DMARC voor Office 365: Stap voor stap instellen en best practices
door
Leestijd: 11 min
Belangrijkste punten
- DMARC is essentieel voor het verbeteren van de beveiliging van e-mail tegen domain spoofing en phishing.
- Het instellen van DMARC vereist bestaande SPF- of DKIM-records voor e-mailverificatie.
- Microsoft 365 behandelt inkomende DMARC-fouten anders; gebruik Transportregels voor strikte handhaving (quarantaine/afwijzen).
- Verhoog geleidelijk de striktheid van het DMARC-beleid (geen tot afwijzing) terwijl u rapporten controleert om te voorkomen dat legitieme mail wordt geblokkeerd.
- Configureer DMARC zelfs voor inactieve domeinen om ongeautoriseerd gebruik te voorkomen.
Microsoft ondersteunt en stimuleert DMARC voor Office 365-gebruikers, waardoor ze e-mailverificatieprotocollen kunnen gebruiken unaniem toe te passen op al hun geregistreerde domeinen. In deze blog leggen we uit hoe je DMARC voor Office 365 configureert om alle Office 365 e-mails te valideren die:
- Online e-mailadressen doorsturen met Microsoft
- Aangepaste domeinen toegevoegd in het beheercentrum
- Geparkeerde of inactieve, maar geregistreerde domeinen
In het tweede kwartaal van 2023 werd Microsoft door verschillende bronnen het meest geïmiteerde merk in phishing scams genoemd. Protocollen zoals DMARC zijn noodzakelijk om je verdedigingsmechanisme te versterken.
Laten we eens kijken hoe DMARC in Office 365 geavanceerde e-mailbedreigingen helpt voorkomen.
Wat is DMARC?
DMARC, of Domain-based Message Authentication, Reporting, and Conformance, is een e-mailverificatieprotocol dat is ontworpen om je domein te beschermen tegen e-mailspoofing en phishingaanvallen. Het bouwt voort op twee bestaande standaarden:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
Deze geven domeineigenaren meer controle over hoe niet-geverifieerde e-mails die beweren van hun domein te komen, worden afgehandeld door ontvangende mailservers.
Wanneer u DMARC voor Office 365 implementeert, publiceert u een DMARC-beleid als een DNS TXT-record dat aan uw domein is gekoppeld. Dit beleid instrueert e-mailontvangers om berichten die niet voldoen aan SPF- en DKIM-controles te accepteren, in quarantaine te plaatsen of te weigeren, waardoor de kans dat kwaadwillenden zich met succes voordoen als uw domein aanzienlijk wordt verkleind.
DMARC biedt ook waardevolle zichtbaarheid via rapportagemechanismen, waardoor domeineigenaren gedetailleerde feedback kunnen krijgen over de resultaten van e-mailverificatie. Deze rapporten helpen bij het identificeren van ongeautoriseerde e-mailbronnen en het verbeteren van de algehele beveiliging van e-mail.
Vereenvoudig DMARC voor Office 365 met PowerDMARC!
Dingen om over na te denken voordat je begint
Volgens Microsoft documenten:
- Als je MOERA (Microsoft Online Email Routing Address) gebruikt, dat moet eindigen op onmicrosoft.com, zijn SPF en DKIM al geconfigureerd. Je moet echter je DMARC-records maken met het Microsoft 365 admin center.
- Als je een of meer aangepaste domeinen gebruikt, zoals example.com, moet je SPF, DKIM en DMARC handmatig configureren voor je domein.
- Microsoft raadt u aan om voor uw geparkeerde domeinen (inactieve domeinen) expliciet aan te geven dat er geen e-mails vanaf mogen worden verzonden. Anders kunnen deze domeinen worden gebruikt in spoofing- en phishingaanvallen.
- Voor doorgestuurde of gewijzigde berichten die onderweg zijn, is het essentieel dat je ARC. Hierdoor blijven de oorspronkelijke e-mailverificatieheaders behouden, ondanks wijzigingen, voor nauwkeurige verificatie.
DMARC configureren voor Office 365
Volg deze stapsgewijze instructies om DMARC voor Office 365 met vertrouwen en duidelijkheid te configureren:
Stap 1: Geldige e-mailbronnen voor uw domein identificeren
Dit zijn bron-IP-adressen (inclusief derden) die je wilt toestaan om namens jou e-mails te versturen.
