DMARC, of Domain-based Message Authentication, Reporting and Conformance, is een technisch protocol voor het verifiëren van uitgaande berichten. DMARC dient als eerste verdedigingslinie tegen verschillende e-mailbedreigingen, waaronder phishing en spoofing.
Naar DMARC te configurerenmoet je een DMARC record aanmaken. Het aangemaakte DMARC-record is een TXT-record dat vervolgens in je DNS wordt gepubliceerd. Hiermee start je het verificatieproces voor e-mail. Door een DMARC-record in te stellen, geeft u domeineigenaren de mogelijkheid om ontvangers te instrueren hoe ze moeten reageren op e-mails die zijn verzonden door onbevoegde of onwettige bronnen.
Belangrijkste opmerkingen
- Een DMARC-record is een DNS TXT-record dat helpt bij het verifiëren van uitgaande e-mails en het voorkomen van spoofing- en phishingaanvallen.
- Het kiezen van het juiste DMARC-beleid is essentieel voor het controleren van de afhandeling van ongeautoriseerde e-mails.
- Om DMARC te implementeren, moet het record worden gepubliceerd in het DNS (Domain Name System) met tools zoals cPanel, GoDaddy of Cloudflare.
- Zelfs domeinen die niet actief e-mails versturen, moeten een beperkend DMARC-record hebben, met name "p=reject", om mogelijk misbruik te voorkomen.
- Voor optimale resultaten wordt aanbevolen om één DMARC-record per domein te onderhouden en de handhaving geleidelijk te implementeren om problemen met de e-mailaflevering te voorkomen.
- Oplossingen zoals PowerDMARC automatiseren het beheer van DMARC-records en vereenvoudigen de bewaking door het gebruik van AI-gestuurde informatie over bedreigingen.
Wat is een DMARC Record?
Een DMARC-record is een DNS TXT-record dat specificeert hoe e-mailservers moeten omgaan met berichten die de verificatiecontroles (SPF & DKIM) niet doorstaan. Het helpt domeineigenaren om e-mailspoofing en phishing te voorkomen door ontvangende servers te instrueren of ze ongeautoriseerde e-mails moeten weigeren, in quarantaine plaatsen of toestaan.
Belangrijkste onderdelen van een DMARC record
1. DMARC-beleidsmodi
Het DMARC-beleid definieert hoe ontvangers moeten omgaan met e-mails die de DMARC-authenticatie niet doorstaan. Het wordt aangeduid met "p". Het kan een van de volgende drie waarden hebben:
- p=geen: Geen actie ondernemen tegen ongeautoriseerde e-mails.
- p=quarantaine: Verdachte e-mails markeren.
- p=afwijzen: Om ongeautoriseerde e-mails te weigeren voordat ze je ontvangers bereiken.
2. Opties voor DMARC-rapportage
- Geaggregeerde rapporten (rua=): Dit zijn overzichtsrapporten die naar het opgegeven e-mailadres worden gestuurd en verificatieresultaten weergeven voor alle e-mails van het domein.
- Forensische rapporten (ruf=): Dit zijn gedetailleerde foutrapporten die worden verzonden wanneer een e-mail niet slaagt voor DMARC-authenticatie.
3. DMARC-uitlijningsmodi
- SPF-uitlijning (aspf=): Bepaalt of het domein van de afzender in de Van: header overeenkomt met het SPF record. Er is een optie voor strikte (s) uitlijning voor een exacte overeenkomst of ontspannen (r) uitlijning voor een organisatorische overeenkomst.
- DKIM uitlijning (adkim=): Bepaalt of het domein van de DKIM handtekening overeenkomt met het domein in de Van: header. Er is een optie voor strikte (s) uitlijning voor een exacte overeenkomst of ontspannen (r) uitlijning voor een organisatorische overeenkomst.
Hoe maak je een DMARC record aan?
