DMARC instellen

Gmail-gebruikers: Als u spam of phishingberichten krijgt in Gmail, gaat u hiernaartoe. Als u problemen ondervindt met het sturen of krijgen van e-mails in Gmail, gaat u hiernaartoe.

Als beheerder kunt u, nadat u SPF en DKIM heeft ingesteld, Domain-based Message Authentication, Reporting and Conformance (DMARC) instellen. Met DMARC kun je ontvangstmailservers laten weten wat ze moeten doen als ze een bericht krijgen dat niet door de SPF- of DKIM-verificatie komt. U kunt ook rapporten krijgen waarmee u mogelijke verificatieproblemen en schadelijke activiteit kunt herkennen voor berichten die vanuit uw domein worden gestuurd.

What is DMARC?

DMARC helpt gebruikers te beschermen tegen vervalste e-mailberichten
en laat u berichten beheren die niet door de SPF- of DKIM-controle komen.

Op deze pagina

Stap 1: Zet SPF en DKIM aan

Voordat u DMARC kunt gebruiken, moet u SPF en DKIM aanzetten voor uw domein. Als u SPF en DKIM niet heeft ingesteld, gaat u naar Spoofing, phishing en spam voorkomen.

SPF, DKIM en DMARC worden per domein toegepast. Als u meer dan één domein beheert, moet u SPF, DKIM en DMARC afzonderlijk inschakelen voor elk domein.

Belangrijk:

  • Als u SPF en DKIM niet instelt voordat u DMARC inschakelt, leidt dit in veel gevallen tot bezorgingsproblemen voor berichten die vanuit uw domein worden gestuurd.
  • Wacht 48 uur nadat u SPF en DKIM heeft ingesteld voordat u DMARC instelt.

Stap 2: Check of DMARC al is ingesteld

Als je Google Workspace gebruikt, check je met de Google Admin Toolbox of DMARC is ingesteld. Volg anders de stappen om dit te checken bij je domeinprovider.

Checken met de Google Admin Toolbox:

  1. Ga naar de Google Admin Toolbox.
  2. Ga naar Verify DNS issues (DNS-problemen controleren)and thenCheck MX.
  3. Vul uw domeinnaam in het veld Domain name (Domeinnaam) in en klik op RUN CHECKS! (Controles uitvoeren).
  4. In de resultaten kunt u zien of uw domein een DMARC-record heeft:
    • DMARC is not set up (DMARC is niet ingesteld): Uw domein heeft nog geen DMARC-record.
    • Formatting of DMARC policies (Indeling van DMARC-beleid): Uw domein heeft een bestaande DMARC-record.

Checken bij je domeinprovider:

  1. Log in bij de beheerdersconsole van uw domeinprovider.
  2. Ga naar de pagina waar u de DNS TXT-records van uw domein kunt updaten.
  3. Als u een DMARC-record heeft, ziet u onder het subdomein _dmarc.example.com (waarbij example uw domeinnaam is) een TXT-record die begint met v=DMARC.

Ga verder op basis van de resultaten:

  • Als DMARC al is ingesteld, controleert u uw DMARC-rapporten om na te gaan of DMARC berichten effectief verifieert en of ze worden bezorgd zoals verwacht.
  • Als DMARC niet is ingesteld, gaat u verder met Stel een groep of mailbox in voor rapporten (op deze pagina).

Stap 3: Stel een groep of mailbox in voor rapporten

Het aantal DMARC-rapporten dat u per e-mail krijgt, kan verschillen. Het hangt af van hoeveel e-mails er vanuit uw domein worden gestuurd. U kunt dus elke dag veel rapporten krijgen. Grote organisaties kunnen honderden of zelfs duizenden rapporten per dag krijgen.

Google raadt u aan een groep of een speciale mailbox te maken voor ontvangst en beheer van DMARC-rapporten.

