DMARC-rapporten lezen: Soorten, hulpmiddelen en tips

Phishing is verantwoordelijk voor 90% van de cyberaanvallen, waardoor het van cruciaal belang is dat dat u en uw team begrijpen hoe u DMARC-rapporten moet lezen om uw gegevens en reputatie te beschermen.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)-rapporten bieden gedetailleerd inzicht in de manier waarop uw e-mails worden geverifieerd, zodat u uw e-mailbeveiliging nauwlettend in de gaten kunt houden. Door te bevestigen dat e-mails echt afkomstig zijn van betrouwbare bronnen, speelt DMARC een belangrijke rol bij het blokkeren van phishing en spoofing pogingen die uw merk kunnen beschadigen en uw klanten in gevaar kunnen brengen.

In deze blog wordt uitgelegd hoe u DMARC-rapporten kunt lezen en hoe u dit proces kunt vereenvoudigen door de juiste tools te gebruiken, zodat u uw domein te beschermen en uw e-mailbeveiliging met vertrouwen te versterken.

Wat is een DMARC-rapport?

DMARC-rapporten zijn diagnostische rapporten die worden gegenereerd door ontvangende mailservers en die u laten zien hoe uw e-mails op internet worden geauthenticeerd. Ze bieden duidelijk inzicht in e-mailgedrag en e-mailstromen, inclusief SPF- en DKIM-authenticatieresultaten voor berichten die zijn verzonden vanaf een DMARC-domein.

Deze rapporten zijn gebaseerd op twee belangrijke technologieën:

• SPF (Sender Policy Framework) controleert of een e-mail wordt verzonden vanaf een geautoriseerde server.
• DKIM (DomainKeys Identified Mail) controleert of de inhoud van de e-mail onderweg is gewijzigd.

Samen laten deze controles zien of je e-mails echt of mogelijk frauduleus zijn.

DMARC-rapporten inschakelen (stap voor stap)

Voordat u DMARC-rapporten kunt lezen, moet u een DMARC-record instellen dat mailboxproviders vertelt waar uw rapporten naartoe moeten worden gestuurd.

Stap 1: Publiceer een DMARC-record

Maak een DNS TXT-record aan voor: _dmarc.uwdomein.com

Begin met de monitoringmodus: v=DMARC1; p=none; rua=mailto:[email protected];

Stap 2: Voeg rapportbestemmingen toe (rua eerst)

• rua (geaggregeerde rapporten): Dit is het belangrijkste DMARC-rapportagekanaal en het kanaal waarop de meeste organisaties vertrouwen.
• ruf (forensische rapporten): Optioneel. De ondersteuning varieert per provider en kan privacykwesties oproepen, waardoor veel organisaties deze functie overslaan of voorzichtig gebruiken.

Voorbeeld met beide (alleen als u van plan bent forensische rapportage te gebruiken):

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Stap 3: Bepaal hoe u rapporten wilt ontvangen

Je hebt twee praktische opties:

• Speciale mailbox: Handig voor testdoeleinden, maar ruwe rapporten worden als XML-bijlagen verzonden en zijn moeilijk te beheren op grote schaal.
• DMARC-rapportagetool: Aanbevolen voor continue monitoring, filtering en bruikbare dashboards.

Stap 4: Controleer of de rapporten binnenkomen

Geaggregeerde rapporten verschijnen vaak binnen 24 tot 48 uur, afhankelijk van DNS-propagatie en rapportagecycli van mailboxproviders. Als er niets binnenkomt, controleer dan het volgende:

• het DMARC-record correct is gepubliceerd,
• de bestemmingsmailbox/dienst kan berichten ontvangen,
• en uw domein actief e-mails verstuurt.

Zodra u rapporten hebt ingeschakeld, kunt u deze lezen. 

DMARC-rapporten lezen

DMARC-rapporten worden meestal in XML-formaat bij e-mails gevoegd met onderwerpen als 'DMARC-rapport'. Hoewel onbewerkte rapporten niet gemakkelijk direct te lezen zijn, helpt het begrijpen van hun structuur u waardevolle inzichten te verkrijgen. 

