DMARC-policyconfiguratie: voorkom e-mailspoofing

Wat is DMARC en waarom heb je het nu nodig#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) is de handhavingslaag voor e-mailauthenticatie.

SPF en DKIM bestaan om spoofing te voorkomen, maar ze hebben gaten. DMARC dicht die gaten door:

1. Te eisen dat SPF en DKIM uitgelijnd zijn (beide slagen EN het verzenddomein matcht)
2. Policy af te dwingen (vervalste e-mails weigeren)
3. Rapportage te leveren (dagelijkse rapporten over authenticatiepogingen)

In februari 2026: Gmail en Yahoo verplichten DMARC met p=quarantine of p=reject. E-mails zonder de juiste DMARC gaan naar spam of worden geweigerd.

Hoe DMARC spoofing voorkomt#

Zonder DMARC:

From: jij@jouwbedrijf.com
Mail-From: aanvaller.com
SPF-From: aanvaller.com

E-mail slaagt voor SPF (geautoriseerd op aanvaller.com) maar lijkt van jouwbedrijf.com te komen. Spoofing werkt. ❌

Met DMARC:

DMARC policy: p=reject
From: jij@jouwbedrijf.com
Mail-From: aanvaller.com
Resultaat: REJECT (domeinen zijn niet uitgelijnd)

E-mail wordt geweigerd omdat het zichtbare "From"-domein niet matcht met het geauthenticeerde domein. ✅

DMARC-recordformaat#

Het DMARC-record leeft op: _dmarc.jouwdomein.com

Basisformaat:

v=DMARC1; p=none; rua=mailto:admin@jouwdomein.com

Wat elk deel betekent:

• v=DMARC1: Versie (altijd dit)
• p=none: Policy (none/quarantine/reject)
• rua=mailto:...: Waar rapporten heen gestuurd moeten worden

DMARC-policies uitgelegd#

Policy	Wat gebeurt er	E-mail wordt	Gebruik wanneer
p=none	Alleen monitoren	Bezorgd	Leerfase (week 1-2)
p=quarantine	Verdachte e-mails naar spam	Bezorgd in spam	Testen (week 2-4)
p=reject	Vervalste e-mails geblokkeerd	Volledig geweigerd	Productie (week 4+)

p=none (alleen monitoren)#

v=DMARC1; p=none; rua=mailto:admin@jouwdomein.com; ruf=mailto:forensics@jouwdomein.com

Wat gebeurt er:

• Vervalste e-mails worden nog steeds bezorgd
• Je krijgt dagelijks rapporten over wat geweigerd zou worden
• Gebruik dit gedurende 1-2 weken terwijl je verifieert dat legitieme e-mail niet wordt geraakt

Inhoud van het rapport:

• Hoeveel e-mails slaagden/faalden voor SPF
• Hoeveel e-mails slaagden/faalden voor DKIM
• Bron-IP's van falende e-mails
• Welke services legitiem zijn versus verdacht

p=quarantine (quarantaine-policy)#

v=DMARC1; p=quarantine; rua=mailto:admin@jouwdomein.com

Wat gebeurt er:

• Vervalste e-mails gaan naar de spamfolder in plaats van de inbox
• Gebruikers kunnen ze nog steeds zien (met enige moeite)
• Je krijgt rapporten

Gebruik dit gedurende 1-2 weken terwijl je test of legitieme e-mail nog steeds doorkomt.

p=reject (harde policy)#

v=DMARC1; p=reject; rua=mailto:admin@jouwdomein.com

Wat gebeurt er:

• Vervalste e-mails worden volledig geweigerd
• Ontvangers zien ze nooit
• De aanvaller krijgt geen signaal dat de spoofing is mislukt

Gebruik dit in productie zodra je het hebt geverifieerd met p=quarantine.

Stap-voor-stap DMARC-setup#

Stap 1: Zorg dat SPF en DKIM werken#

DMARC vereist dat SPF en DKIM eerst zijn geconfigureerd.

