Een DMARC record maken en publiceren
door
Laatst bijgewerkt: 9 leestijd: 9 minuten
Belangrijkste Conclusies
- Een DMARC-record is een DNS TXT-record dat helpt bij het verifiëren van uitgaande e-mails en het voorkomen van spoofing- en phishingaanvallen.
- Het kiezen van het juiste DMARC-beleid is essentieel voor het controleren van de afhandeling van ongeautoriseerde e-mails.
- Om DMARC te implementeren, moet het record worden gepubliceerd in het DNS (Domain Name System) met tools zoals cPanel, GoDaddy of Cloudflare.
- Zelfs domeinen die niet actief e-mails versturen, moeten een beperkend DMARC-record hebben, met name "p=reject", om mogelijk misbruik te voorkomen.
- Voor optimale resultaten wordt aanbevolen om één DMARC-record per domein te onderhouden en de handhaving geleidelijk te implementeren om problemen met de e-mailaflevering te voorkomen.
- Oplossingen zoals PowerDMARC automatiseren het beheer van DMARC-records en vereenvoudigen de bewaking door het gebruik van AI-gestuurde informatie over bedreigingen.
DMARC, of Domain-based Message Authentication, Reporting and Conformance, is een technisch protocol voor het authenticeren van uitgaande berichten. DMARC fungeert als eerste verdedigingslinie tegen verschillende e-mailgebaseerde bedreigingen, waaronder phishing en spoofing.
Om DMARC te configureren, moet u een DMARC-record aanmaken. Het aangemaakte DMARC-record is een TXT-record dat vervolgens op uw DNS wordt gepubliceerd. Hiermee start u uw e-mailverificatieproces.
Door een DMARC-record in te stellen, stelt u domeineigenaren in staat om ontvangers te instrueren hoe ze moeten reageren op e-mails die zijn verzonden vanuit ongeautoriseerde of onwettige bronnen.
Expert tip van Maitham Al Lawati: "Voor organisaties in de gezondheidszorg of financiële sector gaat DMARC niet alleen over beveiliging, maar ook over het voldoen aan strenge nalevingsvereisten. Begin met monitoring en ga vervolgens over tot handhaving."
Deze handleiding helpt u bij het correct aanmaken en publiceren van een DMARC DNS TXT-record, en legt uit hoe u dit kunt controleren en veelvoorkomende fouten kunt oplossen.
Wat zijn DMARC-records?
Een DMARC-record is een DNS TXT-record dat aangeeft hoe e-mailservers moeten omgaan met berichten die niet door de authenticatiecontroles (SPF & DKIM) komen.
Het helpt domeineigenaren e-mailspoofing en phishing door ontvangerservers te instrueren om ongeautoriseerde e-mails te weigeren, in quarantaine te plaatsen of toe te laten.
Anatomie van een DMARC-record
Het is essentieel om elke DMARC-tag te begrijpen voor een juiste configuratie. Hier volgt een uitgebreid overzicht van alle componenten van een DMARC-record:
| Een label | Beschrijving | Mogelijke waarden | Een Voorbeeld |
|---|---|---|---|
| v | Versie (verplicht) | DMARC1 | v=DMARC1 |
| p | Beleid voor domein (verplicht) | geen, quarantaine, afwijzen | p=quarantine |
| rua | Verzamelrapport e-mail | E-mailadres | rua=mailto:[email protected] |
| ruf | Forensisch rapport e-mail | E-mailadres | ruf=mailto:[email protected] |
| sp | Beleid inzake subdomeinen | geen, quarantaine, afwijzen | sp=afwijzen |
| adkim | DKIM afstemmingsmodus | r (ontspannen), s (streng) | adkim=r |
| aspf | SPF uitlijnmodus | r (ontspannen), s (streng) | aspf=r |
| pct | Percentage e-mails waarop het beleid van toepassing is | 0-100 | pct=25 |
| fo | Forensische opties | 0, 1, d, s | fo=1 |
| rf | Rapportformaat | afrf | rf=afrf |
| ri | Rapportinterval (seconden) | Aantal | ri=86400 |
Voorbeelden van DMARC-records
Hier zijn enkele praktijkvoorbeelden van DMARC-records voor verschillende gebruikssituaties. Kopieer deze en pas ze aan voor uw domein:
Basisbewakingsmodus (aanbevolen voor beginners)
- v=DMARC1; p=none; rua=mailto:[email protected]
- Gebruiksscenario: Eerste DMARC-implementatie voor het monitoren van e-mailverkeer zonder handhaving.