U kunt ook bronnen zoals de kennisbank van PowerDMARC nuttig vinden om te leren hoe u uw rapporten kunt instellen en interpreteren. 

Zo leest u DMARC-rapporten:

De DMARC XML-indeling begrijpen

Een typisch DMARC XML-rapport bevat de volgende belangrijke onderdelen:

• Bron IP: Het IP-adres van de verzendende server
• Geëvalueerd beleid: De actie die wordt ondernomen op basis van uw DMARC-beleid
• SPF- en DKIM-resultaten: Of elke controle geslaagd of mislukt is
• Domeingegevens: De domeinnamen die betrokken zijn bij verzending en verificatie

De belangrijkste elementen in een onbewerkt rapport decoderen

Concentreer u bij het beoordelen van een rapport op deze cruciale punten:

• bron_ip: Waar de e-mail vandaan komt
• beleid_geëvalueerd: Wat uw DMARC-beleid heeft besloten (bijv. geen, quarantaine, weigeren)
• spf en dkim: Resultaten die aangeven of de e-mail geslaagd of gezakt is. Geslaagd betekent dat de e-mail voldoet aan de authenticatienormen, terwijl gezakt wijst op problemen die kunnen duiden op spoofing of een verkeerde configuratie.

Verwacht praktische uitdagingen met ruwe rapporten

Bij het rechtstreeks werken met XML-bestanden komen enkele obstakels vaak voor:

• Rapporten kunnen gecomprimeerd worden geleverd (.zip of .gz)
• Domeinen met een hoog volume kunnen zeer grote bestanden genereren.
• Je ontvangt vaak meerdere rapporten van verschillende leveranciers over dezelfde dag.

Dit is de reden waarom de meeste teams afstappen van handmatige inspecties zodra het aantal meldingen toeneemt.

Problemen identificeren uit de gegevens (SPF, DKIM, Alignment)

Let op deze waalleen omdat SPF of DKIM niet correct was ingesteld. Marketingtools, CRM-systemen, nieuwsbriefplatforms en helpdesktools moeten worden toegevoegd aan uw SPF-record of worden geconfigureerd met hun DKIM-sleutels om DMARC consistent te doorstaan. Deze fouten komen vooral vaak voor na de introductie van een nieuwe tool, een domeinwijziging of een update aan de verzendkant van de leverancier.

Waarschuwingssignalen:

• Fouten in SPF- of DKIM-controles controles
• Uitlijningsproblemen waarbij het verzendende domein niet overeenkomt met het geverifieerde domein
• Verdachte verzendende IP-adressen die niet behoren tot uw bekende e-mailbronnen

Deze vlaggen kunnen wijzen op pogingen om zich voor te doen als uw domein.

Lees hoe Jordi Altimira (hoofd Technische Implementatie & Klantsucces bij Pablo Herreros) een domeinbeveiligingsscore van 100%behaalde met PowerDMARC.

Lees casestudy Start 15 dagen proefperiode

Soorten DMARC-rapporten

DMARC-rapportage wordt voornamelijk geleverd via twee soorten rapporten: geaggregeerd (RUA) en forensisch (RUF). Beide dienen verschillende doelen en de meeste organisaties vertrouwen voornamelijk op geaggregeerde rapporten voor continue monitoring.

1. DMARC-aggregatrapporten (RUA)

DMARC-aggregatrapporten bieden een overzicht van de DMARC-analyses en -activiteiten voor een domein. Ze omvatten:

• Informatie met betrekking tot het aantal berichten dat de DMARC-authenticatie wel of niet heeft doorstaan
• De IP-adressen van de verzendende mailservers
• De verificatiestatussen van de mechanismen die zijn gebruikt om het e-mailbericht te verifiëren

Deze informatie helpt u bewust te worden van spammers en ongeautoriseerde diensten van derden die uw domeinnaam ten onrechte gebruiken.

