Nova Uptime
Gratis tool

Gratis DMARC-record- controle

Valideer het DMARC-record van je domein gratis — geen aanmelding vereist. Controleer de sterkte van het beleid, de rapportage-instellingen en krijg.

DMARC Policy Progression

1

Monitor

p=none

Collect reports without affecting delivery. Monitor for 2+ weeks.

2

Partial Quarantine

p=quarantine; pct=25

Quarantine 25% of failing emails. Watch reports for false positives.

3

Full Quarantine

p=quarantine; pct=100

All failing emails go to spam. Confirm legitimate senders pass.

4

Reject

p=reject

Block all unauthorized emails. Maximum protection against phishing.

Wat is DMARC en waarom is het in 2026 belangrijk?

DMARC — Domain-based Message Authentication, Reporting & Conformance — is de policylaag die SPF en DKIM aan elkaar bindt. SPF vertelt ontvangende servers welke IP's namens jouw domein mogen versturen. DKIM ondertekent elk bericht cryptografisch zodat ontvangers kunnen verifiëren dat er niets mee is geknoeid. DMARC is de gebruiksaanwijzing: het vertelt Gmail, Outlook, Yahoo en elke andere inboxprovider wat te doen wanneer een bericht dat zogenaamd van jouw domein komt op een of beide checks faalt. Zonder DMARC kunnen aanvallers je From-adres spoofen en op jouw reputatie meerijden, recht de inbox van je klanten in.

In 2026 is dit niet langer optioneel. Sinds februari 2024 — en steeds strenger door 2025 en 2026 heen — vereisen Gmail en Yahoo dat elke afzender met meer dan 5.000 berichten per dag een geldig DMARC-record heeft. Microsoft 365 volgde met eigen handhaving voor afzenders met hoog volume. Domeinen zonder DMARC zien bulkmail bouncen of direct in spam belanden, en het aantal phishingaanvallen waarbij een merk wordt nagebootst verdubbelt ruwweg wanneer DMARC ontbreekt.

Anatomie van een DMARC-record

Een DMARC-record is één enkel TXT-record gepubliceerd op _dmarc.jouwdomein.com. Het is een lijst tags gescheiden door puntkomma's. Hier is een typisch record en wat elk onderdeel doet:

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100; aspf=r; adkim=r;
  • v=DMARC1Verplichte versietag. Moet exact DMARC1 zijn (hoofdlettergevoelig) anders wordt het hele record genegeerd.
  • p=Het beleid zelf. p=none betekent alleen monitoren — fouten worden nog steeds afgeleverd. p=quarantine stuurt falende mail naar de spamfolder. p=reject blokkeert het direct aan de SMTP-grens.
  • rua=Mailbox voor aggregaatrapporten. Ontvangers sturen hier dagelijks XML-rapporten naartoe met een samenvatting van welke IP's mail verstuurden namens jouw domein en hoeveel berichten slaagden of faalden. Formaat: rua=mailto:dmarc-reports@jouwdomein.com.
  • ruf=Mailbox voor forensische (failure) rapporten. Per-bericht failure samples met headers en soms een geredacteerde body. De meeste providers sturen deze niet meer om privacyredenen, dus rua is in de praktijk veel nuttiger.
  • pct=Percentage falende mail waarop de policy van toepassing is (1–100). Hiermee kun je gefaseerd uitrollen: pct=25 met p=quarantine quarantineert een kwart van de fouten en levert 75% af.
  • aspf= / adkim=Alignment-modus. aspf=s/r en adkim=s/r bepalen of het matchen van SPF/DKIM-domeinen strict (exact) of relaxed (subdomein toegestaan) is. Standaard is relaxed — wat bijna iedereen wil.

5 veelvoorkomende DMARC-fouten en hoe je ze oplost

Fout: geen DMARC-record gevonden

De meest voorkomende failure mode. Voer dig TXT _dmarc.jouwdomein.com uit — krijg je niets terug, dan ontbreekt het record. Check drie dingen: (1) je hebt het TXT-record gepubliceerd op _dmarc als subdomein, niet op het rootdomein; (2) het hostveld is exact _dmarc met een leidende underscore (sommige DNS-UI's strippen die); (3) je hebt op propagatie gewacht. TTL is meestal 300–3600 seconden, maar Cloudflare en Route53 zijn meestal binnen een minuut live. Vermijd hoofdletters _DMARC — DNS-labels zijn hoofdletterongevoelig, maar sommige validators zijn streng.