Om een DMARC DNS-record voor je domein aan te maken, moet je ervoor zorgen dat je:
a) een betrouwbaar instrument om het record te genereren
b) toegang tot uw DNS-beheerconsole om het record te publiceren
Volg de onderstaande stappen om je record aan te maken:
1. Uw DMARC record genereren
Aanmelden om toegang te krijgen tot ons portaal met een e-mailadres of meld u aan met Gmail/Office 365. Ga naar Analysis Tools > PowerToolbox > DMARC Record Generator om te beginnen met het maken van uw DMARC-record.
3. Definieer een DMARC beleid voor uw DMARC record
Beslis over een DMARC beleid afhankelijk van het gewenste handhavingsniveau (geen, quarantaine of afwijzen). Zo kies je je DMARC-recordbeleid:
- Als je wilt dat er geen actie wordt ondernomen tegen ongevraagde e-mails die vanaf je domein zijn verzonden, kies dan "geen".
- Als je e-mails die niet voldoen aan DMARC in quarantaine wilt plaatsen, kies dan "quarantaine".
- Als je e-mails wilt weigeren of weggooien die de verificatie niet doorstaan, wat spoofing en phishing-aanvallen kan minimaliseren, kies dan "weigeren".
3. Aanbevolen optionele velden voor DMARC-records configureren
Hoewel niet alle velden verplicht zijn, raden we je aan een paar nuttige optionele velden te configureren in je DMARC-record. Laten we eens kijken welke dat zijn:
- Geaggregeerd (rua) rapportageveld: Als u het rua-veld configureert, ontvangt u DMARC-authenticatiegegevens rechtstreeks op uw e-mailadres.
- Forensisch (ruf) rapportageveld: Verkrijg inzicht in forensische incidenten zoals cyberaanvallen door het ruf-veld in je DMARC-record te configureren.
- DKIM/SPF uitlijningsmodi" Kies of u wilt kiezen voor een ontspannen of een strikte uitlijning voor SPF en/of DKIM.
Hoe publiceer je een DMARC record?
Om een DMARC record te publiceren, zijn er een paar voorwaarden:
- U moet toegang hebben tot uw DNS-beheerconsole
- Je moet toestemming hebben om DNS-records voor je domein te bewerken en nieuwe toe te voegen
Je DMARC record publiceren met cPanel
1. Ga naar je cPanel DNS-beheersconsole
2. Klik in de sectie Domeinen op DNS Zone-editor of Geavanceerde zone-editor
3. Voeg een DMARC-record van het type TXT (tex) toe en vul de onderstaande gegevens in. In het veld "TXT data" of "value" moet je het eerder gemaakte DMARC-record plakken.
Een DMARC record publiceren bij Godaddy
- Log in op je GoDaddy Domein Portfolio om toegang te krijgen tot de DNS-zone
- Zoek en selecteer onder Domeinnaam uw domein voor het verzenden van e-mail
- Klik onder uw domeinnaam op DNS
- Selecteer nu Nieuw record toevoegen en begin met het publiceren van je record met de volgende gegevens:
Type: TXT
Naam: _dmarc
Waardeplak de waarde van uw DMARC record
Een DMARC record publiceren met Cloudflare
- Log in op uw Cloudflare-account.
- Selecteer het gewenste account en domein.
- Navigeer naar DNS en klik op Record toevoegen
- Plak het gegenereerde DMARC-record in het gedeelte Record toevoegen, zoals in het onderstaande voorbeeld:
Uw DMARC record verifiëren
Om uw DMARC record te verifiëren en de veelvoorkomende "Geen DMARC record gevonden" foutmelding te vermijden, kunt u onze gratis verificatietool gebruiken.
