DMARC-installatiehandleiding: DMARC configureren in 2025 (zonder e-mail te verstoren)
door
Leestijd: 8 min
Slechts 53,8% van de bedrijven ter wereld heeft DMARC ingesteld op hun domein, waardoor de rest kwetsbaar is voor e-mailbedreigingen.
E-mailauthenticatie is uw eerste verdedigingslinie. DMARC, SPF en DKIM zijn protocollen voor e-mailauthenticatie die spoofing en phishing helpen voorkomen. SPF zorgt ervoor dat alleen geautoriseerde IP-adressen namens u kunnen verzenden, DKIM voegt een digitale handtekening toe om de integriteit van berichten te verifiëren, en DMARC bouwt voort op beide om ontvangende servers te instrueren hoe ze e-mails moeten verwerken die deze controles niet doorstaan. Zonder DMARC kunnen zelfs domeinen met SPF en DKIM nog steeds worden gespoofd.
Bespaar uzelf de moeite, stel DMARC in een paar minuten in met PowerDMARC en bescherm uw domein vandaag nog!
Belangrijkste opmerkingen
- DMARC, gebaseerd op SPF/DKIM, beschermt tegen e-mailspoofing, phishing en beschermt de domeinreputatie.
- Een DMARC-record in DNS definieert het afhandelingsbeleid (`none`, `quarantine`, `reject`) voor niet-geautoriseerde e-mails.
- De juiste indeling van DMARC records (bijv. verplichte `v=DMARC1`, `p=policy` tags) is cruciaal voor een effectieve werking en het vermijden van leveringsproblemen.
- Het inschakelen van DMARC-rapportage (`rua`, `ruf`) biedt waardevolle inzichten in e-mailstromen en verificatieresultaten voor monitoring.
- Regelmatige verificatie met tools zorgt voor een correcte configuratie, terwijl `p=reject` maximale bescherming biedt.
Vereisten voor DMARC-installatie
Voordat we overgaan tot het DMARC installatieproces, moet je ervoor zorgen dat het volgende aanwezig is:
- Toegang tot uw DNS-beheerconsole : dit is essentieel voor het maken en publiceren van DNS-records.
- Lijst met geautoriseerde e-mailverzenders : identificeer alle services en servers die namens u e-mails verzenden om onbedoelde blokkering te voorkomen.
- Bestaande SPF- en/of DKIM-records in uw DNS: Ten minste één van deze records moet al in uw DNS geconfigureerd zijn, aangezien DMARC hiervan afhankelijk is voor e-mailauthenticatie. SPF (Sender Policy Framework) vertelt de ontvangende server van welk domein de e-mail afkomstig mag zijn, terwijl DKIM (DomainKeys Identified Mail) een methode is om uw e-mails digitaal te ondertekenen om de authenticiteit van de afzender te verifiëren.
Waarschuwing : Als u SPF/DKIM overslaat, werkt DMARC niet. Zorg ervoor dat u een van beide, of bij voorkeur beide, correct hebt geconfigureerd voordat u verdergaat met de volgende stappen.
Stapsgewijze DMARC-installatie
Volg de onderstaande stappen om de DMARC DNS setup te starten:
Stap 1: Het DMARC-record aanmaken
Je begint met het maken van een DNS TXT record dat je beleid definieert en de implementatie vastlegt. Dit record wordt toegevoegd aan het DNS-zonebestand van je domein.
Om een gratis record aan te maken, gebruikt u onze DMARC-generator zoals weergegeven in de schermafbeelding hierboven. Zodra u het toolscherm opent, moet u een aantal verplichte criteria invullen.
Vereenvoudig DMARC-instellingen met PowerDMARC!
Stap 2: Kies een geschikt DMARC-beleid voor uw e-mails
De p= policy tag is een verplichte tag die moet worden geconfigureerd in je DMARC setup. Als je deze overslaat, is je record ongeldig.
Stap 3: Rapportage inschakelen en op "Genereren" klikken
Om je mailstroom en authenticatieresultaten te monitoren, configureer je DMARC-aggregatierapporten (RUA) door een e-mailadres te definiëren waarop je je rapporten wilt ontvangen. Klik ten slotte op de knop 'Genereer'.