Quarantainebeleid met rapportage
- v=DMARC1; p=quarantaine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=25
- Gebruiksscenario: Geleidelijke handhaving die van invloed is op 25% van de e-mails, met zowel geaggregeerde als forensische rapportage.
Strikt handhavingsbeleid
- v=DMARC1; p=afwijzen; sp=afwijzen; rua=mailto:[email protected]; adkim=s; aspf=s
- Gebruiksscenario: Volledige bescherming met strikte afstemming voor zowel domeinen als subdomeinen.
Bescherming tegen niet-verzendende domeinen
- v=DMARC1; p=afwijzen; sp=afwijzen; adkim=s; aspf=s
- Gebruiksscenario: domeinen die geen e-mails versturen, maar wel bescherming nodig hebben tegen spoofing.
DMARC-recordtags uitgelegd
1. DMARC-beleidsmodi
Het DMARC-beleid definieert hoe ontvangers moeten omgaan met e-mails die de DMARC-authenticatie niet doorstaan. Het wordt aangeduid met "p". Het kan een van de volgende drie waarden hebben:
- p=none: Geen actie ondernemen tegen ongeautoriseerde e-mails.
- p=quarantaine: Om verdachte e-mails te markeren.
- p=afwijzen: Om ongeautoriseerde e-mails te weigeren voordat ze uw ontvangers bereiken.
2. Opties voor DMARC-rapportage
- Geaggregeerde rapporten (rua=): Dit zijn samenvattende rapporten die naar het opgegeven e-mailadres worden verzonden en die de authenticatieresultaten voor alle e-mails van het domein weergeven.
- Forensische rapporten (ruf=): Dit zijn gedetailleerde foutrapporten die worden verzonden wanneer een e-mail de DMARC-authenticatie niet doorstaat.
3. DMARC-uitlijningsmodi
- SPF-afstemming (aspf=): Bepaalt of het domein van de afzender in de From: header overeenkomt met het SPF-record. Er is een optie voor strikte (s) afstemming voor een exacte overeenkomst of voor soepele (r) afstemming voor een organisatorische overeenkomst.
- DKIM-afstemming (adkim=): Bepaalt of de DKIM-handtekening domein overeenkomt met het domein in de From: header. Er is een optie voor strikte (s) afstemming voor een exacte overeenkomst of voor flexibele (r) afstemming voor een organisatorische overeenkomst.
Hoe DMARC werkt met subdomeinen
De tag 'sp' (subdomeinbeleid) bepaalt hoe DMARC-beleidsregels van toepassing zijn op subdomeinen. Als dit niet is opgegeven, nemen subdomeinen het beleid van het hoofddomein over.
- Overerving: Subdomeinen nemen automatisch het DMARC-beleid van het bovenliggende domein over.
- Overschrijven: Gebruik de tag 'sp=' om verschillende beleidsregels voor subdomeinen in te stellen.
- Best practice: Stel strengere beleidsregels op voor subdomeinen die geen e-mails versturen.
Hoe maak je een DMARC record aan?
Om een DMARC DNS-record voor je domein aan te maken, moet je ervoor zorgen dat je:
- a) een betrouwbaar instrument om het record te genereren
- b) toegang tot uw DNS-beheerconsole om het record te publiceren
Volg de onderstaande stappen om je record aan te maken:
1. Uw DMARC record genereren
Registreer om toegang te krijgen tot ons portaal met een e-mailadres of meld je aan met Gmail/Office 365. Ga naar Analysehulpmiddelen > PowerToolbox > Gratis DMARC-recordgenerator om te beginnen met het maken van uw DMARC-record.
2. Definieer een DMARC-beleid voor uw DMARC-record
Beslis over een DMARC beleid afhankelijk van het gewenste handhavingsniveau (geen, quarantaine of afwijzen). Zo kies je je DMARC-recordbeleid:
- Als je wilt dat er geen actie wordt ondernomen tegen ongevraagde e-mails die vanaf je domein zijn verzonden, kies dan "geen".