1. Meld u gratis aan en navigeer naar Analysis Tools > PowerToolbox > DMARC Record Checker
2. Controleer de status, syntaxis en tags van uw DMARC-record om eventuele fouten te ontdekken.
Veel voorkomende DMARC recordfouten
| Status | Wat het betekent | Wat kun je doen |
|---|---|---|
| Geldig | Je DMARC record is correct en bevat geen fouten | Niets doen |
| Ongeldig | Je DMARC record bevat fouten. Dit kan komen door een onvolledige of foutieve syntaxis. | Controleer je syntax, raadpleeg onze volledige handleiding over DMARC-tags of neem contact met ons op voor hulp van een expert. |
| Geen record gevonden | Er was geen DMARC-record aanwezig in uw DNS. | Maak een DMARC-record voor je domein en publiceer dit in je DNS. |
Zodra u fouten in uw record ontdekt, moet u de nodige wijzigingen in uw DNS doorvoeren en de wijzigingen opslaan. U kunt uw record opnieuw controleren zodra de wijzigingen zijn verwerkt.
DMARC record voor niet-verzenddomeinen
De meeste mensen stoppen bij het beveiligen van hun actieve domeinen, maar ze weten niet dat aanvallers zelfs je niet-verzenddomeinen kunnen spoofen om namens jou valse e-mails te versturen! Om dit te voorkomen, zijn hier de stappen om te implementeren DMARC voor uw niet-verzenddomeinen:
- Een niet-permissief DMARC-record publiceren: begin met het publiceren van een DMARC record voor het inactieve domein met een afgedwongen policy zoals p=reject.
- Rapportage negeren: Aangezien het domein geen e-mails verstuurt, hoeven er geen RUA- of RUF-rapporten voor te worden ingesteld.
- Publiceer een beperkend SPF-record: Stel v=spf1 -all in om het verzenden van e-mail te voorkomen.
- Schakel geïntegreerde e-mailservices uit: Als het domein nog steeds is gekoppeld aan externe e-mailservers, kan het een goed idee zijn om deze te beperken als het domein niet langer in gebruik is.
Gevolgen van het niet beveiligen van uw inactieve domeinen
Het niet implementeren van DMARC voor uw niet-verzenddomeinen kan verschillende gevolgen hebben, zoals:
- Verhoogd risico op spoofing- en phishingaanvallen
- Schade aan merk- en domeinreputatie
- Domeinmisbruik dat lange tijd onopgemerkt blijft
Eén DMARC-bestand per domein
Bij het configureren van uw DMARC-record is het belangrijk om één recordvermelding per domein te publiceren. Meerdere DMARC-records voor één domein kunnen conflicten en onterechte authenticatiefouten veroorzaken!
Waarom meerdere DMARC-records een probleem zijn
- Fouten bij e-mailverificatie: E-mailontvangers weten mogelijk niet welk DMARC-record ze moeten volgen.
- Misconfiguraties en inconsistenties: Tegenstrijdig beleid (bijv. één record gebruikt p=none en een andere gebruikt p=reject) leidt tot onvoorspelbare handhaving.
- Onnauwkeurige rapportage: DMARC-rapporten kunnen onvolledig of onbetrouwbaar zijn.
Beste praktijken voor een correcte DMARC-implementatie
Voor een correcte configuratie van DMARC records volgen hier de best practices voor implementatie:
- Publiceer één record voor DMARC per domein.
- Vermijd het configureren van de DMARC sp tag tenzij je wilt dat je subdomeinen een ander beleid hebben.
- Gebruik een DMARC-controleprogramma om je record te valideren nadat je het hebt gepubliceerd.
- Controleer je DMARC-rapporten regelmatig om ervoor te zorgen dat verdachte activiteiten niet onopgemerkt blijven.
Volgende stappen na het publiceren van een DMARC record
Nadat je klaar bent met het publiceren van je DMARC-record, moet je je in de volgende stap richten op het beschermen van je domein tegen scammers en imitators. Dat is je belangrijkste taak als je beveiligingsprotocollen en e-mailverificatieservices implementeert.
Simpelweg een DMARC-record publiceren met een p=none beleid biedt geen bescherming tegen aanvallen van domain spoofing en e-mailfraude. Daarvoor moet je overstappen op DMARC handhaving.