Stap 4: De recordinstelling publiceren en valideren
Zodra u klaar bent met het aanmaken van de TXT-record, gebruikt u de knop 'Kopiëren' om de syntaxis rechtstreeks te kopiëren en gaat u vervolgens naar uw DNS-beheerconsole.
- Maak een nieuw TXT-record.
- Voer in het veld Host/Naam `_dmarc` in (of `_dmarc.uwdomein.com`, afhankelijk van uw DNS-provider).
- Plak in het veld Waarde/Gegevens de DMARC-recordsyntaxis die u hebt gegenereerd.
- Sla het record op om het te publiceren op uw DNS en voltooi uw DMARC-instellingen.
Lees onze gedetailleerde handleiding over het publiceren van een DMARC-record op je DNS voor meer informatie. Het kan tot 48 uur duren voordat DNS-wijzigingen zijn doorgevoerd, afhankelijk van je provider.
Uw DMARC-instelling controleren
Nadat u DMARC hebt ingesteld, moet u uw configuraties controleren om er zeker van te zijn dat u niet de veelvoorkomende foutmelding 'Geen DMARC-record gevonden' tegenkomt .
Om je configuratie te verifiëren, kun je gratis de DMARC-checkertool van PowerDMARC gebruiken . Zo gebruik je deze tool:
- Voer uw domeinnaam in het bestemmingsvak in (als de URL van uw website bijvoorbeeld https://bedrijf.com is, is uw domeinnaam bedrijf.com ).
- Klik op de knop "Lookup
- Bekijk je resultaten op het scherm
Wij raden deze verificatiemethode aan als alternatief voor handmatige verificatie. De verificatie is sneller, nauwkeuriger en probleemloos.
Geavanceerde DAMRC-configuratietips
Zodra u uw basisconfiguratie hebt voltooid, volgen hier enkele geavanceerde tips om uw implementatie te verbeteren:
DMARC-beleid uitgelegd (Welke moet u kiezen?)
Om te voorkomen dat uw e-mails worden vervalst, moet u een DMARC-beleid configureren . U kunt kiezen uit drie hoofdbeleidsopties:
- Geen (p=geen): Er wordt geen actie ondernomen op e-mails die de DMARC-authenticatie niet doorstaan. Dit is ideaal voor het monitoren van e-mailverkeer tijdens de eerste installatie.
- Quarantaine (p=quarantine): Mislukte e-mails worden als verdacht gemarkeerd en naar de spam-/ongewenste map gestuurd.
- Afwijzen (p=reject): Mislukte e-mails worden geblokkeerd en helemaal niet afgeleverd.
Let op : Kies het beleid ‘geen’ om uw e-mails te controleren voordat u overgaat tot volledige handhaving (p=quarantaine of p=afwijzen).
Uitlijningsmodi (strikt versus ontspannen)
- Ontspannen uitlijning
SPF Relaxed Alignment: Is geslaagd als het domein in het Return-Path (SPF-geverifieerd domein) hetzelfde organisatiedomein deelt als het domein in het From-adres.
Voorbeeld:
aspf=r;
Van: [email protected]
Retourpad: [email protected]
Voldoet aan de soepelere SPF-uitlijning omdat beide het organisatiedomein example.com delen.
DKIM Relaxed Alignment: is geslaagd als het d= domein in de DKIM-handtekening hetzelfde organisatiedomein deelt als het domein in het Van-adres.
Voorbeeld:
adkim=r;
Van: [email protected]
DKIM-handtekening: d=alerts.example.com
Geeft een versoepelde DKIM-uitlijning door (hetzelfde organisatorische domein: example.com ).
- Strikte uitlijning
SPF Relaxed Alignment: Is geslaagd als het domein in het Return-Path (SPF-geverifieerd domein) exact overeenkomt met het domein in het From-adres (niet alleen een organisatorische overeenkomst).
Voorbeeld:
aspf=s;
Van: [email protected]
Retourpad: [email protected]
Voldoet aan strikte SPF-uitlijning omdat beide het domein example.com delen. Als Return-Path bounce.mail.example.com was, zou strikte uitlijning mislukken.
