worden goedgekeurd.

Wanneer moet ik strikte DMARC-afstemming gebruiken?

Strikte afstemming is het meest geschikt voor organisaties met een streng gecontroleerde verzendconfiguratie, minimaal gebruik van subdomeinen en hoge beveiligings- of regelgevingsvereisten. Dit moet doorgaans pas worden geïmplementeerd nadat alle legitieme verzendbronnen consistent zijn afgestemd en gecontroleerd.

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)

• E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
• Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
• SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025