Uw DMARC-record definiëren

U geeft DMARC-beleid op via een regel tekstwaarden, een DMARC-record genaamd. In de record geeft u het volgende op:

  • Hoe streng DMARC berichten moet controleren
  • Aanbevolen acties voor de ontvangstserver, voor als berichten niet door de verificatiecontroles komen

Opties voor DMARC-beleid

Uw DMARC-beleid raadt de ontvangende e-mailserver aan een bepaalde actie uit te voeren als een bericht uit uw domein niet door de DMARC-verificatiecontrole komt.

Als u net begint met DMARC te gebruiken, raden we u aan een beleid in te stellen met afdwingniveau none. Naarmate u beter begrijpt hoe berichten uit uw domein worden geverifieerd door ontvangstservers, kunt u het beleid updaten. Wijzig in de loop van de tijd het beleid voor de ontvangstserver in quarantine en uiteindelijk in reject

Afdwingbeleid Aanbevolen actie Meer informatie
none Er wordt geen actie uitgevoerd op berichten die niet door de DMARC-controles komen. Berichten worden normaal bezorgd bij de ontvanger.

We raden u aan deze optie te gebruiken als u DMARC voor het eerst instelt. Met de optie none worden berichten vanuit uw domein normaal bezorgd. Als het beleid is ingesteld op none, moet u regelmatig de DMARC-rapporten controleren om te zien hoe uw e-mails worden geverifieerd en bezorgd.

In de DMARC-rapporten die de ontvangstservers naar u sturen, staat informatie over de berichten die niet kunnen worden geverifieerd door SPF of DKIM. Als u ziet dat een groot aantal berichten vanuit uw domein in de map Spam wordt geplaatst, controleert u uw SPF- en DKIM-configuratie. Meer informatie over Problemen met DMARC oplossen.

Wijzig de afdwingoptie voor het beleid pas in quarantine of reject als u begrijpt welke berichten niet worden geverifieerd door de ontvangstservers.

quarantine Berichten die niet door de DMARC-verificatiecontrole van de ontvangstserver komen, worden in de map Spam van de ontvanger geplaatst. Als er een quarantaine is ingesteld voor de ontvangstserver, worden berichten mogelijk in de quarantaine geplaatst in plaats van rechtstreeks in de map Spam van de ontvanger. Als u deze optie kiest, blijft u DMARC-rapporten ontvangen.
reject Berichten die niet door de DMARC-verificatiecontrole van de ontvangstserver komen, worden geweigerd en niet bezorgd bij de ontvanger. De ontvangstserver stuurt meestal een bouncebericht naar de afzender.

We raden rejecting aan als de uiteindelijke, permanente optie voor alle DMARC-beleidsregels.

Als u deze optie kiest, blijft u DMARC-rapporten ontvangen.

Update uw beleid naar deze optie als u in de DMARC-rapporten ziet dat geldige berichten normaal worden geverifieerd en bezorgd. Door ongeverifieerde berichten te weigeren, worden ontvangers beschermd tegen spam, spoofing en phishing.

Opties voor DMARC-uitlijning

DMARC keurt berichten goed of weigert deze gebaseerd op hoe goed de Van-koptekst van het bericht overeenkomt met het verzenddomein, zoals bepaald door SPF of DKIM. Dit wordt uitlijning genoemd.

U kunt kiezen uit 2 uitlijningsmodussen: streng en minder streng. Stel de uitlijningsmodus voor SPF en DKIM in de DMARC-record in. De uitlijningsmodus wordt bepaald met de DMARC-recordtags aspf en adkim.

In de volgende gevallen raden we u aan strenge uitlijning te kiezen voor extra bescherming tegen spoofing:

  • E-mails die namens uw domein worden gestuurd, komen uit een subdomein waar u geen controle over heeft
  • U heeft subdomeinen die worden beheerd door een andere entiteit

Een bericht moet door minstens één van deze controles komen om te slagen voor de DMARC-verificatie:

  • SPF-verificatie en SPF-uitlijning
  • DKIM-verificatie en DKIM-uitlijning

Een bericht slaagt niet voor de DMARC-verificatie als het niet door allebei deze controles komt:

  • SPF (of SPF-uitlijning)
  • DKIM (of DKIM-uitlijning)
Belangrijk: Minder strenge uitlijning biedt meestal genoeg bescherming tegen spoofing. Als u strenge uitlijning instelt, kunnen berichten uit gekoppelde subdomeinen worden geweigerd of in de map Spam worden geplaatst.
Verificatiemethode Strenge uitlijning Minder strenge uitlijning
SPF Een exacte overeenkomst tussen het SPF-geverifieerde domein en het domein in de Van-koptekst. Het domein in het adres in de Van-koptekst moet overeenkomen met of een subdomein zijn van het door SPF-geverifieerde domein.
DKIM Een exacte overeenkomst tussen het relevante DKIM-domein en het domein in de Van-koptekst. Het domein in het adres in de Van-koptekst moet overeenkomen met of een subdomein zijn van het domein dat is opgegeven in de tag d= in de DKIM-handtekening.

Informatie over de envelopafzender en het Van-adres

E-mailberichten bevatten 2 soorten adressen waarmee wordt aangegeven wie de afzender is. Het is belangrijk dat u het verschil tussen deze adressen begrijpt als u SPF, DKIM en DMARC instelt.

Het adres van de envelopafzender en het Van-adres van een bericht kunnen verschillen of hetzelfde zijn.

Envelopafzender: Het e-mailadres dat aangeeft waar het bericht vandaan komt. Als een bericht niet kan worden bezorgd, wordt er een melding (oftewel een bouncebericht) naar dit adres gestuurd. Het adres van de envelopafzender wordt ook wel het Return-Path-adres of het bounceadres genoemd. Berichtontvangers zien het adres van de envelopafzender niet.

SPF gebruikt meestal het adres van de envelopafzender voor verificatie.

Van-adres: Het e-mailadres in de berichtkop. Berichten bestaan uit 2 delen: de berichtkop en de berichttekst. De koptekst bevat informatie over het bericht, zoals de naam en het e-mailadres van de afzender, het berichtonderwerp en de verzenddatum. De Van-koptekst bevat het e-mailadres en meestal de naam van de persoon die het bericht heeft gestuurd.

DKIM gebruikt het Van-adres van een bericht voor verificatie.

Voorbeeld van SPF-uitlijning

Bij SPF-uitlijning wordt het domein dat is geverifieerd door SPF (meestal het adres van de envelopafzender) vergeleken met het domein in het Van-adres in de berichtkop. Hier ziet u enkele uitlijningsvoorbeelden met de SPF-controleresultaten.

Adres envelopafzender Van-adres in de koptekst Strenge uitlijning Minder strenge uitlijning
jon@solarmora.com jon@solarmora.com Geslaagd Geslaagd
jon@mail.solarmora.com jon@solarmora.com Mislukt Geslaagd
jon@solarmora.org jon@solarmora.com Mislukt Mislukt

Voorbeeld van DKIM-uitlijning

Met DKIM-uitlijning wordt de waarde in het domeinveld van de DKIM-handtekening (d=) in de berichtkop vergeleken met het domein in de Van-koptekst van het bericht.

Hier ziet u enkele uitlijningsvoorbeelden met de DKIM-controleresultaten:

Van-koptekst DKIM d=domein Strenge uitlijning Minder strenge uitlijning
jon@solarmora.com solarmora.com Geslaagd Geslaagd
jon@mail.solarmora.com solarmora.com Mislukt Geslaagd
jon@solarmora.org solarmora.com Mislukt Mislukt

Opties voor DMARC-rapporten

U kunt DMARC zo instellen dat u regelmatig rapporten krijgt van e-mailservers die e-mails ontvangen vanuit uw domein.

In DMARC-rapporten ziet u het volgende:

  • Welke servers of afzenders van derden e-mails sturen namens uw domein
  • Het percentage berichten in uw domein dat door de DMARC-controle komt
  • Welke servers of services berichten sturen die niet door de DMARC-controle komen
  • Welke DMARC-acties de ontvangstserver uitvoert op de ongeverifieerde berichten van uw domein: none, quarantine of reject.

Gebruik de rua DMARC-recordtag in uw DMARC-record om in te stellen dat u DMARC-rapporten krijgt.

Meer informatie over DMARC-rapporten.

Was dit nuttig?
Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Log in voor extra supportopties om uw probleem snel op te lossen