Verifieer beide met: Nova Uptime Email Health Checker

Als een van beide faalt, stel die dan eerst in voordat je DMARC toevoegt.

Stap 2: Maak een rapportage-e-mailadres#

DMARC verstuurt dagelijks rapporten (kunnen honderden e-mails per dag zijn voor grote domeinen).

Maak een dedicated e-mail:

dmarc-reports@jouwdomein.com

Of gebruik je hoofd-admin-e-mail als je de rapporten daar wilt.

Stap 3: Publiceer het DMARC-record#

Ga naar je DNS-provider (Cloudflare, Route 53, GoDaddy, enz.)

Voeg een TXT-record toe:

• Naam: _dmarc (exact)
• Waarde: v=DMARC1; p=none; rua=mailto:dmarc-reports@jouwdomein.com
• TTL: 3600

Sla op en wacht 5-15 minuten op DNS-propagatie.

Stap 4: Test de DMARC-policy#

Optie 1: Stuur een test-e-mail

1. Stuur een e-mail vanaf je domein
2. Check de e-mailheaders op DMARC: PASS of DMARC: FAIL
3. Kijk uit naar dmarc-reports@jouwdomein.com (kan 24 uur duren)

Optie 2: Gebruik een verificatietool

• Nova Uptime Email Health Checker
• Voer je domein in
• Check de DMARC-status

Stap 5: Monitor rapporten gedurende 1-2 weken#

DMARC-rapporten komen dagelijks binnen (of wekelijks geaggregeerd, afhankelijk van de policy).

Waar je op let:

• Slagen al je legitieme e-mails?
• Zijn er onverwachte falende e-mails?
• Zijn er spoofing-pogingen tegen je domein?

Als alles slaagt: Ga naar p=quarantine

Stap 6: Schakel naar p=quarantine (week 3)#

Nadat je hebt bevestigd dat geen legitieme e-mail faalt:

Update het DNS TXT-record:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@jouwdomein.com

Monitor opnieuw 1-2 weken.

Stap 7: Schakel naar p=reject (week 5+)#

Zodra je tevreden bent met de quarantine-resultaten:

Update het DNS TXT-record:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@jouwdomein.com; ruf=mailto:forensics@jouwdomein.com

Nu ben je volledig beschermd.

DMARC-subdomeinpolicy#

Standaard is DMARC alleen van toepassing op jouwdomein.com. Als je verstuurt vanaf subdomeinen zoals mail.jouwdomein.com, heb je een subdomeinpolicy nodig:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@jouwdomein.com; sp=none

• sp=none: Subdomeinen worden alleen gemonitord, niet geweigerd
• Of stel sp=quarantine of sp=reject in afhankelijk van je behoeften

Veelgemaakte DMARC-fouten#

Fout 1: SPF/DKIM niet uitgelijnd#

Voorbeeld:

• From: jij@jouwdomein.com
• SPF slaagt voor: mail.jouwdomein.com (ander subdomein)
• Resultaat: DMARC faalt (niet uitgelijnd)

Fix: Gebruik relaxed alignment in DMARC:

aspf=r; adkim=r

Dit staat subdomeinen toe om te slagen. (Niet aanbevolen voor security, maar soms nodig.)

Fout 2: Nooit rapporten ontvangen#

Het e-mailadres in rua= bestaat niet of e-mails gaan naar spam.

Fix:

• Verifieer dat het e-mailadres bestaat
• Check de spamfolder voor rapporten van dmarc@jouwdomein.com
• Zet de rapportverzender op de allowlist in je e-mail

Fout 3: Direct doorspringen naar p=reject#

Direct van p=none naar p=reject springen zorgt ervoor dat legitieme e-mail faalt.

Fix: Gebruik de progressie: p=none → p=quarantine → p=reject over 4-6 weken.