- Als je e-mails die niet voldoen aan DMARC in quarantaine wilt plaatsen, kies dan "quarantaine".
- Als je e-mails wilt weigeren of weggooien die de verificatie niet doorstaan, wat spoofing en phishing-aanvallen kan minimaliseren, kies dan "weigeren".
3. Aanbevolen optionele velden voor DMARC-records configureren
Hoewel niet alle velden verplicht zijn, raden we je aan een paar nuttige optionele velden te configureren in je DMARC-record. Laten we eens kijken welke dat zijn:
- Geaggregeerd (rua) rapportageveld: Als u het rua-veld configureert, ontvangt u DMARC-authenticatiegegevens rechtstreeks op uw e-mailadres.
- Forensisch (ruf) rapportageveld: Verkrijg inzicht in forensische incidenten zoals cyberaanvallen door het ruf-veld in je DMARC-record te configureren.
- DKIM/SPF uitlijningsmodi" Kies of u wilt kiezen voor een ontspannen of een strikte uitlijning voor SPF en/of DKIM.
Hoe publiceer je een DMARC record?
Om een DMARC record te publiceren, zijn er een paar voorwaarden:
- U moet toegang hebben tot uw DNS-beheerconsole
- Je moet toestemming hebben om DNS-records voor je domein te bewerken en nieuwe toe te voegen
Je DMARC record publiceren met cPanel
1. Ga naar je cPanel DNS-beheersconsole
2. Klik in de sectie Domeinen op DNS Zone-editor of Geavanceerde zone-editor
3. Voeg een DMARC-record van het type TXT (tex) toe en vul de gegevens in zoals hieronder weergegeven. In het veld 'TXT-gegevens' of 'waarde' moet u uw eerder aangemaakte DMARC-record plakken.
Een DMARC record publiceren bij Godaddy
- Log in op je GoDaddy Domein Portfolio om toegang te krijgen tot de DNS-zone
- Zoek en selecteer onder Domeinnaam uw domein voor het verzenden van e-mail
- Klik onder uw domeinnaam op DNS
- Selecteer nu Nieuw record toevoegen en begin met het publiceren van je record met de volgende gegevens:
- Type: TXT
- Naam: _dmarc
- Waarde: plak de waarde van uw DMARC-record
Een DMARC record publiceren met Cloudflare
- Log in op uw Cloudflare-account.
- Selecteer het gewenste account en domein.
- Navigeer naar DNS en klik op Record toevoegen
- Plak het gegenereerde DMARC-record in het gedeelte Record toevoegen, zoals in het onderstaande voorbeeld:
Dit is waarom meer dan 10.000 klanten vertrouwen op PowerDMARC
- Enorme vermindering van pogingen tot spoofing en ongeautoriseerde e-mails
- Snellere onboarding + geautomatiseerd authenticatiebeheer
- Realtime dreigingsinformatie en rapportage over verschillende domeinen heen
- Betere e-mailbezorgingspercentages dankzij strikte handhaving van DMARC
Uw DMARC record verifiëren
Om uw DMARC-record te verifiëren en de veelvoorkomende foutmelding "Geen DMARC-record gevonden" , kunt u onze gratis verificatietool gebruiken.