Stap 2: SPF instellen voor uw domein
Nu moet je SPF voor afzenderverificatie. Om dit te doen, maak je een SPF TXT-record aan dat al je geldige verzendbronnen bevat, inclusief externe e-mailleveranciers. Je kunt je gratis aanmelden bij PowerDMARC en onze SPF record generator tool gebruiken om je record aan te maken.
Stap 3: DKIM instellen voor Office 365 op uw domein
U moet SPF of DKIM configureren voor uw domein om DMARC Office 365 in te schakelen. We raden aan dat u DKIM en DMARC op Office 365 in te stellen voor een extra beveiligingslaag voor de e-mails van uw domein. U kunt zich gratis aanmelden bij PowerDMARC en onze DKIM record generator tool gebruiken om uw record aan te maken.
Stap 4: Een DMARC TXT-record maken
Je kunt de gratis DMARC record generator gebruiken voor deze stap. Genereer direct een record met de juiste syntaxis om in je DNS te publiceren en DMARC voor je domein te configureren!
Merk op dat alleen een handhavingsbeleid van weigeren effectief impersonatie aanvallen voorkomen. We raden aan om te beginnen met een geen beleid en regelmatig het e-mailverkeer te controleren. Doe dit enige tijd voordat je uiteindelijk overgaat op handhaving. DMARC weigeren moet niet lichtvaardig worden opgevat, omdat het kan leiden tot het verlies van legitieme e-mails als verzendbronnen niet goed worden geconfigureerd of gecontroleerd.
Definieer voor uw DMARC-record uw beleidsmodus (geen/quarantaine/afwijzen) en een e-mailadres in het veld "rua" als u geaggregeerde DMARC-rapporten wilt ontvangen.
| DMARC-beleid | Beleidstype | Syntax | Actie |
|---|---|---|---|
| geen | ontspannen/niet-actie/permissief | p=geen; | Onderneem geen actie tegen berichten die de authenticatie niet doorstaan, d.w.z. lever ze af. |
| quarantaine | afgedwongen | p=quarantaine; | Quarantaine van berichten die niet voldoen aan DMARC |
| weiger | afgedwongen | p=afwijzen; | Berichten negeren die niet voldoen aan DMARC |
De syntaxis van je DMARC-record kan er als volgt uitzien:
v=DMARC1; p=reject; rua=mailto:[email protected];
Dit record heeft een afgedwongen beleid van "weigeren" en heeft DMARC geaggregeerde rapportage ingeschakeld voor het domein.
Hoe Office 365 DMARC-record toevoegen met Microsoft Admin Center
Zo voegt u uw DMARC Office 365-record toe voor MOERA domeinen (*onmicrosoft.com domeinen)zijn dit de stappen:
1. Log in op uw Microsoft beheercentrum
2. Ga naar Alles weergeven > Instellingen > Domeinen
3. Selecteer uw *onmicrosoft.com domein in de lijst met domeinen op de pagina Domeinen om de pagina Domeindetails te openen.
4. Klik op het tabblad DNS-records op deze pagina en selecteer + Record toevoegen
5. Er verschijnt een tekstvak om een nieuw DMARC record toe te voegen, met verschillende velden. Hieronder staan de waarden die je moet invullen voor de specifieke velden:
Type: TXT
Naam: _dmarc
TTL: 1 uur
Waarde: (plak de waarde van het DMARC record dat je hebt gemaakt)
6. Klik op Opslaan
Office 365 DMARC-record toevoegen voor uw aangepaste domein
Als je een aangepast domein hebt zoals example.com, hebben we een gedetailleerde handleiding geschreven over hoe DMARC in te stellen. Je kunt de stappen in onze handleiding volgen om het protocol eenvoudig te configureren. Microsoft geeft een aantal waardevolle aanbevelingen voor het configureren van DMARC voor aangepaste domeinen. Wij zijn het eens met deze tips en raden ze onze klanten ook aan! Laten we eens kijken wat ze zijn:
- Begin bij het configureren van DMARC met een geen-beleid
- Langzaam overgaan naar quarantaine en dan verwerpen
- Je kunt ook een lage percentagewaarde (pct) voor beleidsimpact aanhouden door te beginnen bij 10 en dit langzaam te verhogen naar 100
- Zorg ervoor dat DMARC-rapportage is ingeschakeld om je e-mailkanalen regelmatig te controleren
Een DMARC Office 365 Record toevoegen voor inactieve domeinen
We hebben een gedetailleerde handleiding gepubliceerd over het beveiligen van je inactieve/geparkeerde domeinen met SPF, DKIM en DMARC. Je kunt daar de gedetailleerde stappen doorlopen, maar voor een kort overzicht: zelfs je inactieve domeinen moeten DMARC geconfigureerd hebben.
