DMARC instellen voor Google Workspace (Gmail)

door

Laatst bijgewerkt:
8 leestijd: 8 minuten
DMARC instellen voor Google Workspace (Gmail)

Belangrijkste Conclusies

  • DMARC voor Google Workspace geeft ontvangende servers aan wat ze moeten doen wanneer e-mails van uw domein de SPF- of DKIM-controles niet doorstaan: ze in quarantaine plaatsen, weigeren of er alleen melding van maken.
  • Google Workspace zorgt voor de verzending van uitgaande e-mail, maar stelt DMARC niet voor je in; dat is een DNS-record dat je zelf bij je domeinhost moet aanmaken.
  • DMARC vereist dat SPF en DKIM eerst zijn ingesteld. Het werkt niet als ten minste één van beide niet correct is geconfigureerd.
  • Je publiceert DMARC als een TXT-record, te beginnen met p=none voor monitoringdoeleinden.
  • Sinds de invoering van de regels van Google voor bulkverzenders in 2024 moeten domeinen die dagelijks meer dan 5.000 berichten naar Gmail versturen, over DMARC beschikken; dit is niet langer optioneel.
  • Schakel pas over van p=none naar p=quarantine naar p=reject nadat uit rapporten is gebleken dat je legitieme afzenders zijn goedgekeurd.

DMARC voor Google Workspace (Gmail) geeft ontvangende servers aan wat ze moeten doen wanneer e-mails van uw domein de SPF- of DKIM-controles niet doorstaan: of ze deze in quarantaine moeten plaatsen, moeten weigeren of alleen moeten rapporteren. Google Workspace regelt de uitgaande verzending en het genereren van DKIM-sleutels, maar publiceert geen DMARC-record voor u. Dat deel bestaat uit een DNS-record dat u zelf instelt, en het is het enige dat tussen uw domein en spoofing-aanvallen staat.

Sinds de invoering van de Google-vereisten voor bulkverzenders in 2024 is DMARC niet langer optioneel voor verzenders met een hoog verzendvolume: elk domein dat dagelijks 5.000 of meer berichten naar Gmail verstuurt, moet beschikken over een geldig DMARC-record, anders loopt het het risico dat de berichten worden geweigerd.

Als je specifiek wilt weten hoe je DMARC voor Gmail instelt, is de werkwijze hetzelfde: Gmail maakt gebruik van de e-mailinfrastructuur van Google, dus de onderstaande stappen gelden zowel voor een persoonlijk Google Workspace-abonnement als voor het verzenden via Gmail for Business. Deze handleiding behandelt alles wat je nodig hebt: de vereisten voor SPF en DKIM, het exacte record dat je moet publiceren, een uitleg van elke tag en een stapsgewijze handleiding van monitoring (p=none) tot volledige handhaving (p=reject), inclusief voorbeelden van records en de veelvoorkomende fouten die de e-mailstroom onderweg kunnen verstoren.

Wat is DMARC en waarom is het nodig voor Google Workspace?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een op DNS gebaseerde standaard voor e-mailauthenticatie die SPF en DKIM met elkaar combineert, ontvangende servers aangeeft hoe ze berichten moeten behandelen die deze controles niet doorstaan, en u rapporten stuurt over wie uw domein gebruikt om e-mail te versturen.

Dit is wat mensen vaak over het hoofd zien: Google Workspace beveiligt het verkeer. Het versleutelt verbindingen met TLS, filtert inkomende spam en bezorgt je uitgaande e-mail betrouwbaar. Maar DMARC is een controle op domeinniveau controle die alleen de domeineigenaar kan instellen. Google publiceert geen DMARC-record voor je, en geen enkele hoeveelheid spamfiltering door Google kan een aanvaller ervan weerhouden je domein te vervalsen om phishing-e-mails te versturen naar andere mensen te sturen. Precies die leemte vult DMARC op.

Het is ook niet langer optioneel. Volgens de vereisten van Google voor bulkverzenders die in februari 2024 van kracht werden en steeds strenger worden, moet elk domein dat 5.000 of meer berichten per dag naar Gmail-adressen verstuurt een DMARC-record publiceren, anders zal Google de e-mail gaan weigeren. Zelfs onder die drempel is DMARC nu de basisvoorwaarde voor een goede afleverbaarheid. 

