Gmail-gebruikers: Als u spam of phishingberichten krijgt in Gmail, gaat u hiernaartoe. Als u problemen ondervindt met het sturen of krijgen van e-mails in Gmail, gaat u hiernaartoe.
Als beheerder kunt u, nadat u SPF en DKIM heeft ingesteld, Domain-based Message Authentication, Reporting and Conformance (DMARC) instellen. Met DMARC kun je ontvangstmailservers laten weten wat ze moeten doen als ze een bericht krijgen dat niet door de SPF- of DKIM-verificatie komt. U kunt ook rapporten krijgen waarmee u mogelijke verificatieproblemen en schadelijke activiteit kunt herkennen voor berichten die vanuit uw domein worden gestuurd.
DMARC helpt gebruikers te beschermen tegen vervalste e-mailberichten
en laat u berichten beheren die niet door de SPF- of DKIM-controle komen.
Op deze pagina
- Stap 1: Zet SPF en DKIM aan
- Stap 2: Check of DMARC al is ingesteld
- Stap 3: Stel een groep of mailbox in voor rapporten
- Stap 4: Zorg dat services van derden zijn geverifieerd
- Stap 5: Bereid uw DMARC-record voor
- Stap 6: Voeg uw DMARC-record toe
- Stap 7: verifieer uw DMARC-record
- Gerelateerde onderwerpen
Stap 1: Zet SPF en DKIM aan
Voordat u DMARC kunt gebruiken, moet u SPF en DKIM aanzetten voor uw domein. Als u SPF en DKIM niet heeft ingesteld, gaat u naar Spoofing, phishing en spam voorkomen.
SPF, DKIM en DMARC worden per domein toegepast. Als u meer dan één domein beheert, moet u SPF, DKIM en DMARC afzonderlijk inschakelen voor elk domein.
Belangrijk:
- Als u SPF en DKIM niet instelt voordat u DMARC inschakelt, leidt dit in veel gevallen tot bezorgingsproblemen voor berichten die vanuit uw domein worden gestuurd.
- Wacht 48 uur nadat u SPF en DKIM heeft ingesteld voordat u DMARC instelt.
Stap 2: Check of DMARC al is ingesteld
Als je Google Workspace gebruikt, check je met de Google Admin Toolbox of DMARC is ingesteld. Volg anders de stappen om dit te checken bij je domeinprovider.
Checken met de Google Admin Toolbox:
- Ga naar de Google Admin Toolbox.
- Ga naar Verify DNS issues (DNS-problemen controleren)Check MX.
- Vul uw domeinnaam in het veld Domain name (Domeinnaam) in en klik op RUN CHECKS! (Controles uitvoeren).
- In de resultaten kunt u zien of uw domein een DMARC-record heeft:
- DMARC is not set up (DMARC is niet ingesteld): Uw domein heeft nog geen DMARC-record.
- Formatting of DMARC policies (Indeling van DMARC-beleid): Uw domein heeft een bestaande DMARC-record.
Checken bij je domeinprovider:
- Log in bij de beheerdersconsole van uw domeinprovider.
- Ga naar de pagina waar u de DNS TXT-records van uw domein kunt updaten.
- Als u een DMARC-record heeft, ziet u onder het subdomein _dmarc.example.com (waarbij example uw domeinnaam is) een TXT-record die begint met v=DMARC.
Ga verder op basis van de resultaten:
- Als DMARC al is ingesteld, controleert u uw DMARC-rapporten om na te gaan of DMARC berichten effectief verifieert en of ze worden bezorgd zoals verwacht.
- Als DMARC niet is ingesteld, gaat u verder met Stel een groep of mailbox in voor rapporten (op deze pagina).
Stap 3: Stel een groep of mailbox in voor rapporten
Het aantal DMARC-rapporten dat u per e-mail krijgt, kan verschillen. Het hangt af van hoeveel e-mails er vanuit uw domein worden gestuurd. U kunt dus elke dag veel rapporten krijgen. Grote organisaties kunnen honderden of zelfs duizenden rapporten per dag krijgen.
Google raadt u aan een groep of een speciale mailbox te maken voor ontvangst en beheer van DMARC-rapporten.
