DMARC instellen: stap-voor-stap configuratiegids

Alleen 53,8% van de bedrijven wereldwijd hebben DMARC geconfigureerd op hun domein, wat betekent dat bijna de helft werkt zonder een kritieke beschermingslaag tegen aanvallen via e-mail. Veel organisaties zoeken nog steeds naar hoe ze DMARC moeten instellen, zich niet bewust van het feit dat het ontbreken van dit protocol een makkelijk toegangspunt creëert voor spoofing en phishing pogingen.

E-mailverificatie vormt de kern van domeinbeveiliging. SPF, DKIM en DMARC werken samen om te controleren wie e-mail vanaf uw domein mag verzenden en hoe verdachte berichten moeten worden behandeld. SPF autoriseert specifieke verzendende IP's, DKIM past een cryptografische handtekening toe die de integriteit van het bericht bewijst en DMARC gebruikt beide om beleid af te dwingen en ontvangende servers te vertellen wat ze moeten doen als een bericht de authenticatie niet doorstaat. Zelfs met SPF en DKIM blijft een domein zonder DMARC blootgesteld omdat er geen instructies zijn voor hoe mislukte berichten moeten worden behandeld.

Vereisten voor DMARC-installatie

Voordat we overgaan tot het DMARC installatieproces, moet je ervoor zorgen dat het volgende aanwezig is:

1. Toegang tot uw DNS-beheerconsole: Dit is essentieel voor het aanmaken en publiceren van DNS-records, met name als u authenticatie instelt voor een domeinnaam die beschikbaar is in uw account.
2. Lijst van geautoriseerde e-mailafzenders: Identificeer alle services en servers die namens u e-mails verzenden om onbedoelde blokkering te voorkomen.
3. Bestaand SPF en/of DKIM record in je DNS: Ten minste één van deze records moet al zijn geconfigureerd in je DNS, omdat DMARC hierop vertrouwt voor e-mailverificatie. SPF (Sender Policy Framework) vertelt de ontvangende server van welk domein hij mag verwachten dat de e-mail afkomstig is, terwijl DKIM (DomainKeys Identified Mail) een methode is om je e-mails digitaal te ondertekenen om de authenticiteit van de afzender te verifiëren.

Waarschuwing: Als je SPF/DKIM overslaat, zal DMARC niet werken. Zorg ervoor dat je een van beide, of bij voorkeur beide, goed hebt geconfigureerd voordat je verder gaat met de volgende stappen.

DMARC stap voor stap instellen

Om dit record gratis te genereren, gebruik je onze DMARC generator tool zoals je in de schermafbeelding hierboven kunt zien. Zodra je de tool opent, zie je verplichte velden die je moet invullen voordat het record kan worden aangemaakt.

Volg de onderstaande stappen om de DMARC DNS setup te starten.

Stap 1: Het DMARC-record aanmaken

Je begint met het maken van een DNS TXT-record dat uw DMARC-beleid bevat en het protocol op uw domein activeert. Een DNS TXT-record is een eenvoudige tekstinvoer in de DNS-instellingen van uw domein waarin belangrijke informatie voor externe servers wordt opgeslagen, zoals instructies voor e-mailverificatie. Wanneer het wordt toegevoegd aan het DNS-zonebestand van uw domein, vertelt het ontvangende mailservers hoe ze berichten moeten behandelen die beweren van uw domein afkomstig te zijn.

Om dit record gratis te genereren, gebruikt u onze DMARC-generator zoals weergegeven in de bovenstaande schermafbeelding. Zodra u de tool opent, ziet u de verplichte velden die u moet invullen voordat het record kan worden aangemaakt.

Lees hoe Jordi Altimira (hoofd Technische Implementatie & Klantsucces bij Pablo Herreros) een domeinbeveiligingsscore van 100%behaalde met PowerDMARC.

