Een DMARC-record toevoegen

Beschermen tegen spoofing en phishing en voorkomen dat berichten worden gemarkeerd als spam

U definieert DMARC-functionaliteit (Domain-based Message Authentication, Reporting, and Conformance) door een DMARC-record in te voeren in de DNS-instellingen van uw domein.

Nadat u de tekst van de DMARC-record heeft voorbereid, moet u de DNS TXT-record toevoegen of updaten bij uw domeinprovider. Als u een DNS TXT-record wilt updaten, voert u in de beheerdersconsole bij uw domeinprovider de regel tekst in waarmee uw DMARC-beleidsrecord wordt opgegeven.

Elke keer dat u uw DMARC-beleid wijzigt en de record updatet, moet u de DNS TXT-record updaten bij uw domeinprovider.

Subdomeinen en aanvullende domeinen

Als u meer dan één domein heeft, volgt u de stappen hieronder voor elk domein. Voor elk domein kunnen andere beleidsregels en verschillende rapportopties gelden (opgegeven in de record).

Als u geen DMARC-beleid maakt voor subdomeinen, wordt het DMARC-beleid van het bovenliggende domein overgenomen. Als u een DMARC-beleid voor subdomeinen wilt opgeven, gebruikt u de sp beleidstag in de DMARC-record van het bovenliggende domein.

Een record toevoegen of updaten

Belangrijk:

Configureer DomainKeys Identified Mail (DKIM) en Sender Policy Framework (SPF) voordat u DMARC instelt. DKIM en SPF moeten berichten al minstens 48 uur verifiëren voordat u DMARC aanzet.
De domeinen die in de stappen hieronder worden gebruikt, zijn alleen voorbeelden. Vervang deze voorbeelddomeinen door uw eigen domeinen.

Volg deze stappen in de beheerdersconsole bij uw domeinhost, niet in de Google Beheerdersconsole. Wie is mijn domeinhost?

Houd het tekstbestand of de regel met uw beleidsrecord bij de hand.
Log in bij de beheerdersconsole van uw domeinhost.
Ga naar de pagina waar u de DNS-records kunt updaten.
Voeg een DNS TXT-record toe of wijzig een bestaande record door uw record in te voeren in de TXT-record voor _dmarc:
1. TXT-recordnaam: Voer in het eerste veld onder DNS-hostnaam het volgende in: _dmarc.solarmora.com
  Belangrijk: Sommige domeinhosts voegen automatisch de domeinnaam toe na _dmarc. Nadat u de TXT-record heeft toegevoegd, kunt u de naam van de DMARC TXT-record bekijken om te controleren of deze de juiste indeling heeft.
2. TXT-recordwaarde: Vul in het tweede veld de tekst van de DMARC-record in, bijvoorbeeld:
  v=DMARC1; p=none; rua=mailto:dmarc-rapporten@solarmora.com
  
  De veldnamen kunnen anders zijn bij uw provider. De namen van DNS TXT-recordvelden kunnen per provider verschillen. Het domein dat hier wordt gebruikt, is een voorbeelddomein. Vervang solarmora.com door uw eigen domein.
Sla de wijzigingen op.

DMARC uitzetten

We raden u af DMARC uit te zetten voor uw organisatie of domein. Zonder DMARC kunnen hackers en andere kwaadwillende gebruikers berichten nabootsen, waardoor ze afkomstig lijken te zijn van uw organisatie of domein. Als u DMARC uitzet, lopen uw gebruikers en contacten risico om spam-, spoofing- en phishingmails te krijgen. Als u DMARC moet uitzetten, volgt u deze stappen.

De naam van de DMARC TXT-record controleren (optioneel)

Belangrijk: De domeinen die in de stappen hieronder worden gebruikt, zijn alleen voorbeelden. Vervang deze voorbeelddomeinen door uw eigen domeinen.

Sommige domeinhosts voegen automatisch uw domeinnaam toe aan het einde van de naam van de TXT-record die u heeft ingevoerd in stap 4a van het gedeelte Een record toevoegen of updaten. Dit kan ertoe leiden dat de naam van de DMARC TXT-record niet de juiste indeling heeft.

Als u bijvoorbeeld _dmarc.solarmora.com invoert en uw domeinhost automatisch uw domeinnaam toevoegt, wordt de naam van de TXT-record _dmarc.solarmora.com.solarmora.com. Dit is niet de juiste indeling.

Nadat u de DMARC TXT-record heeft toegevoegd volgens de stappen in Een record toevoegen of updaten, moet u controleren of de naam van de TXT-record de juiste indeling heeft.

Met de Dig-functie in de Google Admin Toolbox kunt u de DMARC TXT-record bekijken en controleren:

Ga naar de Google Admin Toolbox en selecteer de functie Dig.
Voer in het veld Name (Naam) _dmarc. in, gevolgd door uw volledige domeinnaam. Als uw domeinnaam bijvoorbeeld solarmora.com is, voert u _dmarc.solarmora.com in.
Klik onder het veld Name (Naam) op TXT.
Controleer de naam van de DMARC TXT-record in de resultaten. Zoek naar de regel tekst die begint met _dmarc.