Fout 4: Niet letten op veranderingen#

Je voegt een nieuwe e-mailservice (Zapier, CRM, enz.) toe die e-mail verstuurt, maar vergeet SPF/DKIM bij te werken. DMARC weigert het.

Fix: Monitor DMARC-rapporten maandelijks. Voeg nieuwe services toe zodra ze aan je infrastructuur worden toegevoegd.

DMARC monitoren#

Wekelijks:

• Check DMARC-rapporten op onverwachte failures
• Voeg nieuwe verzendservices toe aan SPF/DKIM waar nodig

Maandelijks:

• Bekijk rapporttrends
• Identificeer spoofing-pogingen tegen je domein
• Verifieer of de policy nog steeds passend is

DMARC-rapporten: ze begrijpen#

DMARC-rapporten bevatten:

• Domein: Welk domein wordt gerapporteerd
• Bron-IP: Waar e-mails vandaan kwamen
• Pass/Fail-aantallen: SPF/DKIM pass/fail-percentages
• Geëvalueerde policy: Wat er bij p=reject zou gebeuren

Gebruik dit om te valideren dat:

1. Je legitieme services slagen
2. Geen onverwachte IP's e-mail versturen
3. Spoofing-pogingen worden gedetecteerd

De volledige authenticatiestack#

SPF: "Is de server geautoriseerd?" DKIM: "Is het bericht authentiek?" DMARC: "Slagen beide EN is het domein uitgelijnd?"

Alle drie samen = correcte e-mailauthenticatie.

Check ze automatisch alle drie: Nova Uptime Email Health Checker. Gratis. 🚀

Samenvatting#

1. Verifieer eerst dat SPF en DKIM werken
2. Publiceer DMARC met p=none (week 1-2)
3. Ga naar p=quarantine (week 3-4)
4. Ga naar p=reject (week 5+)
5. Monitor continu rapporten
6. Update bij het toevoegen van nieuwe e-mailservices

DMARC is verplicht in 2026. Je concurrenten hebben het al ingesteld. Loop niet achter.

Veelgestelde vragen#

Hoe test ik mijn DMARC-record?#

Gebruik een gratis DMARC-checkertool om je record te valideren. Het verifieert de syntaxis, controleert de policy-instellingen, bevestigt rapportage-adressen en identificeert veelgemaakte configuratiefouten. Je kunt ook testen door een e-mail te versturen en de DMARC-header in het ontvangen bericht te controleren.

Wat is het verschil tussen p=quarantine en p=reject?#

Met p=quarantine worden e-mails die DMARC niet doorstaan in de spamfolder afgeleverd. Met p=reject worden ze volledig geblokkeerd en nooit afgeleverd. Begin met quarantine om problemen op te vangen voordat je naar reject overgaat voor maximale bescherming tegen spoofing.

Heb ik DMARC nodig als ik al SPF en DKIM heb?#

Ja. SPF en DKIM authenticeren e-mail, maar vertellen ontvangende servers niet wat ze moeten doen wanneer de authenticatie faalt. DMARC levert de handhavings-policy en maakt rapportage mogelijk zodat je authenticatieresultaten over al je e-mail kunt monitoren.

Kan DMARC mijn e-mail breken?#

Alleen als het verkeerd is geconfigureerd. Een p=reject-policy die wordt toegepast voordat alle legitieme verzenders zijn geauthenticeerd, blokkeert je eigen e-mail. Begin altijd met p=none, bekijk de rapporten 2-4 weken, repareer eventuele authenticatiegaten en verhoog daarna geleidelijk de handhaving.

Verder lezen#

• DMARC-setup: van None naar Reject — Stap-voor-stap DMARC-implementatie
• Hoe je SPF-records configureert — SPF-setup die DMARC vereist
• DKIM Check- & Setupgids — DKIM-configuratie voor DMARC-alignment
• Gids voor de Email Health Checker — Uitgebreide e-mailauthenticatie-analyse
• Gratis DMARC Checker — Valideer je DMARC-record direct