Om over te stappen op DMARC is een geleidelijke aanpak de beste manier om ideale resultaten te behalen zonder negatieve gevolgen voor je deliverability. Hier volgt een stapsgewijs proces dat je kunt volgen:
- Begin met een p=none beleid, wat je bewakingsmodus is.
- Schakel DMARC-rapportage in voor je domein om je e-mailverkeer en deliverability te analyseren.
- Ga naar quarantaine, houd pct (percentage) op 10 en verhoog het geleidelijk naar 100% over een paar weken.
- Zodra u vertrouwen hebt in uw instelling, gaat u over op p=reject, waarbij u pct op de laagste percentage-instelling houdt en vervolgens geleidelijk verhoogt naar volledige handhaving voor 100% van uw mailvolume.
Hoe PowerDMARC het beheer van DMARC-bestanden vereenvoudigt
Voor organisaties die met meerdere domeinen werken, of gewoon voor degenen die zich niet willen overgeven aan het gedoe van het handmatig configureren en onderhouden van DMARC-records, is er PowerDMARC. Een eenvoudige en klantvriendelijke oplossing die het beheer van DMARC-records automatiseert onder één dak. Aangedreven door AI-gestuurde Threat Intelligence-technologie en gedetailleerde rapportage, heeft PowerDMARC meer dan 2000 klanten over de hele wereld geholpen hun DMARC-reis te vereenvoudigen.
Neem om te beginnen een gratis proefversie van 15 dagen van het platform!
DMARC record veelgestelde vragen
1. Waarom heb ik een DMARC-record nodig?
DMARC-records helpen domeinvervalsing te voorkomen en verminderen zo het risico op verschillende e-mailbedreigingen zoals phishing, spoofing en ransomware-aanvallen. Zonder een DMARC-record loopt uw domein een hoger risico om in gevaar te worden gebracht of te worden misbruikt door bedreigingsactoren.
2. Wat zijn veelvoorkomende DMARC-recordfouten?
Enkele veelvoorkomende DMARC misconfiguraties zijn:
- Meerdere DMARC-records hebben, want een domein kan maar één DMARC-record hebben.
- Syntaxfouten zoals onjuiste opmaak (bijvoorbeeld ontbrekende puntkomma's of spaties).
- Ongeldige beleidswaarden zoals het gebruik van onjuiste tags zoals p=afgewezen in plaats van p=afwijzen.
- Gebroken e-mailrapportageadressen, zoals onjuiste rua of ruf e-mailadressen, leiden tot niet-bezorgde rapporten.
3. Kan ik meerdere DMARC-records hebben voor één domein?
Nee, een domein kan maar één DMARC-record hebben. Als er meerdere records bestaan, kunnen e-mailproviders de configuratie negeren, wat leidt tot mislukte verificatie en gaten in de beveiliging.
4. Hoe lang duurt het voordat een DMARC-record wordt verspreid?
De propagatietijd van DMARC-records varieert meestal van een paar minuten tot maximaal 48 uur, afhankelijk van DNS caching en TTL (Time-to-Live) instellingen.
5. Wat gebeurt er als mijn DMARC-record ongeldig is?
Als een DMARC-record ongeldig is, kan dat tot allerlei problemen leiden, zoals mislukte verificatiepogingen of -controles en problemen met de bezorgbaarheid van e-mail, en je domein kan zelfs kwetsbaar zijn voor spoofing.
6. Wat gebeurt er als het domein geen DMARC-record heeft gepubliceerd?
Als je een bulkverzender bent met een niet-gepubliceerd DMARC-record, zul je te maken krijgen met e-mailweigeringen bij het verzenden van berichten naar Google en Yahoo inboxen. Daarnaast kan je domein een belangrijk doelwit worden voor aanvallers, omdat er geen beperkingen zijn op het spoofen ervan.
- Een DMARC record maken en publiceren - 3 maart 2025
- Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
- Een DMARC-rapport lezen - 19 januari 2025