Lees casestudy Start 15 dagen proefperiode

Stap 2: Kies een geschikt DMARC-beleid voor uw e-mails

De p= policy tag is een verplicht onderdeel van elk DMARC record. Het vertelt ontvangende mailservers wat ze moeten doen met e-mails die SPF- en DKIM-controles niet doorstaan. Als deze tag ontbreekt, wordt je DMARC record ongeldig en wordt het niet afgedwongen.

Stap 3: Schakel de rapportage in en klik op "Genereren". 

Om uw mailstroom en verificatieresultaten te volgen, schakelt u DMARC-aggregatierapporten (rua) in door het e-mailadres op te geven waarop u deze wilt ontvangen. DMARC-aggregatierapporten zijn dagelijkse XML-overzichten die door inboxproviders worden verzonden en die laten zien welke servers namens u mail verzenden, hoe die berichten presteerden ten opzichte van SPF en DKIM en of onbevoegde bronnen hebben geprobeerd uw domein te gebruiken. Klik na het invoeren van uw rapportageadres op "Genereren" om uw record aan te maken.

Stap 4: De recordopstelling publiceren en valideren

Nadat u het TXT-record hebt aangemaakt, klikt u op de knop 'Kopiëren' om de volledige syntaxis te kopiëren en opent u vervolgens uw DNS-beheerconsole.

Maak een nieuw TXT-record.

-In het veld Host/Naam voert u _dmarc in (of _dmarc.yourdomain.com, afhankelijk van uw DNS-provider).

Plak in het veld Waarde/Data de DMARC-recordersyntaxis die je hebt gegenereerd.

Sla het record op om het te publiceren en de DMARC-instelling te voltooien.

Lees voor meer informatie onze volledige handleiding over het publiceren van een DMARC-record in DNS. Houd er rekening mee dat het tot 48 uur kan duren voordat DNS-updates volledig zijn doorgevoerd.

Uw DMARC-instelling controleren

Nadat u DMARC hebt ingesteld, moet u uw configuraties controleren om er zeker van te zijn dat u niet de veelvoorkomende foutmelding 'Geen DMARC-record gevonden' tegenkomt .

Om je configuratie te verifiëren, kun je gratis de DMARC-checkertool van PowerDMARC gebruiken . Zo gebruik je deze tool:

1. Voer uw domeinnaam in het bestemmingsvak in (als de URL van uw website bijvoorbeeld https://bedrijf.com is, is uw domeinnaam bedrijf.com ).
2. Klik op de knop "Lookup
3. Bekijk je resultaten op het scherm

Wij raden deze verificatiemethode aan als alternatief voor handmatige verificatie. De verificatie is sneller, nauwkeuriger en probleemloos.

Geavanceerde DAMRC-configuratietips

Zodra u uw basisconfiguratie hebt voltooid, volgen hier enkele geavanceerde tips om uw implementatie te verbeteren:

DMARC-beleid uitgelegd (Welke moet u kiezen?)

Om te voorkomen dat uw e-mails worden vervalst, moet u een DMARC-beleid configureren . U kunt kiezen uit drie hoofdbeleidsopties:

• Geen (p=geen): Er wordt geen actie ondernomen op e-mails die de DMARC-authenticatie niet doorstaan. Dit is ideaal voor het monitoren van e-mailverkeer tijdens de eerste installatie.
• Quarantaine(p=quarantaine): Mislukte e-mails worden als verdacht gemarkeerd en naar de mappen spam/junk gestuurd.
• Afwijzen (p=reject): Mislukte e-mails worden geblokkeerd en helemaal niet afgeleverd.

Opmerking: Kies een "geen" beleid om je e-mails te controleren voordat je overgaat tot volledige handhaving (p=quarantaine of p=verwerpen).

Uitlijningsmodi (Strikt vs Ontspannen)

Ontspannen uitlijning

• SPF ontspannen uitlijning (aspf=r):
  De uitlijning wordt geaccepteerd als het domein in het retourpad (SPF-geauthenticeerd domein) hetzelfde organisatiedomein heeft als het domein in het af-adres.
  Het organisatiedomein is meestal het basisdomein (bijv. example.com), exclusief subdomeinen.