In de DMARC-rapporten staat welke berichten die vanuit uw domein worden gestuurd, zijn geverifieerd door SPF en DKIM en of berichten regelmatig niet door de verificatie komen. In de rapporten kunt u ook checken wie e-mails stuurt namens uw domein en of er mogelijk spammers actief zijn. Het is vooral handig om DMARC-rapporten te controleren tijdens de uitrolfase. Ga naar Aanbevolen DMARC-uitrol.

Stap 4: Zorg dat services van derden zijn geverifieerd

Als je een service van derden gebruikt om e-mails te sturen voor je organisatie, moet je zorgen dat berichten die door services van derden worden gestuurd, worden geverifieerd en door SPF- en DKIM-controles komen:

  • Neem contact op met uw externe provider om te controleren of DKIM correct is ingesteld.
  • Zorg dat het domein van de envelopafzender van de provider hetzelfde is als uw domein. Voeg het IP-adres van de verzendservers van de provider toe aan de SPF-record van uw domein.
  • Stuur uitgaande e-mails van de provider via Google met de instelling SMTP-relayservice.

Stap 5: Bereid uw DMARC-record voor

U geeft DMARC-beleid op via een regel met tekstwaarden die een DMARC-record genoemd wordt. In de record geeft u het volgende op:

  • Hoe streng DMARC berichten moet controleren
  • Aanbevolen acties voor de ontvangstserver, voor als berichten niet door de verificatiecontroles komen

Voorbeeld van een DMARC-beleidsrecord (vervang example.com door je domein):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

De tags v en p moeten als eerste worden vermeld. Andere tags kunnen in willekeurige volgorde staan.

Als u net begint met DMARC te gebruiken, raden we u aan de beleidsoptie (p) in te stellen op none. Naarmate u beter begrijpt hoe berichten uit uw domein worden geverifieerd door ontvangstservers, kunt u het beleid updaten. Wijzig in de loop van de tijd het beleid voor de ontvangstserver in quarantine (or reject). Ga naar Aanbevolen DMARC-uitrol.

Definities en waarden van DMARC-recordtags

Tag Beschrijving en waarden
v

(Vereist) DMARC-versie. Moet DMARC1 zijn.

p (Vereist) Geeft aan de ontvangende e-mailserver door wat er moet gebeuren met berichten die niet door de verificatiecontrole komen.
  • none: Geen actie uitvoeren op het bericht en het bezorgen bij de bedoelde ontvanger. Berichten in een dagelijks rapport registreren. Het rapport wordt gestuurd naar het e-mailadres dat is opgegeven bij de optie rua in de record.
  • quarantine— De berichten markeren als spam en ze in de map Spam van de ontvanger plaatsen. Ontvangers kunnen spamberichten controleren om legitieme berichten te identificeren.
  • reject— Het bericht weigeren. Als u deze optie instelt, stuurt de ontvangstserver meestal een bouncebericht naar de verzendserver.

Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none.

pct

(Optioneel) Hiermee geeft u het percentage ongeverifieerde berichten op waarvoor het DMARC-beleid geldt. Als u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van de berichten. Naarmate meer berichten uit uw domein door de verificatiecontrole van ontvangstservers komen, kunt u een hoger percentage in de record zetten, totdat 100 procent is bereikt.

Dit moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet gebruikt, wordt uw DMARC-beleid toegepast op 100% van de berichten die worden gestuurd vanuit uw domein.

Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de waarde bij pct in het DMARC-beleid 100 zijn. BIMI ondersteunt geen DMARC-beleid waarvoor de waarde bij pct minder is dan 100.

rua

(Optioneel) Hiermee laat u DMARC-rapporten naar een e-mailadres sturen. Het e-mailadres moet mailto: bevatten.
Bijvoorbeeld: mailto:dmarc-rapporten@voorbeeld.com (vervang mailto:dmarc-rapporten@voorbeeld.com door je domein).