1. Meld u gratis aan en ga naar Analysehulpmiddelen > PowerToolbox > DMARC-recordcontroleprogramma
2. Controleer de status, syntaxis en tags van uw DMARC-record om eventuele fouten te ontdekken.
Klaar om uw DMARC-record te verifiëren? Gebruik de gratis DMARC-checker van PowerDMARC
Problemen met veelvoorkomende DMARC-recordfouten oplossen
Gebruik deze stapsgewijze checklist om veelvoorkomende DMARC-recordproblemen op te lossen:
| Probleem | Symptomen | Oplossing |
|---|---|---|
| Record niet gevonden | DNS-lookup levert geen resultaten op | Controleer of het record is gepubliceerd als TXT-type met de naam "_dmarc". |
| Syntaxfouten | Recordvalidatie mislukt | Controleer op ontbrekende puntkomma's, extra spaties of typefouten. |
| Meerdere records | Inconsistente handhaving van het beleid | Verwijder dubbele records, bewaar slechts één per domein |
| Propagatievertragingen | Wijzigingen niet wereldwijd zichtbaar | Wacht 24-48 uur voor volledige DNS-propagatie. |
| Ongeldige e-mailadressen | Rapporten niet ontvangen | Controleer of rua/ruf-e-mailadressen geldig en toegankelijk zijn |
Snelle checklist voor probleemoplossing
|
Veel voorkomende DMARC recordfouten
| Status | Wat het betekent | Wat kun je doen |
|---|---|---|
| Geldig | Je DMARC record is correct en bevat geen fouten | Niets doen |
| Ongeldig | Je DMARC record bevat fouten. Dit kan komen door een onvolledige of foutieve syntaxis. | Controleer je syntax, raadpleeg onze volledige handleiding over DMARC-tags of neem contact met ons op voor hulp van een expert. |
| Geen record gevonden | Er was geen DMARC-record aanwezig in uw DNS. | Maak een DMARC-record voor je domein en publiceer dit in je DNS. |
Zodra u fouten in uw record ontdekt, moet u de nodige wijzigingen in uw DNS doorvoeren en de wijzigingen opslaan. U kunt uw record opnieuw controleren zodra de wijzigingen zijn verwerkt.
DMARC record voor niet-verzenddomeinen
De meeste mensen beperken zich tot het beveiligen van hun actieve domeinen, maar aanvallers kunnen zelfs uw niet-verzendende domeinen vervalsen om namens u valse e-mails te versturen! Om dit te voorkomen, volgt u de volgende stappen om DMARC voor uw niet-verzendende domeinen:
- Publiceer een niet-permissief DMARC-record: begin met het publiceren van een DMARC-record voor het inactieve domein met een afgedwongen beleid zoals p=reject.
- Rapportage inschakelen (aanbevolen): Zelfs als uw domein geen e-mails verstuurt, kunnen aanvallers het nog steeds misbruiken om phishingberichten te versturen. DMARC-rapporten waarschuwen u wanneer dit gebeurt.
- Publiceer een restrictief SPF-record: Stel v=spf1 -all in om het verzenden van e-mails te voorkomen.
- Geïntegreerde e-maildiensten uitschakelen: Als het domein nog steeds gekoppeld is aan externe e-mailservers, kan het een goed idee zijn om deze te beperken als het domein niet meer in gebruik is.
Gevolgen van het niet beveiligen van uw inactieve domeinen
Het niet implementeren van DMARC voor uw niet-verzenddomeinen kan verschillende gevolgen hebben, zoals:
- Verhoogd risico op spoofing- en phishingaanvallen
- Schade aan merk- en domeinreputatie
- Domeinmisbruik dat lange tijd onopgemerkt blijft
Eén DMARC-bestand per domein
Bij het configureren van uw DMARC-record is het belangrijk om één record per domein te publiceren. Meerdere DMARC-records voor één domein kunnen conflicten en onnodige authenticatiefouten veroorzaken!
Waarom meerdere DMARC-records een probleem zijn
- Fouten bij e-mailverificatie: E-mailontvangers weten mogelijk niet welk DMARC-record ze moeten volgen.
- Verkeerde configuraties en inconsistenties: Tegenstrijdige beleidsregels (bijvoorbeeld één record met p=none en een ander met p=reject) leiden tot onvoorspelbare handhaving.
- Onnauwkeurige rapportage: DMARC-rapporten kunnen onvolledig of onbetrouwbaar zijn.
Beste praktijken voor een correcte DMARC-implementatie
Om een correcte configuratie van DMARC-records te garanderen, volgen hier de best practices voor implementatie:
- Publiceer één record voor DMARC per domein.
- Vermijd het configureren van de DMARC sp tag tenzij je wilt dat je subdomeinen een ander beleid hebben.
- Gebruik een DMARC-controleprogramma om je record te valideren nadat je het hebt gepubliceerd.
- Controleer je DMARC-rapporten regelmatig om ervoor te zorgen dat verdachte activiteiten niet onopgemerkt blijven.