Als je de volledige conceptuele uitleg wilt, bekijk dan onze uitgebreide handleiding over wat DMARC is

Vereisten: Stel eerst SPF en DKIM in

DMARC verifieert e-mail niet op zichzelf. Het bouwt voort op SPF en DKIM en handhaaft de uitkomst daarvan. Om te slagen voor DMARC moet ten minste één van deze twee tests slagen en moet deze overeenkomen met uw domein. Zorg er dus voor dat deze twee zijn ingesteld voordat u een DMARC-record publiceert. Hieronder vindt u de beknopte versies; elke link verwijst naar de volledige handleiding.

SPF voor Google Workspace (snelle installatie)

SPF is een enkel TXT-record in uw hoofddomein waarin de servers worden vermeld die namens u e-mail mogen verzenden. Voor Google Workspace is het essentiële record:

v=spf1 include:_spf.google.com ~all

v=spf1 opent het record, include:_spf.google.com autoriseert de e-mailservers van Google en ~all zorgt ervoor dat al het andere als ‘soft-fail’ wordt aangemerkt. Als je via andere diensten verstuurt, voeg dan hun ‘includes’ toe aan hetzelfde record (maak nooit een tweede SPF-record aan):

v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Voor een uitgebreide verdieping in het afvlakken van gegevens, opzoekingen en randgevallen, zie ons volledige SPF-record voor Google Workspace gids.

DKIM voor Google Workspace (snelle installatie)

DKIM voegt een cryptografische handtekening toe aan uw uitgaande e-mail. Google Workspace genereert de sleutel voor u; u publiceert deze in DNS:

  1. Ga in de beheerconsole naar Apps → Google Workspace → Gmail → E-mail verifiëren.
  2. Selecteer uw domein en klik op ‘Nieuw record genereren’ (2048-bit wordt aanbevolen).
  3. Kopieer het TXT-record dat Google genereert. Dit bestaat uit een hostnaam, bijvoorbeeld google._domainkey, en een lange waarde die begint met v=DKIM1; k=rsa; p=….
  4. Plaats dat TXT-record bij je DNS-provider.
  5. Ga terug naar de beheerconsole en klik op ‘Start authenticatie’.

Het record ziet er als volgt uit:

Host/Name:  google._domainkey.yourdomain.com
Type: TXT
Value: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...

Bekijk voor de volledige handleiding hoe je DKIM voor je domein instelt.

Note: Google Workspace handles DKIM signing (you generate the key in the Admin Console) and SPF is a DNS record you publish yourself, but Google does not create or publish a DMARC record for your domain. That part is entirely on you, and it's what the rest of this guide covers.

Een DMARC-record instellen voor Google Workspace

Nu SPF en DKIM actief zijn, ben je klaar voor DMARC. Hier volgt het volledige proces, stap voor stap.

Stap 1: Stel je DMARC-record op

Een DMARC-record is een enkel TXT-record dat uit tags bestaat. Een eenvoudig startrecord ziet er als volgt uit:

v=DMARC1; p=none; rua=mailto:[email protected];

Je kunt dit visueel samenstellen met onze DMARC-generator, die de syntaxis voor je samenstelt. Dit is wat elke tag doet:

  • v: wordt gebruikt om de protocolversie te definiëren, die altijd DMARC1 is. Dit is een verplichte tag
  • p: wordt gebruikt om de DMARC-beleidsmodus te definiëren; dit is ook een verplichte tag. 
  • rua: wordt gebruikt om het verzameladres aan te duiden. Dit is een optionele tag, maar wordt sterk aanbevolen om authenticatieresultaten te controleren. 

Note: The one tag people misread is p. p=none, which is the starting point, not the end state, as it only monitors and reports, it doesn't protect anything yet. The goal is to reach p=reject without breaking mail flow.

Stap 2: De record in DNS publiceren

DMARC wordt in je DNS ingesteld, bij je domeinregistrar of DNS-host, en niet in de Google Admin Console. DMARC is een DNS-record, geen instelling van Google Workspace. Voeg in uw DNS-paneel het volgende toe:

# Veld Een waarde
1. Type TXT
2. Host/Naam _dmarc (bij veel panelen wordt je domein automatisch toegevoegd → _dmarc.jouwdomein.com)
3. Een waarde v=DMARC1; p=none; rua=mailto:[email protected]
4. TTL 3600 of de standaardinstelling behouden

Laat maar zitten. DNS-propagatie kan tot 48 uur duren, hoewel het meestal veel sneller gaat, vaak al binnen een uur.

Stap 3: Controleer je DMARC-record

Controleer na publicatie of het correct wordt omgezet met onze DMARC-recordcheckerof het record correct wordt verwerkt. Een succesvolle controle geeft uw record weer en bevestigt dat de syntaxis geldig is. Er wordt bijvoorbeeld weergegeven dat het beleid is gedetecteerd als p=none, dat er een geldig RUA-rapportageadres is en dat er geen syntaxisfouten zijn. Als de checker het record niet kan vinden, geef DNS dan wat meer tijd om te propageren of controleer het veld ‘host/naam’ nogmaals.