Publiceer gewoon een DMARC-record door naar je DNS-beheerconsole voor het inactieve domein te gaan. Als je geen toegang hebt tot je DNS, neem dan vandaag nog contact op met je DNS-provider. Dit record kan worden geconfigureerd om alle berichten te weigeren die afkomstig zijn van inactieve domeinen die niet voldoen aan DMARC:
v=DMARC1; p=afwijzen;
Configureer DMARC voor Office 365 op de juiste manier met PowerDMARC!
Waarom DMARC configureren voor Office 365?
Office 365 wordt geleverd met antispamoplossingen en e-mailbeveiliging gateways al geïntegreerd in de beveiligingssuite. Waarom zou je dan een DMARC-beleid in Office 365 nodig hebben voor authenticatie? Dit komt omdat deze oplossingen voornamelijk beschermen tegen inkomende phishing e-mails die naar uw domein worden verzonden. Het DMARC-authenticatieprotocol is uw oplossing voor uitgaande phishingpreventie. Hiermee kunnen domeineigenaren aan ontvangende mailservers opgeven hoe ze moeten reageren op e-mails die vanaf uw domein zijn verzonden en geen verificatie hebben. DMARC vermindert ook het risico dat legitieme berichten in de spammap terechtkomen. Het is belangrijk om te weten dat DMARC vooral bescherming biedt tegen direct-domain spoofing (waarbij uw exacte domeinnaam wordt gebruikt) en niet inherent bescherming biedt tegen lookalike domain spoofing (waarbij visueel vergelijkbare domeinnamen worden gebruikt).
DMARC maakt gebruik van twee standaardverificatiepraktijken, namelijk SPF en DKIM. Deze valideren e-mails op echtheid. Uw Office 365 DMARC-beleid bij de handhaving kan verbeterde bescherming bieden tegen imitatieaanvallen en spoofing.
Het instellen van DMARC voor zakelijke e-mails is in het huidige scenario belangrijker dan ooit omdat:
- Federale instanties hebben waarschuwingen uitgegeven tegen hackers die misbruik maken van afwezig of zwak DMARC-beleid
- DMARC-naleving is verplicht voor Yahoo en Google bulkverzenders
- IBM rapporteert dat de gemiddelde kosten van een inbraak waarbij aanvallers gecompromitteerde referenties gebruiken $4,8 miljoen bedragen.
Een praktijkvoorbeeld van de invloed van DMARC komt van HCIT, een managed service provider(MSP) die te maken kreeg met toenemende uitdagingen op het gebied van phishing en e-mail spoofing gericht op hun klanten. Door DMARC met PowerDMARC te implementeren, beschermde HCIT met succes meerdere domeinen, verminderde het risico op imitatie en verbeterde het de e-mail deliverability, wat aantoont hoe de juiste oplossing bedrijven en hun klanten kan beschermen tegen kostbare aanvallen.
Veelvoorkomende valkuilen en hoe ze te vermijden
Hoewel het instellen van DMARC voor Office 365 de e-mailbeveiliging van uw domein aanzienlijk versterkt, kunnen configuratiefouten de effectiviteit ervan ondermijnen. Hier zijn enkele van de meest voorkomende valkuilen waarmee bedrijven te maken krijgen en hoe u ze proactief kunt vermijden:
Subdomeinbeleid vergeten
DMARC-beleid toegepast op het hoofddomein (bijv, website.com) worden niet automatisch uitgebreid naar subdomeinen zoals mail.website.com of news.website.com tenzij je dit expliciet aangeeft met de sp tag in je DMARC record.
Deze onoplettendheid creëert een maas in de wet waar aanvallers graag gebruik van maken. Cybercriminelen richten zich vaak op onbeveiligde subdomeinen om spoofed e-mails te versturen, waardoor de DMARC-handhaving van je primaire domein wordt omzeild.
Oplossing: Voeg sp=reject; (of quarantaine) toe aan je DMARC beleid om de bescherming uit te breiden naar alle subdomeinen. Controleer uw subdomeinen regelmatig en pas een strikt beleid toe op domeinen die helemaal geen e-mail zouden moeten verzenden.
Verkeerd geconfigureerde SPF/DKIM doorbreekt DMARC
DMARC werkt alleen als SPF- of DKIM-controles slagen en goed zijn afgestemd op het domein in de "Van"-header. Het is niet genoeg dat deze protocollen gewoon bestaan. Ze moeten authenticeren namens het exacte domein dat wordt gebruikt om e-mail te verzenden.