  • Als u DMARC-rapporten naar meerdere e-mailadressen wilt sturen, scheidt u elk e-mailadres door een komma en voegt u het voorvoegsel mailto: toe vóór elk adres. Bijvoorbeeld: mailto:dmarc-rapporten@voorbeeld.com, mailto:dmarc-rapporten@voorbeeld.com (vervang mailto:dmarc-rapporten@voorbeeld.com door je domein).
  • Deze optie kan leiden tot een groot aantal rapportmails. We raden u af uw eigen e-mailadres te gebruiken. Gebruik in plaats daarvan een speciale mailbox, een groep of een service van derden die is gespecialiseerd in DMARC-rapporten.
ruf

Niet ondersteund. Gmail ondersteunt niet de tag ruf, die wordt gebruikt om foutrapporten te sturen. Foutrapporten worden ook wel forensische rapporten genoemd.

sp (Optioneel) Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineDe berichten markeren als spam en ze in de map Spam van de ontvanger plaatsen. Ontvangers kunnen spamberichten controleren om legitieme berichten te identificeren.
  • rejectHet bericht weigeren. Als u deze optie instelt, stuurt de ontvangstserver als het goed is een bouncebericht naar de verzendserver.

Als u deze optie niet gebruikt in de record, nemen subdomeinen het DMARC-beleid over dat u instelt voor het bovenliggende domein.

adkim (Optioneel) Hiermee stelt u het uitlijningsbeleid voor DKIM in, waarmee u bepaalt hoe exact berichtgegevens overeen moeten komen met DKIM-handtekeningen. Meer informatie over hoe uitlijning werkt (verderop op deze pagina).
  • sStrenge uitlijning De domeinnaam van de afzender moet exact overeenkomen met de betreffende d=domeinnaam in de DKIM-berichtkoppen.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Optioneel) Hiermee stelt u het uitlijningsbeleid voor SPF in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen. Meer informatie over hoe uitlijning werkt (verderop op deze pagina).
  • s Strenge uitlijning De kop Van: moet precies overeenkomen met de domeinnaam in de opdracht SMTP MAIL FROM.
  • rMinder strenge uitlijning (standaard). Gedeeltelijke overeenkomsten zijn toegestaan. Elk geldig subdomein van de domeinnaam wordt geaccepteerd.

DMARC-uitlijning

DMARC keurt berichten goed of weigert deze gebaseerd op hoe goed het domein in de Van-koptekst overeenkomt met het verzenddomein, zoals bepaald door SPF of DKIM. Dit wordt uitlijning genoemd.

U kunt kiezen uit 2 uitlijningsmodussen: streng of minder streng. U stelt de uitlijningsmodus voor SPF en DKIM in de DMARC-record in met de DMARC-recordtags aspf en adkim.

Verificatiemethode Strenge uitlijning Minder strenge uitlijning
SPF Een exacte overeenkomst tussen het domein in het adres van de envelopafzender (ook wel Return-Path of bounceadres genoemd) en het domein in het adres in de Van-koptekst. Het domein in het adres in de Van-koptekst moet overeenkomen met of een subdomein zijn van het domein in het adres van de envelopafzender (ook wel Return-Path of bounceadres genoemd).
DKIM Een exacte overeenkomst tussen het relevante DKIM-domein en het domein in de Van-koptekst. Het domein in het adres in de Van-koptekst moet overeenkomen met of een subdomein zijn van het domein dat is opgegeven in de tag d= in de DKIM-handtekening.

In bepaalde gevallen raadt Google u aan strenge uitlijning te kiezen voor extra bescherming tegen spoofing:

  • E-mails die namens uw domein worden gestuurd, komen uit een subdomein waar u geen controle over heeft.
  • U heeft subdomeinen die worden beheerd door een andere entiteit.
Belangrijk: Minder strenge uitlijning biedt meestal genoeg bescherming tegen spoofing. Als u strenge uitlijning instelt, kunnen berichten uit gekoppelde subdomeinen worden geweigerd of in de map Spam worden geplaatst.