Om het interpreteren van deze rapporten nog eenvoudiger te maken, zijn de overzichtelijke rapportweergaven van PowerDMARC beter leesbaar en begrijpelijker, omdat ze zijn vereenvoudigd en geordend in grafieken en tabellen met geavanceerde weergave- en filteropties. Om onze overzichtelijke rapporten te kunnen gebruiken, neem vandaag nog contact met ons op vandaag nog contact met ons op!

2. DMARC-forensische rapporten (RUF)

Forensische DMARC-rapporten, ook wel faalrapporten genoemd, geven gedetailleerde informatie over afzonderlijke e-mailberichten die niet geslaagd zijn voor DMARC-verificatie. In sommige gevallen kunnen forensische DMARC-rapporten het volgende bevatten:

• Het hele e-mailbericht
• De verificatiestatus
• De reden voor het mislukken van het onbevoegde bericht

Foutmeldingen in DMARC zijn vooral nuttig bij het onderzoeken van specifieke forensische incidenten, zoals mogelijke e-mailfraude, misbruik van domeinnamen en identiteitsfraude.

Foutmeldingen kunnen soms gevoelige informatie bevatten, wat privacyproblemen kan opleveren als een aanvaller toegang krijgt tot deze informatie. Daarom heeft PowerDMARC PGP-encryptie voor deze rapporten geïmplementeerd, zodat alleen u toegang heeft tot de gevoelige inhoud.

DMARC-rapportvelden uitgelegd

DMARC-aggregaatrapporten (RUA) worden meestal in XML-formaat aangeleverd en bevatten meerdere 'records'. Elk record vertegenwoordigt e-mailactiviteit van een specifieke verzendbron (meestal een IP-adres) en laat zien hoe die bron heeft gepresteerd ten opzichte van uw DMARC-beleid. Als u eenmaal weet wat de belangrijkste velden betekenen, wordt het veel gemakkelijker om legitieme afzenders te identificeren, ongeoorloofd gebruik op te sporen en SPF/DKIM-uitlijningsproblemen op te lossen.

Belangrijke DMARC-velden die u in geaggregeerde (RUA) rapporten zult zien

Hoe deze velden samenwerken

Een veelgemaakte fout is om DMARC te behandelen als een eenvoudige "SPF pass/DKIM pass"-controle. DMARC controleert ook of SPF of DKIM overeenkomt met het domein in header_from. Daarom kan het zijn dat SPF of DKIM 'pass' aangeeft, maar DMARC nog steeds faalt voor dat record.

Gebruik deze combinaties om records snel te interpreteren:

• DMARC-goedkeuring: SPF of DKIM slaagt en komt overeen met header_from
• DMARC-fout: SPF noch DKIM komt overeen met header_from
• SPF geslaagd, maar DMARC mislukt: SPF kan slagen, maar de envelope_from domein komt niet overeen met header_from
• DKIM geslaagd, maar DMARC mislukt: DKIM kan slagen, maar de dkim_domain komt niet overeen met header_from
• Hoog volume van een onbekende bron_ip: Duidt vaak op een ongeautoriseerde afzender, een over het hoofd gezien systeem of een verkeerd geconfigureerde externe dienst.

Zodra u deze velden begrijpt, wordt het lezen van DMARC-rapporten veel praktischer. De volgende stap is het bekijken van records in volgorde van prioriteit, te beginnen met de bronnen die het hoogste volume of de hoogste faalpercentages genereren.

Veel voorkomende problemen in DMARC-rapporten

DMARC-overzichtsrapporten brengen vaak problemen aan het licht die van invloed zijn op authenticatie, domeinbeveiliging en e-mailbezorgbaarheid. Dit zijn de problemen die u het meest waarschijnlijk zult tegenkomen en wat ze betekenen.