Een paar veelvoorkomende problemen:
- SPF bevat het IP van een afzender van een derde partij, maar hun envelope-from domein komt niet overeen
- DKIM ondertekent met een ander domein dan wat wordt weergegeven in het "Van" adres
- Records zijn syntactisch onjuist of onvolledig in uw DNS
Oplossing: Gebruik domeinspecifieke tools om SPF, DKIM en DMARC configuraties te testen. Controleer altijd de afstemming, niet alleen de pass/fail status. Tools zoals PowerDMARC's analyzer helpen bij het visualiseren en valideren van de juiste instellingen, waardoor risico's die samenhangen met een onjuiste verificatie worden geminimaliseerd.
Afzenders van derden die niet op één lijn zitten
Diensten zoals Mailchimp, SendGridof Salesforce kunnen SPF en DKIM ondersteunen, maar als ze niet correct zijn geconfigureerd om in lijn te zijn met je domein, zal DMARC mislukken, zelfs als je DNS-records er prima uitzien.
Een verkeerde afstemming met deze platforms kan ertoe leiden dat je e-mails worden gemarkeerd of geblokkeerd, wat van invloed kan zijn op de deliverability en het merkvertrouwen.
Oplossing:
- Controleer of uw e-mailservices van derden DKIM-ondertekening met uw domein ondersteunen en SPF-uitlijning toestaan via envelop-aanpassing.
- Controleer altijd de documentatie en testconfiguraties van elk platform.
- Houd een centrale lijst bij van alle externe afzenders die door je organisatie worden gebruikt en valideer ze periodiek op DMARC-compliance.
Geen rapportageadres of onleesbare rapporten
De rapportagefunctie van DMARC is een van de krachtigste functies, maar alleen als deze goed is ingeschakeld. Als je de tags rua (geaggregeerde rapporten) of ruf (forensische rapporten) overslaat in je DMARC-record, verlies je alle zichtbaarheid in ongeautoriseerde verzendpogingen.
Erger nog, als je wel rapporten ontvangt maar ze naar een persoonlijke inbox stuurt, kan het volume en het ruwe XML-formaat snel overweldigend en onbruikbaar worden.
Oplossing: Geef altijd rua en ruf tags op in je DMARC record om rapportage te activeren. Gebruik daarnaast een speciaal e-mailadres of een DMARC-rapportanalyser van derden die gegevens kan analyseren en visualiseren in een begrijpelijk formaat.
Heb je DMARC echt nodig als je Office 365 gebruikt?
Er is een veelvoorkomende misvatting onder bedrijven: ze denken dat Office 365 zorgt voor veiligheid tegen spam en frauduleuze e-mails. In mei 2020 werd echter een reeks phishingaanvallen uitgevoerd op verschillende verzekeringsmaatschappijen in het Midden-Oosten. De aanvallers gebruikten Office 365 en veroorzaakten aanzienlijk gegevensverlies en beveiligingslekken. Dit is wat we hiervan hebben geleerd:
Reden 1: Microsofts beveiligingsoplossing is niet waterdicht
Daarom is simpelweg vertrouwen op de geïntegreerde beveiligingsoplossingen van Microsoft niet genoeg. Externe inspanningen leveren om je domein te beschermen kan een grote fout zijn.
Reden 2: U moet DMARC voor Office 365 configureren voor bescherming tegen uitgaande aanvallen
Hoewel de geïntegreerde beveiligingsoplossingen van Office 365 bescherming kunnen bieden tegen inkomende e-mailbedreigingen en phishingpogingen, moet u er nog steeds voor zorgen dat uitgaande berichten die vanuit uw eigen domein worden verzonden, effectief worden geverifieerd voordat ze in de inbox van uw klanten en partners belanden. Dit is waar DMARC voor Office 365 van pas komt.
Reden 3: DMARC helpt u bij het bewaken van uw e-mailkanalen
DMARC beschermt niet alleen je domein tegen direct domain spoofing en phishing-aanvallen. Het helpt je ook om je e-mailkanalen te bewaken. Of je nu een afgedwongen beleid hebt zoals "weigeren/quarantaine", of een milder beleid zoals "geen", je kunt je verificatieresultaten bijhouden met DMARC-rapporten. Deze rapporten worden naar je e-mailadres gestuurd of naar een DMARC-rapportanalyser tool. Monitoring zorgt ervoor dat je legitieme e-mails succesvol worden afgeleverd.