Fout: meerdere DMARC-records

Als er twee of meer TXT-records bestaan op _dmarc, vereist RFC 7489 dat ontvangers ze allemaal negeren — je domein valt dan terug op géén beleid. Dit gebeurt vaak wanneer een marketingtool of migratiescript een tweede record publiceert zonder de eerste te verwijderen. Voer dig +short TXT _dmarc.jouwdomein.com uit — zie je meer dan één v=DMARC1-regel, verwijder dan de oudere of zwakkere. Consolideer alles in één enkel record met alle tags die je nodig hebt (p, rua, ruf, pct, aspf, adkim).

Fout: ongeldige syntax

DMARC-parsers zijn streng. De vijf meest voorkomende syntaxfouten: (1) ontbrekende puntkomma's tussen tags — elk tagpaar moet eindigen met ;; (2) =-tekens in mailto-URI's gebruiken zonder correcte encoding; (3) smart quotes uit een Word-doc geplakt in plaats van rechte ASCII-aanhalingstekens; (4) typo's zoals p=quarentine of p=rejct; (5) het hele record extra tussen aanhalingstekens zetten terwijl de DNS-UI dat al doet. Valideer met onze checker hierboven — die parst tag voor tag en vertelt je precies welke token faalde.

Fout: SPF/DKIM-alignmentproblemen

DMARC slaagt alleen wanneer ten minste een van SPF of DKIM zowel authenticeert als uitlijnt met het From-domein. Een veelvoorkomende valkuil: je ESP (bijv. Mailchimp) authenticeert met zijn eigen return-path zoals bounces.mcsv.net, dus SPF slaagt maar lijnt niet uit met jouwdomein.com. Los dit op door DKIM-signing met jouw eigen domein in te schakelen op de ESP — DKIM-alignment is gemakkelijker dan SPF-alignment omdat de d=-tag in de DKIM-handtekening met je rootdomein kan matchen. Voor subdomeinen, zet aspf=r en adkim=r (relaxed, de standaard) zodat subdomein-mail uitlijnt met de root.

DMARC-setup in 5 stappen

  1. Audit je huidige authenticatieVoordat je DMARC publiceert, fix eerst SPF en DKIM. Run onze SPF Checker en DKIM Checker op elk verzendend domein en subdomein. Bevestig dat SPF onder de limiet van 10 DNS-lookups blijft en eindigt op -all of ~all. Bevestig dat DKIM tekent met een 2048-bits sleutel en uitlijnt met je From-domein.
  2. Publiceer een monitoringrecord (p=none)Voeg dit TXT-record toe op host _dmarc: v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.com; pct=100; aspf=r; adkim=r. p=none betekent géén impact op mailflow — ontvangers sturen je aggregaatrapporten zonder te quarantaineren of te weigeren. Dit is je dataverzamelingsfase. Gebruik een aparte mailbox of een DMARC-analyser, want ruwe XML is op schaal onleesbaar.
  3. Verzamel aggregaatrapportenBinnen 24 uur zou je dagelijkse XML-rapporten moeten ontvangen van grote ontvangers. Parse ze om elk IP en platform te identificeren dat als jouw domein verstuurt. Verwachte afzenders (Google Workspace, Mailchimp, SendGrid) moeten slagen. Onverwachte zijn ofwel shadow IT ofwel spoofers — onderzoek voordat je het beleid aanscherpt.
  4. Schakel over naar quarantine met pct=25Zodra 95%+ van legitieme mail zowel SPF als DKIM met alignment passeert, scherp aan tot v=DMARC1; p=quarantine; pct=25; rua=...;. Nu gaat 25% van de falende mail naar spam. Houd rapporten en helpdesktickets in de gaten op false positives. Na twee schone weken, verhoog pct naar 50, dan 100.
  5. Bereik p=rejectEindstatus: v=DMARC1; p=reject; rua=mailto:dmarc@jouwdomein.com; pct=100;. Falende mail wordt aan de SMTP-grens geweigerd — phishers kunnen je domein niet meer spoofen. Dit is de enige configuratie die je merk volledig beschermt. De meeste domeinen bereiken reject binnen 8 weken na de start op p=none.