Stap 4: Controleer de rapporten voordat je maatregelen neemt

Als p=none actief is, beginnen Google en andere ontvangende servers geaggregeerde (RUA) rapporten te versturen naar het adres in uw RUA-tag. Hierin wordt weergegeven welke bronnen e-mail verzenden namens uw domein en of ze voldoen aan de SPF- en DKIM-vereisten of niet.

Waar je naar op zoek bent: legitieme bronnen die niet goed functioneren. Een marketingplatform, CRM-systeem, helpdesk-tool of facturatiedienst die je daadwerkelijk gebruikt, kan mogelijk niet goed zijn afgestemd omdat de SPF of DKIM nog niet onder jouw domein is ingesteld. Los dit op voordat je de maatregelen doorvoert, anders zal het verplaatsen naar quarantaine of het afwijzen van e-mails ertoe leiden dat je eigen e-mail wordt geblokkeerd. 

Aangezien onbewerkte DMARC-XML moeilijk te lezen is, kun je gebruikmaken van onze handleiding voor het lezen van DMARC-rapporten om ze te interpreteren. Het is aanbevolen om rekening te houden met een monitoringperiode van minimaal 2 tot 4 weken, zodat u uw volledige verzendcyclus vastlegt.

Stap 5: Overgaan tot handhaving (p = quarantaine, vervolgens p = afwijzen)

Zodra uit uw rapporten blijkt dat alle legitieme afzenders worden goedgekeurd, kunt u het beleid stapsgewijs aanscherpen:

  1. p=geen → p=quarantaine: afgekraakte e-mails komen in de spamfolder terecht in plaats van in de inbox. Bekijk de rapporten nogmaals.
  2. p=quarantaine → p=afwijzen: afwijkende e-mail wordt direct geblokkeerd. Hier treedt de daadwerkelijke bescherming tegen spoofing in werking.

Voor een nog veiligere uitrol gebruik je de t (t=y)-tag om je beleid te testen voordat je overgaat tot maximale handhaving. Lees meer over het kiezen en aanpassen van je handhavingsniveau in ons DMARC-beleidsgids gids.

Voorbeelden van DMARC-records voor Google Workspace

Drie voorbeelden die je direct kunt kopiëren, afgestemd op de fase waarin je je bevindt. Vervang de e-mailadressen door die van jezelf.

Basismonitoring (Aan de slag)

v=DMARC1; p=none; rua=mailto:[email protected];

Quarantaine met rapportage

v=DMARC1; p=quarantine; rua=mailto:[email protected]; adkim=r; aspf=r;

Volledige handhaving

v=DMARC1; p=reject; rua=mailto:[email protected]; adkim=s; aspf=s;

Note: the strict alignment here (adkim=s, aspf=s) requires the domain in the DKIM signature or SPF to match your sending domain exactly, with no subdomains. Relaxed (r) allows subdomains to align. Example mail from mail.yourdomain.com still aligns with yourdomain.com. Use relaxed while you're stabilizing, and only switch to strict once you're certain every legitimate sender uses your exact domain.

Veelvoorkomende fouten met DMARC in Google Workspace

DMARC publiceren zonder dat SPF of DKIM is ingesteld

DMARC kan niets afdwingen als noch SPF, noch DKIM voldoet en op elkaar is afgestemd. Als je DMARC als eerste instelt, vooral op ‘quarantaine’ of ‘afwijzen’, kan je eigen e-mail gaan mislukken. Zorg er altijd eerst voor dat SPF en DKIM goed werken, en voeg DMARC daarna pas toe.

Voor onbepaalde tijd op p=none blijven

p=none dient alleen ter controle; het blokkeert niets. Veel domeinen publiceren dit, zien de rapporten binnenkomen, maar ondernemen nooit verdere actie. Spoofers ondervinden hier geen hinder van, totdat je p=reject instelt. Beschouw none als een tijdelijke controlefase, niet als een einddoel.

Ontbrekende externe afzenders in SPF/DKIM

Marketingtools, CRM-systemen, ticketingsystemen en facturatiediensten versturen allemaal e-mails „namens u“. Als ze niet zijn toegestaan in uw SPF-toelatingslijst of niet zijn ondertekend met een bijbehorende DKIM, zullen ze niet voldoen aan DMARC en worden hun e-mails geblokkeerd zodra u het beleid handhaaft. Gebruik uw monitoringrapporten om iedereen op te sporen voordat u het beleid aanscherpt.