DKIM Relaxed Alignment: Is geslaagd als het d= domein in de DKIM-handtekening exact overeenkomt met het domein in het Van-adres.
Voorbeeld:
adkim=s;
Van: [email protected]
DKIM-handtekening: d=alerts.example.com
Voldoet aan strikte DKIM-uitlijning (zelfde domein: example.com ). Als d=domein bounce.mail.example.com was, zou strikte uitlijning mislukken.
DMARC Setup Voorbeeld
Hier is een voorbeeld van een eenvoudige DMARC-configuratie:
v=DMARC1; p=afwijzen; rua=mailto:[email protected];
Let op : Wanneer u begint met uw e-mailauthenticatietraject, kunt u uw DMARC-beleid (p) op 'geen' houden in plaats van 'afwijzen', om uw e-mailstroom te controleren en problemen op te lossen voordat u overschakelt op een strikt beleid.
DMARC-recordsyntaxis en optionele tags
De syntaxis van uw DMARC-configuratie bepaalt hoe uw e-mails worden geverifieerd en welke acties er na verificatie worden ondernomen. Laten we eens kijken naar enkele belangrijke mechanismen:
- v (verplicht): Specificeert de DMARC-versie. Moet DMARC1 zijn en als eerste in de record voorkomen.
- p (verplicht): Definieert het beleid voor DMARC-fouten (geen, quarantaine of afwijzen).
- rua (optioneel): Geeft e-mailadres(sen) op om samengevoegde rapporten te ontvangen in de mailto:-indeling.
- ruf (optioneel): Geeft e-mailadres(sen) op waar forensische foutrapporten naartoe moeten worden gestuurd in de mailto:-indeling.
- adkim (optioneel): stelt de DKIM-uitlijningsmodus in op r (relaxed) of s (strict). De standaardmodus is relaxed, indien niet gedefinieerd.
- aspf (optioneel): Stelt de SPF-uitlijningsmodus in op r (relaxed) of s (strict). De standaardmodus is relaxed, indien niet gedefinieerd.
- pct (optioneel): Definieert het percentage mislukte e-mails dat onderhevig is aan het DMARC-beleid (standaard is 100).
- fo (optioneel): Bepaalt wanneer forensische rapporten worden verzonden. Opties zijn onder andere 0, 1, d en s.
Meer informatie vindt u in onze uitgebreide blog over DMARC-tags . Zorg ervoor dat tags gescheiden zijn door puntkomma's en dat er geen overbodige spaties zijn om de juiste opmaak te behouden.
Na de DMARC-configuratie: wat nu?
Nadat DMARC succesvol is ingesteld, is het belangrijk om uw rapporten voortdurend te controleren, geleidelijk over te stappen op handhaving en onderweg fouten op te lossen.
Hoe lees ik DMARC-rapporten?
Hierboven staat een klein fragment uit een DMARC RUA-rapport. Om het handmatig te analyseren:
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Gebruik een DMARC-rapportanalysator
Meld u aan bij PowerDMARC om uw DMARC-rapporten eenvoudig te bekijken en analyseren zonder complexe XML-bestanden te hoeven lezen . Onze DMARC-rapportanalyzer helpt u rapporten te visualiseren in een voor mensen leesbaar formaat voor een gedetailleerde weergave.
Veilig overstappen naar p=reject
Bij het instellen van DMARC is het belangrijk om veilig over te stappen naar het ap=reject-beleid om problemen met de afleverbaarheid te voorkomen. Ga hiervoor als volgt te werk:
- Begin met p=none en schakel DMARC-rapportage in om het e-mailverkeer te controleren.
- Na een paar weken schakelt u over op p=quarantine en handhaaft u dit voor 50% van uw e-mailvolume (met de tag pct=50).
- Pas dit langzaam toe voor 100% van uw e-mailvolume door pct=100 te configureren (of laat de standaardinstelling staan).
- Pas als u zeker bent van uw configuratie, kunt u overstappen op p=reject voor 50% van uw e-mailvolume (pct=50).
- Wanneer u tevreden bent met uw configuratie, past u p=reject toe voor 100% van uw e-mailvolume (pct=100).