  Voorbeeld:
  Van: [email protected]
  Return-Path: [email protected]
  ✔ Doorstaat ontspannen SPF-uitlijning omdat beide domeinen hetzelfde organisatiedomein delen (example.com).

• DKIM ontspannen uitlijning (adkim=r):
  Uitlijning wordt geaccepteerd als het d= domein in de DKIM handtekening hetzelfde organisatiedomein heeft als het domein in het Van adres.

  Voorbeeld:
  Van: [email protected]
  DKIM-handtekening: d=alerts.example.com
  ✔ Doorstaat ontspannen DKIM-afstemming omdat beide hetzelfde organisatiedomein delen (example.com).

Strikte uitlijning

• SPF strikte uitlijning (aspf=s):
  Uitlijning wordt alleen geaccepteerd als het domein van het retourpad precies overeenkomt met het domein in het af-adres.

  Voorbeeld:
  Van: [email protected]
  Return-Path: [email protected]
  ✔ Past strikte uitlijning toe.

  Als Return-Path [email protected] of bounce.mail.example.com zou zijn, zou strikte uitlijning mislukken.

• DKIM strikte uitlijning (adkim=s):
  Uitlijning wordt alleen geaccepteerd als het d= domein in de DKIM handtekening precies overeenkomt met het domein in het Van adres.

  Voorbeeld:
  Van: [email protected]
  DKIM-handtekening:[email protected]
  ✔ Voldoet aan strikte uitlijning.

  Als d=alerts.example.com of bounce.mail.example.com, zou strikte uitlijning mislukken.

DMARC installatievoorbeeld

Hier is een voorbeeld van een eenvoudige DMARC-configuratie:

v=DMARC1; p=afwijzen; rua=mailto:[email protected];

Let op : Wanneer u begint met uw e-mailauthenticatietraject, kunt u uw DMARC-beleid (p) op 'geen' houden in plaats van 'afwijzen', om uw e-mailstroom te controleren en problemen op te lossen voordat u overschakelt op een strikt beleid.

DMARC record syntaxis en optionele tags

De syntaxis van uw DMARC-configuratie bepaalt hoe uw e-mails worden geverifieerd en welke acties er na verificatie worden ondernomen. Laten we eens kijken naar enkele belangrijke mechanismen:

• v (verplicht): Geeft de DMARC-versie aan. Moet DMARC1 zijn en als eerste in de record staan.
• p (verplicht): Definieert het beleid voor DMARC-fouten (geen, quarantaine of afwijzen).
• rua (optioneel): Geeft e-mailadres(sen) op om samengevoegde rapporten te ontvangen met de opmaak mailto:.
• ruf (optioneel):Hiermee worden e-mailadressen opgegeven waarop forensische foutmeldingen moeten worden verzonden in het mailto:-formaat.
• adkim (optioneel): Stelt de DKIM-uitlijningsmodus in op r (ontspannen) of s (strikt). De standaardmodus is relaxed als deze niet is gedefinieerd. 
• aspf (optioneel): Stelt de SPF uitlijningsmodus in op r (relaxed) of s (strict). De standaardmodus is relaxed, indien niet gedefinieerd. 
• pct (optioneel): Definieert het percentage mislukte e-mails waarop het DMARC-beleid van toepassing is (standaard is 100).
• fo (optioneel): Bepaalt wanneer forensische rapporten worden verzonden. Opties zijn 0, 1, d en s.

Meer informatie vindt u in onze uitgebreide blog over DMARC-tags . Zorg ervoor dat tags gescheiden zijn door puntkomma's en dat er geen overbodige spaties zijn om de juiste opmaak te behouden.