DMARC rapportage en bewaking met PowerDMARC
PowerDMARC integreert naadloos met Office 365 om domeineigenaren te voorzien van geavanceerde verificatieoplossingen die bescherming bieden tegen geavanceerde social engineering-aanvallen zoals BEC en direct-domain spoofing.
Als je je aanmeldt bij PowerDMARC, dan teken je voor een multi-tenant SaaS-platform dat niet alleen alle best practices voor e-mailverificatie (SPF, DKIM, DMARC, MTA-STSTLS-RPT en BIMI), maar ook een uitgebreid en diepgaand DMARC-rapportagemechanisme biedt, dat volledig inzicht biedt in uw e-mailecosysteem. DMARC-rapporten op het PowerDMARC dashboard worden in twee formaten gegenereerd:
- Geaggregeerde rapporten (RUA)
- Forensische rapporten (RUF - indien ingeschakeld en ondersteund door verslaggever)
We hebben ernaar gestreefd om de authenticatie-ervaring voor jou beter te maken door verschillende problemen in de branche op te lossen. We zorgen voor de versleuteling van je DMARC forensische rapporten en geven geaggregeerde rapporten weer in 7 verschillende weergaven voor een verbeterde gebruikerservaring en duidelijkheid.
PowerDMARC helpt je bij het bewaken van e-mailstroom en verificatiestoringen, en zwarte lijst schadelijke IP-adressen van over de hele wereld. Onze DMARC-analysator helpt je om DMARC correct te configureren voor je domein en in een mum van tijd over te schakelen van monitoring naar handhaving. Dit kan je helpen om DMARC office 365 in te schakelen zonder je zorgen te maken over de complexiteit ervan.
Veelgestelde vragen
Hoe werkt DMARC in O365?
In Office 365 beschermt DMARC uw e-mail op twee manieren:
- Voor inkomende e-mailOffice 365 controleert het DMARC-beleid van de afzender. Berichten die de SPF- en DKIM-verificatie niet doorstaan, worden in quarantaine geplaatst (naar junkmail gestuurd) of geweigerd.
- Voor uw uitgaande e-mailpubliceert u een DMARC-record voor uw domein. Office 365 zorgt dan automatisch voor de vereiste SPF- en DKIM-ondertekening. Het zorgt ervoor dat uw e-mails goed worden geverifieerd en vertrouwd door ontvangende servers.
Is DMARC vereist voor GDPR of andere nalevingsraamwerken?
DMARC wordt niet expliciet vereist door GDPR of de meeste compliance-standaarden, maar het ondersteunt gegevensbescherming door spoofing en ongeautoriseerd e-mailgebruik te voorkomen, en helpt zo te voldoen aan bredere beveiligingsverwachtingen.
Werkt DMARC met e-mailadressen van Gmail en Yahoo?
DMARC beschermt je domein, niet de provider van de inbox. Grote providers zoals Gmail en Yahoo dwingen DMARC echter af op inkomende mail, waardoor het voor verzenders essentieel is om de authenticatie te passeren.
Kan DMARC de open rates van e-mails verbeteren?
Indirect, ja. Geverifieerde e-mails worden minder snel als spam gemarkeerd of geweigerd, wat betekent dat ze beter in de inbox terechtkomen en meer kans hebben om geopend te worden.
Zijn er kosten verbonden aan het implementeren van DMARC?
Het instellen van DMARC is gratis als je je eigen DNS beheert. Je kunt echter kiezen voor betaalde tools of services om monitoring, rapportanalyse en doorlopend beheer te vereenvoudigen.
Proces voor inhoudelijke beoordeling en feitencontrole
De informatie over het Office 365 DMARC-installatieproces is voornamelijk afkomstig uit officiële Microsoft-documentatie en praktijkervaring. Deze documentatie kan door Microsoft worden bijgewerkt. De aanbevelingen in het artikel, waaronder het gebruik van transportregels en het geleidelijk uitrollen van beleidsregels, zijn gebaseerd op best practices uit de branche en praktijkervaringen van klanten.
"`
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is een Operations Team Lead bij PowerDMARC met expertkennis in e-mailverificatie en -beveiliging. Yunes is een Microsoft-gecertificeerde Azure Administrator Associate met certificeringen in CompTIA A+ en nog veel meer.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
- Wat is BIMI? E-mailvertrouwen en merkidentiteit - 26 december 2025
- Wat is een CAA-record? DNS-beveiligingsgids - 24 december 2025
- Is het veilig om spam-e-mails te openen? Risico's en veiligheidstips - 16 december 2025