• Mislukte SPF- of DKIM-afstemming: dit gebeurt wanneer e-mails SPF of DKIM doorstaan, maar de gebruikte domeinen niet overeenkomen met het domein dat ontvangers zien in de "Van"-header. Door deze afwijking mislukt DMARC, zelfs als de onderliggende authenticatiecontroles slagen. In de meeste gevallen kunt u dit oplossen door uw verzendservices zo te configureren dat het Return-Path (SPF-identiteit) en/of DKIM-ondertekeningsdomein overeenkomen met het From-domein. Bevestig vervolgens de wijziging via uw volgende ronde van geaggregeerde rapporten.
• Ongeautoriseerde verzendbronnen: DMARC-rapporten kunnen servers weergeven die e-mails verzenden namens uw naam e-mails versturen zonder toestemming. Dit kunnen oude systemen, verkeerd geconfigureerde diensten van derden of kwaadwillende actoren zijn. Het identificeren en verwijderen van ongeautoriseerde afzenders is cruciaal om uw domein te beschermen tegen spoofing.
• Verkeerd geconfigureerde e-maildiensten (marketingplatforms, CRM's, ticketingtools, enz.): Vaak slagen legitieme diensten niet voor authenticatie, simpelweg omdat SPF of DKIM niet correct is ingesteld. Marketingtools, CRM-systemen, nieuwsbriefplatforms en helpdesktools moeten worden toegevoegd aan uw SPF-record worden toegevoegd of met hun DKIM-sleutels worden geconfigureerd om DMARC consistent te doorlopen.
• Hoge uitvalpercentages en wat ze betekenen: Een groot percentage mislukte e-mails in uw DMARC-rapporten wijst op aanzienlijke problemen; dit kan wijzen op pogingen tot identiteitsfraude, verkeerde afstemming of belangrijke afzenders die niet zijn geauthenticeerd. Hoge faalpercentages vereisen onmiddellijke aandacht om verlies van leverbaarheid en mogelijk misbruik van uw domein.

Beste praktijken voor het beheren van DMARC-rapporten

De tip van een professional is om uw DMARC-rapportanalyse te automatiseren om tijd te besparen en handmatige fouten te voorkomen. Voor de rest volg deze aanbevolen werkwijzen:

Parsing automatiseren met tools

DMARC-aggregatierapporten worden geleverd in XML-formaat, wat moeilijk handmatig te lezen kan zijn. Met behulp van een DMARC-analysetool wordt het parseren geautomatiseerd en converteert rapporten naar dashboards of samenvattingen en helpt u afstemmingsfouten, ongeautoriseerde afzenders of patronen te herkennen die u anders misschien over het hoofd zou zien.

Wekelijks of maandelijks rapporten beoordelen

Consistente beoordeling zorgt ervoor dat u nieuwe problemen vroegtijdig opmerkt. Wekelijkse controles werken goed voor domeinen met een hoog volume, terwijl maandelijkse controles voldoende zijn voor kleinere omgevingen. Regelmatige monitoring zorgt ervoor dat uw verzendbronnen geauthenticeerd en afgestemd blijven naarmate uw configuratie evolueert.

IP-bronnen en afzenders van derden bijhouden

DMARC-rapporten onthullen elke server die namens u e-mail verstuurt , zelfs de servers waarvan u misschien bent vergeten dat ze waren aangesloten. Door deze IP's bij te houden, kunt u u te bepalen welke afzenders legitiem zijn en welke moeten worden verwijderd, geauthenticeerd of nader onderzocht. Dit is vooral belangrijk wanneer u meerdere tools tegelijk gebruikt, zoals marketingplatforms, CRM's of ticketsystemen, die allemaal e-mails versturen onder uw domein.

Zorg voor afstemming tussen alle verzendende diensten

Elke dienst die u gebruikt, moet SPF of DKIM doorstaan en in overeenstemming zijn met uw domein; anders zal DMARC falen, zelfs als al het andere er goed uitziet. Het is gemakkelijk om een of twee platforms over het hoofd te zien (vooral oudere integraties), dus het is de moeite waard om nogmaals te controleren of elk platform is geconfigureerd met de juiste SPF-include-statements of DKIM-sleutels. Wanneer alle afzenders correct zijn afgestemd, wordt de hele authenticatieketen veel stabieler. Dit houdt het aantal mislukkingen laag en beschermt uw domein tegen misbruik.