DMARC-uitrolfases (4 tot 8 weken)

Een veilige DMARC-uitrol volgt een procentuele ramp zodat je misconfiguraties opvangt voordat ze deliverability schaden. Het minimaal werkbare tijdspad is vier weken; acht is veiliger voor organisaties met veel verzendplatforms.

  • Week 1-2: monitoren (p=none)Publiceer p=none met rua=-rapportage. Verzamel aggregaatrapporten, identificeer elke legitieme afzender en dicht SPF/DKIM-gaten. Verwacht ten minste één shadow ESP te ontdekken waarvan IT niet wist.
  • Week 3-4: quarantine pct=25Schakel over naar p=quarantine; pct=25. Een kwart van niet-geauthenticeerde mail belandt nu in spam. Houd rapporten dagelijks in de gaten op onverwachte uitval van legitieme mail. Als een afzender breekt, draai terug naar p=none, fix het, probeer opnieuw.
  • Week 5-6: quarantine pct=100Verhoog naar p=quarantine; pct=100. Alle falende mail gaat naar spam. Op dit punt zouden je rapporten 99%+ slagingspercentages moeten tonen van bekende afzenders. Spoofed mail die je domein probeert te misbruiken is nu in de inbox van de ontvanger geneutraliseerd.
  • Week 7-8: rejectSchakel over naar p=reject; pct=100. Falende mail wordt bij de SMTP-transactie geweigerd — bereikt nooit de ontvanger. Dit is de eindstatus. Houd rapportage aan (rua=) zodat je regressies opmerkt wanneer een nieuwe ESP wordt toegevoegd.

Gmail- en Yahoo-vereisten in 2026

Verstuur je meer dan 5.000 berichten per dag naar Gmail- of Yahoo-adressen, dan is DMARC verplicht. Het minimaal aanvaardbare record is p=none — maar Google's eigen richtlijnen raden inmiddels p=quarantine of strikter aan. Zonder een geldig DMARC-record zien bulkverzenders berichten bouncen met 5.7.26 'unauthenticated email is not accepted' of direct in spam belanden, ongeacht de inhoud. De andere vereisten van 2026 stapelen daarbovenop: one-click unsubscribe in headers, spamklachten onder 0,3%, en TLS voor SMTP. DMARC is hiervan het goedkoopst om te implementeren — typisch één TXT-record en 30 minuten werk — en het is de allerbelangrijkste deliverability-hefboom voor transactionele en marketingmail.