Professionele tip : Gebruik onze Hosted DMARC- oplossing om veilig over te stappen op afgedwongen beleid, met deskundige ondersteuning.
Problemen oplossen met veelvoorkomende problemen in DMARC-configuraties
| Problemen | Oorzaken | Oplossingen |
|---|---|---|
| E-mails die DMARC niet doorstaan | - SPF/DKIM-afwijking - E-mail doorsturen - Spoofingpogingen - Syntaxisfouten | - Gebruik beheerde DMARC-oplossingen - Configureer zowel SPF als DKIM met uw DMARC-instellingen - Controleer uw DNS-records met behulp van DNS-recordcontroletools - Houd uw rapporten in de gaten |
| Geen rapporten ontvangen | - Ongeldig RUA-e-mailadres - De e-mailprovider van de ontvanger ondersteunt geen RUF-rapportage | - Zorg ervoor dat uw RUA-mail geldig en actief is |
| SPF-factor | - Overschrijding van de limiet van 10 DNS-opzoekingen - Overschrijding van de SPF-recordlimiet voor tekenlengte - SPF-syntaxis en andere configuratiefouten | - Gebruikte Hosted SPF -oplossingen - Gebruik SPF-optimalisatieservices zoals afvlakking of bij voorkeur macro's. |
Hoe PowerDMARC het instellen van DMARC vereenvoudigt
| Functie | PowerDMARC | DIY-installatie |
|---|---|---|
| Geautomatiseerde rapporten | ✅ Ja | ❌ Handmatig parsen |
| MTA-STS -bewaking | ✅ Inbegrepen | ❌ Extra instellingen |
| Gehoste SPF, DKIM en DMARC | ✅ Volledig gehost | ❌ Zelfbeheerd |
| DNS-configuratiehulp | ✅ Ingebouwde wizard | ❌ Handmatige configuratie |
| Geaggregeerde rapportviewer | ✅ Visueel dashboard | ❌ Ruwe XML-rapporten |
| Forensische rapportverwerking | ✅ PGP-codering | ❌ Heeft een aangepaste parser nodig |
| Waarschuwingen | ✅ Realtime waarschuwingen | ❌ Geen native waarschuwingen |
| BIMI- ondersteuning | ✅ Beschikbaar | ❌ Complexe handmatige installatie |
| Domeingroepering | ✅ Eenvoudig groeperen | ❌ Niet ondersteund |
| Gebruikerstoegangsbeheer | ✅ Rolgebaseerde controle | ❌ Handmatige coördinatie |
Case Study: Hoe The Fatty Liver Foundation de DMARC-configuratie voor bedrijven heeft vereenvoudigd met PowerDMARC
“De toolset die PowerDMARC biedt, was gebruiksvriendelijk en nam de configuratietaken voor functies zoals DMARC en DKIM op een zeer intuïtieve manier over.” – Wayne Eskridge, CEO van de Fatty Liver Foundation
Wilt u het volledige verhaal lezen over hoe deze non-profitorganisatie uit de VS de opzet en het beheer van DMARC heeft vereenvoudigd? Bekijk dan onze casestudy .
Veelgestelde vragen over DMARC-instellingen
- Kan ik DMARC instellen zonder DKIM of SPF?
Nee. DMARC is afhankelijk van de resultaten van SPF- of DKIM-authenticatiecontroles (of beide). U moet ten minste één van deze protocollen (SPF of DKIM) voor uw domein configureren voordat u DMARC implementeert.
- Hoe vaak moet ik DMARC-rapporten controleren?
De frequentie van uw monitoring hangt van verschillende factoren af:
- Bent u een groot bedrijf, bent u een MSSP die de e-mailbeveiliging voor uw klanten beheert, bevindt u zich in de beginfase van de uitrol of hebt u onlangs uw DMARC-beleid afgedwongen? Dan raden wij u aan uw rapporten regelmatig te controleren.
- Zodra alles stabiel is, kunt u de rapporten wekelijks controleren en extra aandacht besteden aan nieuwe verzendbronnen.
Cyberbeveiligingsexpert, CEO bij PowerDMARC
Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.
Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)
- Een DMARC record maken en publiceren - 3 maart 2025
- Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
- Een DMARC-rapport lezen - 19 januari 2025