In de DMARC-rapporten staat welke berichten die vanuit uw domein worden gestuurd, zijn geverifieerd door SPF en DKIM en of berichten regelmatig niet door de verificatie komen. In de rapporten kunt u ook checken wie e-mails stuurt namens uw domein en of er mogelijk spammers actief zijn. Het is vooral handig om DMARC-rapporten te controleren tijdens de uitrolfase. Ga naar Aanbevolen DMARC-uitrol.
Stap 4: Zorg dat services van derden zijn geverifieerd
Als je een service van derden gebruikt om e-mails te sturen voor je organisatie, moet je zorgen dat berichten die door services van derden worden gestuurd, worden geverifieerd en door SPF- en DKIM-controles komen:
- Neem contact op met uw externe provider om te controleren of DKIM correct is ingesteld.
- Zorg dat het domein van de envelopafzender van de provider hetzelfde is als uw domein. Voeg het IP-adres van de verzendservers van de provider toe aan de SPF-record van uw domein.
- Stuur uitgaande e-mails van de provider via Google met de instelling SMTP-relayservice.
Stap 5: Bereid uw DMARC-record voor
U geeft DMARC-beleid op via een regel met tekstwaarden die een DMARC-record genoemd wordt. In de record geeft u het volgende op:
- Hoe streng DMARC berichten moet controleren
- Aanbevolen acties voor de ontvangstserver, voor als berichten niet door de verificatiecontroles komen
Voorbeeld van een DMARC-beleidsrecord (vervang example.com door je domein):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.
De tags v en p moeten als eerste worden vermeld. Andere tags kunnen in willekeurige volgorde staan.
Als u net begint met DMARC te gebruiken, raden we u aan de beleidsoptie (p) in te stellen op none. Naarmate u beter begrijpt hoe berichten uit uw domein worden geverifieerd door ontvangstservers, kunt u het beleid updaten. Wijzig in de loop van de tijd het beleid voor de ontvangstserver in quarantine (or reject). Ga naar Aanbevolen DMARC-uitrol.
Definities en waarden van DMARC-recordtags
Tag | Beschrijving en waarden |
v |
(Vereist) DMARC-versie. Moet DMARC1 zijn. |
p | (Vereist) Geeft aan de ontvangende e-mailserver door wat er moet gebeuren met berichten die niet door de verificatiecontrole komen.
Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none. |
pct |
(Optioneel) Hiermee geeft u het percentage ongeverifieerde berichten op waarvoor het DMARC-beleid geldt. Als u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van de berichten. Naarmate meer berichten uit uw domein door de verificatiecontrole van ontvangstservers komen, kunt u een hoger percentage in de record zetten, totdat 100 procent is bereikt. Dit moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet gebruikt, wordt uw DMARC-beleid toegepast op 100% van de berichten die worden gestuurd vanuit uw domein. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de waarde bij pct in het DMARC-beleid 100 zijn. BIMI ondersteunt geen DMARC-beleid waarvoor de waarde bij pct minder is dan 100. |
rua |
(Optioneel) Hiermee laat u DMARC-rapporten naar een e-mailadres sturen. Het e-mailadres moet mailto: bevatten.
|
ruf |
Niet ondersteund. Gmail ondersteunt niet de tag ruf, die wordt gebruikt om foutrapporten te sturen. Foutrapporten worden ook wel forensische rapporten genoemd. |
sp | (Optioneel) Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen.
Als u deze optie niet gebruikt in de record, nemen subdomeinen het DMARC-beleid over dat u instelt voor het bovenliggende domein. |
adkim | (Optioneel) Hiermee stelt u het uitlijningsbeleid voor DKIM in, waarmee u bepaalt hoe exact berichtgegevens overeen moeten komen met DKIM-handtekeningen. Meer informatie over hoe uitlijning werkt (verderop op deze pagina).
|
aspf | (Optioneel) Hiermee stelt u het uitlijningsbeleid voor SPF in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen. Meer informatie over hoe uitlijning werkt (verderop op deze pagina).
|
DMARC-uitlijning
DMARC keurt berichten goed of weigert deze gebaseerd op hoe goed het domein in de Van-koptekst overeenkomt met het verzenddomein, zoals bepaald door SPF of DKIM. Dit wordt uitlijning genoemd.
U kunt kiezen uit 2 uitlijningsmodussen: streng of minder streng. U stelt de uitlijningsmodus voor SPF en DKIM in de DMARC-record in met de DMARC-recordtags aspf en adkim.