Volgende stap

Het begrijpen van DMARC-rapporten is essentieel om uw e-maildomein te beschermen tegen spoofing en phishingaanvallen. Door de stappen in deze handleiding te volgen, kunt u uw e-mailverificatie effectief controleren en maatregelen nemen tegen bedreigingen.

Belangrijkste maatregelen die nu moeten worden genomen:

1. Schakel DMARC-rapportage in door uw DNS-records in te stellen met rua/ruf-tags.
2. Gebruik geautomatiseerde tools om de analyse en interpretatie van rapporten te vereenvoudigen.
3. Stel een regelmatig evaluatieschema op (wekelijks of maandelijks)
4. Houd een inventaris bij van alle geautoriseerde bronnen voor het verzenden van e-mails.
5. Pas geleidelijk strengere DMARC-beleidsregels toe naarmate uw authenticatie verbetert.

Klaar om uw e-mailbeveiliging te vereenvoudigen? Tools zoals PowerDMARC's DMARC Report Reader zetten complexe XML-gegevens om in duidelijke, bruikbare inzichten die uw domein helpen beschermen tegen phishing en spoofing.

Veelgestelde vragen (FAQ's)

1. Hoe helpen DMARC-rapporten de e-mailbeveiliging te verbeteren?

Ze laten u zien welke e-mails de authenticatie doorstaan of niet, zodat u pogingen tot spoofing of phishing gericht op uw domein kunt opsporen en stoppen.

2. Hoe vaak worden DMARC-rapporten gegenereerd?

Op het PowerDMARC-platform worden DMARC-rapporten dagelijks, wekelijks of maandelijks gegenereerd en georganiseerd, afhankelijk van uw voorkeur.

3. Hoe kan ik mijn DMARC-score verbeteren?

Je kunt je DMARC-score verbeteren door verificatieproblemen op te lossen, je SPF en DKIM op elkaar af te stemmen en geleidelijk een strenger DMARC-beleid te voeren.

4. Welke maatregelen kan ik nemen op basis van DMARC-rapporten?

Je kunt ongeautoriseerde afzenders identificeren, je e-mailinstellingen aanpassen en frauduleuze e-mails blokkeren.

5. Wat betekent het als ik een DMARC-rapport ontvang?

Het betekent dat een ontvanger informatie deelt over hoe uw e-mails worden geauthenticeerd en of er controles zijn mislukt.

6. Waarom ontvang ik DMARC-aggregatrapporten?

U ontvangt DMARC-aggregatierapporten omdat u een DMARC-record hebt gepubliceerd met een rua-tag. Deze rapporten worden door e-mailproviders verzonden om u te helpen controleren hoe uw domein wordt gebruikt voor e-mailverificatie.

7. Hoe kan ik mijn DMARC-rapport controleren?

U kunt uw DMARC-rapporten bekijken door naar het e-mailadres te gaan dat in uw rua-tag is opgegeven, of door een DMARC-analysetool te gebruiken die de XML-gegevens automatisch verwerkt en visualiseert, zodat ze gemakkelijker te interpreteren zijn.

8. Wie genereert DMARC-rapporten?

DMARC-rapporten worden gegenereerd en verzonden door ontvangende e-mailservers en grote mailboxproviders zoals Gmail, Yahoo, Outlook en andere e-maildiensten die e-mails van uw domein verwerken.

9. Waar moeten DMARC-rapporten naartoe worden gestuurd?

DMARC-rapporten kunnen worden verzonden naar het e-mailadres dat is opgegeven in de rua-tag van uw DMARC-record.

Je hebt hiervoor twee opties:

1. Een speciale mailbox die u aanmaakt (bijvoorbeeld [email protected]).
2. Een DMARC-analyseservice van derden. Dit is de aanbevolen optie, omdat zij de complexe XML-rapporten verwerken tot gebruiksvriendelijke dashboards.

10. Wie verstuurt DMARC-rapporten?

DMARC-rapporten worden verzonden door ontvangende mailservers en postbusproviders.

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)

• E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
• Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
• SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025