Volgende stappen na het publiceren van een DMARC record
Nadat je klaar bent met het publiceren van je DMARC-record, moet je je in de volgende stap richten op het beschermen van je domein tegen scammers en imitators. Dat is je belangrijkste taak als je beveiligingsprotocollen en e-mailverificatieservices implementeert.
Het simpelweg publiceren van een DMARC-record met een p=none-beleid biedt geen bescherming tegen domeinspoofingaanvallen en e-mailfraude. Daarvoor moet u overschakelen op DMARC-handhaving.
Om over te stappen op DMARC is een geleidelijke aanpak de beste manier om ideale resultaten te behalen zonder negatieve gevolgen voor je deliverability. Hier volgt een stapsgewijs proces dat je kunt volgen:
- Begin met een p=none beleid, wat je bewakingsmodus is.
- Schakel DMARC-rapportage in voor uw domein om uw e-mailverkeer verkeer en de leverbaarheid ervan te analyseren.
- Ga naar quarantaine, houd pct (percentage) op 10 en verhoog het geleidelijk naar 100% over een paar weken.
- Zodra u vertrouwen hebt in uw instelling, gaat u over op p=reject, waarbij u pct op de laagste percentage-instelling houdt en vervolgens geleidelijk verhoogt naar volledige handhaving voor 100% van uw mailvolume.
Hoe PowerDMARC het beheer van DMARC-bestanden vereenvoudigt
Voor organisaties die meerdere domeinen beheren, of gewoonweg geen zin hebben in het gedoe van het handmatig configureren en onderhouden van DMARC-records, is er PowerDMARC. Een eenvoudige en klantvriendelijke oplossing die het beheer van DMARC-records onder één dak automatiseert. Aangedreven door AI-gestuurde dreigingsinformatietechnologie en gedetailleerde rapportage, helpt PowerDMARC meer dan 2000 klanten over de hele wereld hun DMARC-traject te vereenvoudigen.
Het biedt:
- Beheer van meerdere domeinen en meerdere klanten vanuit één dashboard
- Onboarding en ondersteuning met witte handschoenen
- Gecertificeerd voor SOC2-, ISO27001- en GDPR-conformiteit
Om te beginnen, neem een gratis Start vandaag nog uw gratis proefperiode van 15 dagen voor DMARC-beveiliging van het platform!
FAQs
1. Hoe voeg ik een DMARC-record toe?
Om een DMARC-record toe te voegen: 1) Genereer uw DMARC-record met behulp van een tool zoals de generator van PowerDMARC, 2) Ga naar uw DNS-beheerconsole, 3) Maak een nieuw TXT-record aan met de naam "_dmarc" en plak uw DMARC-record als waarde, 4) Sla de wijzigingen op en wacht op DNS-propagatie (maximaal 48 uur).
2. Wat gebeurt er als ik geen DMARC-record heb?
Zonder een DMARC-record is uw domein kwetsbaar voor spoofing- en phishingaanvallen. E-mailproviders zoals Gmail en Yahoo kunnen e-mails van bulkverzenders zonder DMARC weigeren. De reputatie van uw domein kan worden geschaad door ongeoorloofd gebruik en u hebt geen inzicht in mislukte e-mailverificaties.
3. Hoe ziet een typisch DMARC-record eruit?
Een standaard DMARC-record wordt gepubliceerd als een DNS TXT-record op _dmarc.uwdomein.com en begint meestal in de monitoringmodus. Een veelvoorkomend voorbeeld ziet er als volgt uit:
v=DMARC1; p=none; rua=mailto:[email protected]
Wat dit doet:
- v=DMARC1 identificeert het record als een DMARC-beleid.
- p=none maakt monitoring mogelijk zonder e-mails te blokkeren.
- rua geeft aan waar geaggregeerde DMARC-rapporten naartoe worden gestuurd.
Met deze instelling kunt u authenticatieresultaten bekijken en pogingen tot spoofing detecteren zonder dat dit invloed heeft op de bezorging van e-mails. Nadat u de rapporten hebt bekeken en hebt gecontroleerd of alle legitieme afzenders zijn opgenomen, kunt u geleidelijk overgaan naar p=quarantaine of p=reject overgaan om de instellingen te handhaven.
Cyberbeveiligingsexpert, CEO bij PowerDMARC
Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.
Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
- E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
- Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
- SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025