Het gebruik van een verkeerde DNS-hostnaam

De meest voorkomende syntaxfout is dat _dmarc in het veld ‘value’ van het record wordt geplaatst in plaats van in het veld ‘host/name’, of dat de voorloopstreepje helemaal wordt weggelaten. Het veld ‘host/name’ moet _dmarc zijn (wat verwijst naar _dmarc.yourdomain.com); de waarde is de tekenreeks v=DMARC1; … .

Meerdere DMARC-records op één domein

Een domein mag precies één DMARC-record bevatten. Als er twee of meer _dmarc TXT-records aanwezig zijn, negeren ontvangers DMARC volledig, waardoor uw bescherming wordt uitgeschakeld. Als u het record wilt bijwerken, bewerk dan het bestaande record in plaats van een tweede toe te voegen.

Hoe PowerDMARC DMARC voor Google Workspace vereenvoudigt

Handmatige DMARC werkt wel, maar het doorlopende proces – zoals het lezen van onbewerkte XML-rapporten, het opsporen van afwijkende afzenders en het zorgvuldig opschalen van ‘none’ naar ‘reject’ – is waar de meeste domeinen vastlopen.

PowerDMARC zet die XML-rapporten om in overzichtelijke dashboards, biedt u gehoste DMARC zodat u uw beleid kunt bijwerken zonder telkens uw DNS te hoeven aanpassen, begeleidt u bij het geautomatiseerde handhavingsproces en stuurt realtime waarschuwingen zodra een nieuwe afzender namens uw domein begint te verzenden, zodat u sneller volledige p=reject-bescherming bereikt zonder legitieme e-mail te blokkeren.

Veelgestelde Vragen

1. Is DMARC standaard geïntegreerd in Google Workspace?

Nee. Google Workspace zorgt voor de beveiliging van het dataverkeer, het filteren van spam en het genereren van DKIM-sleutels, maar het maakt of publiceert geen DMARC-record voor u. DMARC is een DNS-record dat de domeineigenaar apart moet publiceren.

2. Hoe voeg ik een DMARC-record toe aan Google Workspace?

Je voegt het niet toe in de Admin Console, maar publiceert het als een TXT-record bij je DNS-provider met de hostnaam _dmarc en een waarde zoals v=DMARC1; p=none; rua=mailto:[email protected].

3. Wat is het juiste DMARC-record voor Google Workspace?

Begin met v=DMARC1; p=none; rua=mailto:[email protected] voor monitoring, ga vervolgens over naar p=quarantine en uiteindelijk naar p=reject zodra uw legitieme afzenders de controle doorstaan.

4. Heb ik SPF en DKIM nodig voordat ik DMARC instel?

Ja. DMARC handhaaft de resultaten van SPF en DKIM, dus er moet ten minste één van beide zijn ingesteld en correct zijn geconfigureerd voordat DMARC kan slagen. Het wordt aanbevolen om beide in te stellen voordat DMARC wordt geïmplementeerd. 

5. Wat betekent „p=none” in een DMARC-record?

p=none staat voor de bewakingsmodus. Ontvangers melden e-mails die niet kunnen worden afgeleverd, maar ondernemen hier geen actie op. Dit is een veilig startpunt, maar biedt geen bescherming totdat je overschakelt naar quarantaine of afwijzing.

6. Hoe lang duurt het voordat een DMARC-record in werking treedt?

De record kan al binnen enkele minuten worden doorgevoerd, hoewel het bij DNS-wijzigingen tot 48 uur kan duren. Geaggregeerde rapporten komen doorgaans binnen een dag of twee binnen.

7. Waarom voldoen mijn Google Workspace-e-mails nog steeds niet aan de DMARC-vereisten?

Meestal komt dit doordat een legitieme afzender (vaak een externe dienst) niet is geautoriseerd in je SPF-record of niet ondertekent met een goed afgestemde DKIM. Je kunt je geaggregeerde rapporten bekijken om de bron te identificeren die niet voldoet en de afstemming ervan te corrigeren.

8. Is DMARC verplicht volgens de richtlijnen van Google voor bulkverzenders?

Ja. Volgens de vereisten van Google voor bulkverzenders moeten domeinen die 5.000 of meer berichten per dag naar Gmail verzenden, beschikken over een geldig DMARC-record; anders kan hun e-mail worden geweigerd. Bekijk onze Google- en Yahoo-nalevingsgids gids raadplegen voor meer informatie.