DMARC FAQ

What is DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) is an email authentication policy that builds on SPF and DKIM. It tells receiving servers what to do when emails fail authentication — monitor (none), quarantine, or reject them.
What do the DMARC policies mean?
Policy "none" means monitor only (no action on failures). "Quarantine" sends failing emails to spam. "Reject" blocks them entirely. Start with "none" to monitor, then gradually increase to "reject" after confirming legitimate emails pass.
What is DMARC alignment?
DMARC alignment checks that the domain in the From header matches the domains used in SPF and DKIM. "Relaxed" alignment (aspf=r, adkim=r) allows subdomains; "strict" (aspf=s, adkim=s) requires exact matches.
What are DMARC aggregate reports (rua)?
The rua tag specifies where to send daily aggregate XML reports showing who's sending email using your domain, pass/fail rates, and source IPs. Set it to "mailto:dmarc@yourdomain.com" to receive these reports.
How long does DMARC take to work?
DMARC records propagate via DNS (1-48 hours). However, the full rollout to "reject" policy should take 4-8 weeks: start with p=none to collect data, then move to p=quarantine with pct=25, increase percentage, and finally switch to p=reject.
Kan ik DMARC gebruiken met meerdere verzendservices (bijv. Mailchimp + SendGrid + transactioneel)?
Ja — en de meeste domeinen doen dat. DMARC kan het niet schelen hoeveel platforms namens jou versturen, alleen dat elk platform óf SPF óf DKIM met domain alignment passeert. Configureer custom DKIM-signing voor elke ESP via hun domain-authentication-setup (Mailchimp, SendGrid, Postmark, Amazon SES ondersteunen dit allemaal). Voor SPF, neem het mechanisme van elke ESP op in je record maar let op de limiet van 10 DNS-lookups — flatten met een tool als je eroverheen gaat. Verifieer daarna in je aggregaatrapporten dat elke legitieme afzender als DMARC-aligned wordt getoond voordat je aanscherpt naar reject.
Wat is het verschil tussen rua- en ruf-rapporten?
rua- (aggregaat-) rapporten zijn dagelijkse XML-samenvattingen: welke IP's mail verstuurden, hoeveel berichten, pass/fail-tellingen. Ze bevatten geen berichtinhoud en zijn veilig voor elke inbox. ruf- (forensische/failure-) rapporten zijn per-bericht samples met headers en soms geredacteerde body — nuttig voor incident response maar tegenwoordig zelden verstuurd vanwege GDPR-zorgen. Stel rua= in, sla ruf= over tenzij je een specifieke behoefte hebt.
Hoe verifieer ik dat mijn DMARC werkt voordat ik naar reject ga?
Drie checks. Ten eerste moet de checker hierboven een geldig record tonen zonder syntaxfouten. Ten tweede moeten je aggregaatrapporten een DMARC-slagingspercentage van 99%+ tonen voor elke legitieme afzender, gedurende minimaal twee weken op p=quarantine; pct=100. Ten derde, stuur testmail vanuit elk van je platforms naar een Gmail-adres en inspecteer de headers — Authentication-Results moet dmarc=pass tonen voor zowel SPF- als DKIM-alignment. Faalt een van de drie checks, fix dan eerst het onderliggende SPF- of DKIM-gat voordat je het beleid verder aanscherpt. Naar reject gaan met gebroken alignment laat echte mail bouncen.
Kunnen subdomeinen een ander DMARC-beleid hebben?
Ja. De sp=-tag (subdomain policy) laat je een ander beleid voor subdomeinen instellen. Voorbeeld: v=DMARC1; p=reject; sp=quarantine; rua=...; weigert mail die jouwdomein.com spooft maar quarantineert alleen mail die willekeurige subdomeinen spooft. Handig wanneer je nog niet weet welke subdomeinen legitieme mail versturen. Voor strakkere beveiliging, zet sp=reject zodra je je subdomein-afzenders hebt geïnventariseerd.
Beïnvloedt DMARC legitieme e-mailforwarding (bijv. aliassen)?
Dat kan. Wanneer mail wordt doorgestuurd — bijvoorbeeld van contact@jouwdomein.com naar een persoonlijke Gmail — breekt SPF omdat de doorsturende server niet in jouw SPF-record staat. DKIM overleeft meestal omdat de handtekening met het bericht meereist, maar mailinglijsten die onderwerpen of voetteksten aanpassen kunnen óók DKIM breken. De fix is ARC (Authenticated Received Chain), die de meeste grote providers (Gmail, Outlook, Office 365) inmiddels automatisch implementeren. Doorsturen die ARC ondersteunen behouden het oorspronkelijke authenticatieresultaat. Aliassen die binnen Gmail of Microsoft 365 zijn opgezet worden niet beïnvloed omdat ze ARC standaard gebruiken.

Gerelateerde gratis tools

Domein SPF Checker Domein DKIM Checker E-mail Blacklist Checker Domeinvervaldatum Checker SSL Vervaldatum Checker Volledige e-mailgezondheidscontrole

Monitor je DMARC-record 24/7

Krijg direct meldingen als je DMARC-record verandert, kapot gaat of wordt verwijderd.

Start gratis monitoring

Related Guides

More Free Tools

Check your domain and email health with our complete toolkit — no sign-up required.

Email Health Checker
Domain SPF Checker
Domain DKIM Checker
Email Blacklist Checker
Email Inbox Risk Checker
Domain Age Checker
Domain Expiry Checker
Domain SSL Expiry Checker
Cold Email Simulator