DMARC-instellingsfouten die u moet vermijden

Misconfiguraties in DMARC zijn vaak het gevolg van uitlijningsproblemen, syntaxisfouten of gaten in de doorlopende bewaking. Een veelvoorkomend probleem is verkeerd uitgelijnde SPF of DKIM. DMARC vereist dat ten minste een van deze domeinen overeenkomt met het "Van" domein. Als de domeinen niet overeenkomen, kunnen legitieme e-mails niet worden geverifieerd, ook al bestaan de records wel. Dit komt vooral voor wanneer services van derden namens u verzenden zonder de juiste configuratie.

Een andere bron van problemen is onjuiste syntaxis in DMARC tags. Zelfs een kleine opmaakfout, zoals een ontbrekende puntkomma, een tag die niet wordt ondersteund of een ongeldige waarde, kan de hele record onbruikbaar maken. Aangezien DMARC-records door machines worden gelezen, is precisie belangrijk.

Een ander probleem doet zich voor wanneer organisaties te vroeg een strikt beleid opleggen. Door meteen over te gaan op p=quarantaine of p=verwerpen zonder eerst uw verzamelde rapporten te bestuderen, kan legitieme mail worden geblokkeerd. Rapporten geven een overzicht van alle afzenders die uw domein gebruiken, dus door ze te bekijken voordat u de handhaving aanscherpt, kunt u onbedoelde verstoring voorkomen.

Bovendien mislukken veel instellingen omdat de e-mailadressen van RUA en RUF verouderd zijn. Deze rapportageadressen moeten actief en toegankelijk blijven, anders verlies je het zicht op je verificatieresultaten. Als de inbox die wordt gebruikt voor rapporten wordt uitgeschakeld of gewijzigd zonder het DMARC-record bij te werken, wordt de controle onderbroken en blijven problemen onopgemerkt.

De kern van de zaak

DMARC is essentieel om je domein, je klanten en je merkreputatie veilig te houden. Met de juiste instelling en regelmatige controle voorkomt het imitatie, vermindert het phishing-risico en zorgt het ervoor dat uw e-mails vertrouwd blijven.

En in een landschap waar fraude alomtegenwoordig is, doet een sterk DMARC-beleid meer dan bedreigingen blokkeren. Het geeft een duidelijk signaal af dat je domein beveiliging serieus neemt en dat je de deur niet op een kier laat staan voor aanvallers om er doorheen te glippen.

Als je DMARC sneller, eenvoudiger en nauwkeuriger wilt beheren, ontdek dan PowerDMARC. Ons platform vereenvoudigt de installatie, levert heldere rapportages en helpt u een sterke bescherming te handhaven voor al uw verzendbronnen. Start uw gratis proefperiode of boek een demo om uw domein vandaag nog te beveiligen.

Veelgestelde vragen (FAQ's)

Hoe lang duurt het voordat DMARC begint te werken na de installatie?

DMARC begint te werken zodra je DNS-wijzigingen zijn doorgevoerd. Dit kan enkele minuten tot 48 uur duren, afhankelijk van je provider.

Kan ik DMARC instellen zonder DKIM of SPF?

Je moet er minstens één instellen (SPF of DKIM) om DMARC te laten werken. Zonder SPF of DKIM heeft DMARC niets om je e-mails mee te valideren.

Wat gebeurt er als ik een DMARC-beleid te vroeg instel op "weigeren"?

Legitieme e-mails kunnen worden geblokkeerd. Overgaan op een afkeuringsbeleid voordat u DMARC-rapporten kan ervoor zorgen dat geautoriseerde afzenders de verificatie niet doorstaan.

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten)

• E-mailphishing en DMARC-statistieken: trends op het gebied van e-mailbeveiliging in 2026 - 6 januari 2026
• Hoe u 'Geen SPF-record gevonden' kunt oplossen in 2026 - 3 januari 2026
• SPF Permerror: Hoe te veel DNS-lookups te verhelpen - 24 december 2025