DMARC laat ontvangstmailservers weten welke actie ze moeten uitvoeren op berichten van u die niet door de SPF- of DKIM-verificatie komen. De actieopties zijn Weigeren, Quarantaine of Bericht bezorgen. U kunt ook rapporten krijgen waarmee u mogelijke verificatieproblemen en schadelijke activiteiten kunt herkennen voor berichten die vanuit uw domein worden gestuurd. Stel DMARC in door een DMARC DNS TXT-record (DMARC-record) aan uw domein toe te voegen.
Een DMARC-record is een tekstregel die u aan uw domein toevoegt volgens de instructies van uw domeinprovider. Dit is een voorbeeld van een DMARC-record:
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s
Als servers e-mailberichten van je domein ontvangen die niet door de SPF- of DKIM-controle komen, controleren ze uw DMARC-record om te bepalen welke actie ze moeten uitvoeren op de berichten: weigeren, in quarantaine plaatsen of normaal bezorgen.
DMARC helpt gebruikers te beschermen tegen vervalste e-mailberichten
en laat u berichten beheren die niet door de SPF- of DKIM-controle komen.
Op deze pagina
- Voordat u begint
- Stap 1: Stel een groep of mailbox in voor rapporten
- Stap 2: Zorg dat e-mails van derden worden geverifieerd
- Stap 3: Bepaal uw DMARC-record
- Stap 4: Voeg uw DMARC-record toe aan uw domein
- Gerelateerde onderwerpen
Voordat u begint
- U moet SPF en/of DKIM aanzetten voor uw domein voordat u DMARC kunt gebruiken. Als u SPF en/of DKIM niet heeft ingesteld, gaat u naar Spoofing, phishing en spam voorkomen.
- Als u SPF en/of DKIM niet instelt voordat u DMARC inschakelt, leidt dit in veel gevallen tot bezorgingsproblemen voor berichten die vanuit uw domein worden gestuurd.
- Wacht 48 uur nadat u SPF en/of DKIM heeft ingesteld voordat u DMARC instelt.
- Gebruik een van de vele kosteloze tools op internet om na te gaan of DMARC al is ingesteld voor uw domein. Als DMARC al is ingesteld, controleert u uw DMARC-rapporten om na te gaan of DMARC berichten effectief verifieert en of ze worden bezorgd zoals verwacht.
- U hoeft niets te doen in de Google Beheerdersconsole om DMARC in te stellen. Bepaal in plaats daarvan uw DMARC-record via de instructies op deze pagina. Log daarna in bij uw domeinhost en voeg de DMARC-record toe volgens de DMARC-instructies van de domeinhost.
Stap 1: Stel een groep of mailbox in voor rapporten
Het aantal DMARC-rapporten dat u per e-mail krijgt, kan verschillen. Het hangt af van hoeveel e-mails er vanuit uw domein worden gestuurd en naar hoeveel domeinen u e-mails stuurt. U kunt dus elke dag veel rapporten krijgen. Grote organisaties kunnen honderden of zelfs duizenden rapporten per dag krijgen. Google raadt u aan een groep of een speciale mailbox te maken voor ontvangst en beheer van DMARC-rapporten.
Belangrijk: Het e-mailadres voor rapporten bevindt zich meestal in hetzelfde domein als het domein dat uw DMARC-record host. Als het e-mailadres een ander domein heeft, moet u een DNS-record toevoegen aan het andere domein. Ga naar Rapporten sturen naar een e-mailadres in een ander domein op de pagina DMARC-rapporten.
Stap 2: Zorg dat e-mails van derden worden geverifieerd
Als u een service van derden gebruikt om e-mails te sturen voor uw organisatie, moet u zorgen dat berichten die door services van derden worden gestuurd, worden geverifieerd en door SPF- en DKIM-controles komen:
- Neem contact op met uw externe provider om te controleren of SPF en DKIM correct zijn ingesteld.
- Zorg dat het domein van de envelopafzender van de provider hetzelfde is als uw domein. Voeg het IP-adres van de verzendservers van de provider toe aan de SPF-record van uw domein.
- Stuur uitgaande e-mails van de provider via Google met de instelling SMTP-relayservice.
Stap 3: Bepaal uw DMARC-record
U geeft DMARC-beleid op via een regel met tekstwaarden die een DMARC-record genoemd wordt. In deze record wordt het volgende gedefinieerd:
- Hoe streng DMARC berichten moet controleren
- Aanbevolen acties voor de ontvangstserver, voor als berichten niet door de verificatiecontroles komen
Voorbeeld van een DMARC-record (vervang example.com door uw domein):
v=DMARC1; p=reject; rua=mailto:postmaster@voorbeeld.com, mailto:dmarc@voorbeeld.com; pct=100; adkim=s; aspf=s.
De tags v en p moeten als eerste worden vermeld. Andere tags kunnen in willekeurige volgorde staan.
Als u DMARC nog maar net gebruikt, raden we u aan de beleidsoptie (p) in te stellen op none. Naarmate u beter begrijpt hoe berichten uit uw domein worden geverifieerd door ontvangstservers, kunt u het beleid updaten. Wijzig in de loop van de tijd het beleid voor de ontvangstserver naar quarantine (or reject). Ga naar Aanbevolen DMARC-uitrol.
Definities en waarden van DMARC-recordtags
Tag | Beschrijving en waarden |
v |
(Vereist) DMARC-versie. Moet DMARC1 zijn. |
p | (Vereist) Geeft aan de ontvangende e-mailserver door wat er moet gebeuren met berichten die niet door de verificatiecontrole komen.
Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none. |
pct |
De tag pct is optioneel, maar Google raadt u aan deze op te nemen in uw DMARC-record als u DMARC uitrolt, zodat u het percentage e-mails kunt beheren waarop uw DMARC-beleid van toepassing is. Hiermee geeft u het percentage ongeverifieerde berichten op waarvoor het DMARC-beleid geldt. Als u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van de berichten. Naarmate meer berichten uit uw domein door de verificatiecontrole van ontvangstservers komen, kunt u een hoger percentage in de record zetten, totdat 100 procent is bereikt. Dit moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet gebruikt, wordt uw DMARC-beleid toegepast op 100% van de berichten die worden gestuurd vanuit uw domein. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de waarde bij pct in het DMARC-beleid 100 zijn. BIMI ondersteunt geen DMARC-beleid waarvoor de waarde bij pct minder is dan 100. |
rua |
De tag rua is optioneel, maar Google raadt u aan deze altijd op te nemen in uw DMARC-record. DMARC-rapporten naar een e-mailadres sturen. Het e-mailadres moet mailto: bevatten.
|
ruf |
(Niet ondersteund) Gmail ondersteunt niet de tag ruf, die wordt gebruikt om foutrapporten te sturen. Foutrapporten worden ook wel forensische rapporten genoemd. |
sp | (Optioneel) Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen.
Als u deze optie niet gebruikt in de record, nemen subdomeinen het DMARC-beleid over dat u instelt voor het bovenliggende domein. |
adkim | (Optioneel) Hiermee stelt u het afstemmingsbeleid voor DKIM in, waarmee u bepaalt hoe exact berichtgegevens overeen moeten komen met DKIM-handtekeningen. Meer informatie over hoe afstemming werkt (verderop op deze pagina).
|
aspf | (Optioneel) Hiermee stelt u het afstemmingsbeleid voor SPF in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen. Meer informatie over hoe afstemming werkt (verderop op deze pagina).
|
DMARC-afstemming
DMARC keurt berichten goed of weigert deze gebaseerd op hoe goed het domein in de Van-koptekst overeenkomt met het verzenddomein, zoals bepaald door SPF of DKIM. Dit wordt afstemming genoemd.
U kunt kiezen uit 2 afstemmingsmodussen: streng of minder streng. U stelt de uitlijningsmodus voor SPF en DKIM in de DMARC-record in met de tags voor DMARC-records aspf en adkim.
In bepaalde gevallen raadt Google u aan strenge uitlijning te kiezen voor extra bescherming tegen spoofing:
- E-mails die namens uw domein worden gestuurd, komen uit een subdomein waar u geen controle over heeft.
- U heeft subdomeinen die worden beheerd door een andere entiteit.
Een bericht moet door minstens één van deze controles komen om te slagen voor de DMARC-verificatie:
- SPF-verificatie en SPF-afstemming
- DKIM-verificatie en DKIM-afstemming
Een bericht slaagt niet voor de DMARC-verificatie als het niet door allebei deze controles komt:
- SPF (of SPF-afstemming)
- DKIM (of DKIM-uitlijning)
Stap 4: Voeg uw DMARC-record toe aan uw domein
Belangrijk: Gebruik de helpdocumentatie over DMARC van uw domeinhost voor deze stap. De stappen om een DMARC-record toe te voegen, verschillen per domeinhost.
Een record toevoegen of updaten
Belangrijk: Stel DKIM en SPF in voordat u DMARC instelt. DKIM en SPF moeten berichten al minstens 48 uur verifiëren voordat u DMARC aanzet.
- Houd het tekstbestand of de regel voor uw DMARC-record bij de hand.
- Log in bij uw domeinhost. Dit is meestal de plek waar u uw domeinnaam heeft gekocht. Als u niet zeker weet wie uw domeinhost is, gaat u naar Uw domeinregistreerder identificeren.
- Ga naar de pagina waar u de DNS TXT-records voor uw domein kunt updaten. Raadpleeg de documentatie van uw domein als u deze pagina niet kunt vinden.
-
Voeg de TXT-record toe of update deze met de volgende informatie (raadpleeg de documentatie voor uw domein):
Veldnaam In te voeren waarde Type Het recordtype is TXT. Host (naam, hostnaam, alias) Deze waarde moet _dmarc.voorbeeld.com zijn (vervang voorbeeld.com door je domeinnaam). Waarde De tekenreeks waaruit de TXT-record bestaat. Bijvoorbeeld: v=DMARC1; p=none; rua=mailto:postmaster@voorbeeld.com, mailto:dmarc@voorbeeld.com; pct=100; adkim=s; aspf=s. Ga naar Bepaal uw DMARC-record (eerder op deze pagina) voor meer informatie. Opmerking: Sommige domeinhosts voegen de domeinnaam automatisch toe. Nadat u de TXT-record heeft toegevoegd of geüpdatet, controleert u de domeinnaam in de DMARC-record om na te gaan of die de juiste indeling heeft. - Sla de wijzigingen op.
- Als u DMARC instelt voor meer dan één domein, voert u deze stappen uit voor elk domein. Voor elk domein kunnen andere beleidsregels en verschillende rapportopties gelden, zoals opgegeven in de record.
- Gebruik een van de vele kosteloze tools op internet om na te gaan of DMARC is ingesteld voor uw domein.
Gerelateerde onderwerpen
- Problemen met DMARC oplossen
- Aanbevolen voor uitrol van DMARC
- DMARC uitzetten
- Over DMARC-rapporten
- Over TXT-records
- DMARC RFC 7489
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.