In bepaalde gevallen raadt Google u aan strenge uitlijning te kiezen voor extra bescherming tegen spoofing:
- E-mails die namens uw domein worden gestuurd, komen uit een subdomein waar u geen controle over heeft.
- U heeft subdomeinen die worden beheerd door een andere entiteit.
Een bericht moet door minstens één van deze controles komen om te slagen voor de DMARC-verificatie:
- SPF-verificatie en SPF-uitlijning
- DKIM-verificatie en DKIM-uitlijning
Een bericht slaagt niet voor de DMARC-verificatie als het niet door allebei deze controles komt:
- SPF (of SPF-uitlijning)
- DKIM (of DKIM-uitlijning)
Stap 6: Voeg uw DMARC-record toe
Nadat u de tekst van de DMARC-record heeft voorbereid, moet u de DMARC DNS TXT-record toevoegen of updaten bij uw domeinprovider. Elke keer dat u uw DMARC-beleid wijzigt en de record updatet, moet u ook de DMARC TXT-record updaten bij uw domeinprovider.
Een record toevoegen of updaten
Belangrijk: Stel DKIM en SPF in voordat u DMARC instelt. DKIM en SPF moeten berichten al minstens 48 uur verifiëren voordat u DMARC aanzet.
- Houd het tekstbestand of de regel voor uw DMARC-record bij de hand.
- Log in bij uw domeinhost. Dit is meestal de plek waar u uw domeinnaam heeft gekocht. Als u niet zeker weet wie uw domeinhost is, gaat u naar Uw domeinregistreerder identificeren.
- Ga naar de pagina waar u de DNS TXT-records voor uw domein kunt updaten. Raadpleeg de documentatie van uw domein als u deze pagina niet kunt vinden.
-
Voeg de TXT-record toe of update deze met de volgende informatie:
Veldnaam In te voeren waarde Type Het recordtype is TXT. Host (naam, hostnaam, alias) Deze waarde moet _dmarc.example.com zijn (vervang example.com door je domeinnaam). Waarde De tekenreeks waaruit de TXT-record bestaat. Bijvoorbeeld: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Ga naar Bereid uw DMARC-record voor (eerder op deze pagina) voor meer informatie. Opmerking: Sommige domeinhosts voegen automatisch de domeinnaam toe. Nadat u de TXT-record heeft toegevoegd of geüpdatet, controleert u de domeinnaam in de DMARC-record om te controleren of deze de juiste indeling heeft. - Sla de wijzigingen op.
- Als u DMARC instelt voor meer dan één domein, voert u deze stappen uit voor elk domein. Voor elk domein kunnen andere beleidsregels en verschillende rapportopties gelden, zoals opgegeven in de record.
Stap 7: verifieer uw DMARC-record
Belangrijk: De domeinen die in de onderstaande stappen worden gebruikt, zijn slechts voorbeelden. Vervang deze voorbeelddomeinen door uw eigen domeinen.
Sommige domeinhosts voegen automatisch uw domeinnaam toe aan het einde van de naam van de TXT-record. Dit kan ertoe leiden dat de naam van de DMARC TXT-record niet de juiste indeling heeft.Als u bijvoorbeeld _dmarc.example.com invult en uw domeinhost automatisch uw domeinnaam toevoegt, wordt de naam van de TXT-record _dmarc.example.com.example.com. Dit is niet de juiste indeling.
Nadat u de DMARC TXT-record heeft toegevoegd volgens de stappen in Een record toevoegen of updaten, moet u controleren of de naam van de TXT-record de juiste indeling heeft.
In de Google Admin Toolbox kunt u de Dig-functie gebruiken om uw DMARC TXT-record te bekijken en te verifiëren:
- Ga naar de Google Admin Toolbox en selecteer de functie Dig.
- Voer in het veld Name (Naam) _dmarc. in, gevolgd door uw volledige domeinnaam. Als uw domeinnaam bijvoorbeeld example.com is, voert u _dmarc.example.com in.
- Klik onder het veld Name (Naam) op TXT.
- Controleer de naam van de DMARC TXT-record in de resultaten. Zoek naar de regel tekst die begint met _dmarc.
Gerelateerde onderwerpen
- Problemen met DMARC oplossen
- Aanbevolen voor uitrol van DMARC
- DMARC uitzetten
- Over DMARC-rapporten
- Over TXT-records
- DMARC RFC 7489
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.