Indeling van DMARC-records

Belangrijk: In het voorbeeld van het DMARC-beleid in dit gedeelte worden voorbeelddomeinen gebruikt. Vervang voorbeelddomeinen door uw eigen domeinen.

Een DMARC-record bestaat uit een regel platte tekst. De tekst is een lijst met DMARC-tags en -waarden, gescheiden door puntkomma's. Sommige tags zijn vereist, andere zijn optioneel.

Met een DMARC-beleid laat u ontvangstservers weten welke actie ze moeten uitvoeren voor ongeverifieerde berichten die ze ontvangen uit uw domein. De actie die moet worden uitgevoerd, wordt opgegeven met de beleidstag (p) als u uw DMARC-record maakt.

Dit is een voorbeeld van een DMARC-beleidsrecord. Tags worden gescheiden door puntkomma's ( ; ). De tags v en p moeten als eerste worden vermeld, de andere tags kunnen in willekeurige volgorde staan. Als u de tag rua gebruikt om DMARC-rapporten te e-mailen, moet u het voorvoegsel mailto: vóór elk e-mailadres zetten, zoals in dit voorbeeld:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Tags voor DMARC-records

Tag	Beschrijving en waarden
v	DMARC-versie. Moet DMARC1 zijn. Deze tag is vereist.
p	Geeft de ontvangende e-mailserver door wat er moet gebeuren met berichten die niet door de verificatiecontrole komen. none: Geen actie uitvoeren op het bericht en het bezorgen bij de bedoelde ontvanger. Berichten in een dagelijks rapport registreren. Het rapport wordt gestuurd naar het e-mailadres dat is opgegeven bij de optie rua in de record. quarantine— De berichten markeren als spam en ze in de map Spam van de ontvanger plaatsen. Ontvangers kunnen spamberichten controleren om legitieme berichten te identificeren. reject— Het bericht weigeren. Als u deze optie instelt, stuurt de ontvangstserver meestal een bouncebericht naar de verzendserver. Deze tag is vereist. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none.
pct	Hiermee geeft u het percentage ongeverifieerde berichten op waarvoor het DMARC-beleid geldt. Als u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van de berichten. Naarmate meer berichten uit uw domein door de verificatiecontrole van ontvangstservers komen, kunt u een hoger percentage in de record zetten, totdat 100 procent is bereikt. Dit moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet gebruikt, wordt uw DMARC-beleid toegepast op 100% van de berichten die worden gestuurd vanuit uw domein. Deze tag is optioneel. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de waarde bij pct in het DMARC-beleid 100 zijn. BIMI ondersteunt geen DMARC-beleid waarvoor de waarde bij pct minder is dan 100.
rua	Het e-mailadres waar rapporten over DMARC-activiteit voor uw domein naartoe moeten worden gestuurd. Het e-mailadres moet mailto: bevatten, bijvoorbeeld: `mailto:dmarc-rapporten@solarmora.com`. Als u DMARC-rapporten naar meerdere e-mailadressen wilt sturen, scheidt u de e-mailadressen met een komma en voegt u voor elk adres het voorvoegsel mailto: toe. Voorbeeld: `mailto:dmarc-rapporten@solarmora.com, mailto:dmarc-beheerder@solarmora.com` Deze optie kan leiden tot een groot aantal rapportmails. We raden u af uw eigen e-mailadres te gebruiken. Gebruik in plaats daarvan een speciale mailbox, een groep of een service van derden die is gespecialiseerd in DMARC-rapporten. Deze tag is optioneel.
ruf	Niet ondersteund. Gmail ondersteunt niet de tag ruf, die wordt gebruikt om foutrapporten te sturen. Foutrapporten worden ook wel forensische rapporten genoemd.
sp	Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—De berichten markeren als spam en ze in de map Spam van de ontvanger plaatsen. Ontvangers kunnen spamberichten controleren om legitieme berichten te identificeren. reject—Het bericht weigeren. Als u deze optie instelt, stuurt de ontvangstserver als het goed is een bouncebericht naar de verzendserver. Als u deze optie niet gebruikt in de record, nemen subdomeinen het DMARC-beleid over dat u instelt voor het bovenliggende domein. Deze tag is optioneel.
adkim	Hiermee stelt het uitlijningsbeleid voor DKIM in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met DKIM-handtekeningen. Meer informatie over hoe uitlijning werkt. s—Strenge uitlijning De domeinnaam van de afzender moet exact overeenkomen met de betreffende d=domeinnaam in de DKIM-berichtkoppen. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted. Deze tag is optioneel.
aspf	Hiermee stelt het uitlijningsbeleid voor SPF in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen. Meer informatie over hoe uitlijning werkt. s— Strenge uitlijning De kop Van moet exact overeenkomen met de domeinnaam in de SMTP MAIL FROM-opdracht r—Minder strenge uitlijning (standaard). Gedeeltelijke overeenkomsten zijn toegestaan. Elk geldig subdomein van de domeinnaam wordt geaccepteerd. Deze tag is optioneel.

Was dit nuttig?

Hoe kunnen we dit verbeteren?