Een bericht moet door minstens één van deze controles komen om te slagen voor de DMARC-verificatie:

  • SPF-verificatie en SPF-uitlijning
  • DKIM-verificatie en DKIM-uitlijning

Een bericht slaagt niet voor de DMARC-verificatie als het niet door allebei deze controles komt:

  • SPF (of SPF-uitlijning)
  • DKIM (of DKIM-uitlijning)

Stap 6: Voeg uw DMARC-record toe

Nadat u de tekst van de DMARC-record heeft voorbereid, moet u de DMARC DNS TXT-record toevoegen of updaten bij uw domeinprovider. Elke keer dat u uw DMARC-beleid wijzigt en de record updatet, moet u ook de DMARC TXT-record updaten bij uw domeinprovider.

Een record toevoegen of updaten

Belangrijk: Stel DKIM en SPF in voordat u DMARC instelt. DKIM en SPF moeten berichten al minstens 48 uur verifiëren voordat u DMARC aanzet.

  1. Houd het tekstbestand of de regel voor uw DMARC-record bij de hand.
  2. Log in bij uw domeinhost. Dit is meestal de plek waar u uw domeinnaam heeft gekocht. Als u niet zeker weet wie uw domeinhost is, gaat u naar Uw domeinregistreerder identificeren.
  3. Ga naar de pagina waar u de DNS TXT-records voor uw domein kunt updaten. Raadpleeg de documentatie van uw domein als u deze pagina niet kunt vinden.
  4. Voeg de TXT-record toe of update deze met de volgende informatie:

    Veldnaam In te voeren waarde
    Type Het recordtype is TXT.
    Host (naam, hostnaam, alias) Deze waarde moet _dmarc.example.com zijn (vervang example.com door je domeinnaam).
    Waarde De tekenreeks waaruit de TXT-record bestaat. Bijvoorbeeld: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Ga naar Bereid uw DMARC-record voor (eerder op deze pagina) voor meer informatie.
    Opmerking: Sommige domeinhosts voegen automatisch de domeinnaam toe. Nadat u de TXT-record heeft toegevoegd of geüpdatet, controleert u de domeinnaam in de DMARC-record om te controleren of deze de juiste indeling heeft.
  5. Sla de wijzigingen op.
  6. Als u DMARC instelt voor meer dan één domein, voert u deze stappen uit voor elk domein. Voor elk domein kunnen andere beleidsregels en verschillende rapportopties gelden, zoals opgegeven in de record.

Stap 7: verifieer uw DMARC-record

Belangrijk: De domeinen die in de onderstaande stappen worden gebruikt, zijn slechts voorbeelden. Vervang deze voorbeelddomeinen door uw eigen domeinen.

Sommige domeinhosts voegen automatisch uw domeinnaam toe aan het einde van de naam van de TXT-record. Dit kan ertoe leiden dat de naam van de DMARC TXT-record niet de juiste indeling heeft.Als u bijvoorbeeld _dmarc.example.com invult en uw domeinhost automatisch uw domeinnaam toevoegt, wordt de naam van de TXT-record _dmarc.example.com.example.com. Dit is niet de juiste indeling.

Nadat u de DMARC TXT-record heeft toegevoegd volgens de stappen in Een record toevoegen of updaten, moet u controleren of de naam van de TXT-record de juiste indeling heeft.

In de Google Admin Toolbox kunt u de Dig-functie gebruiken om uw DMARC TXT-record te bekijken en te verifiëren:

  1. Ga naar de Google Admin Toolbox en selecteer de functie Dig.
  2. Voer in het veld Name (Naam) _dmarc. in, gevolgd door uw volledige domeinnaam. Als uw domeinnaam bijvoorbeeld example.com is, voert u _dmarc.example.com in.
  3. Klik onder het veld Name (Naam) op TXT.
  4. Controleer de naam van de DMARC TXT-record in de resultaten. Zoek naar de regel tekst die begint met _dmarc.

Gerelateerde onderwerpen


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu