DMARC instellen

DMARC laat ontvangstmailservers weten welke actie ze moeten uitvoeren op berichten van u die niet door de SPF- of DKIM-verificatie komen. De actieopties zijn Weigeren, Quarantaine of Bericht bezorgen. U kunt ook rapporten krijgen waarmee u mogelijke verificatieproblemen en schadelijke activiteiten kunt herkennen voor berichten die vanuit uw domein worden gestuurd. Stel DMARC in door een DMARC DNS TXT-record (DMARC-record) aan uw domein toe te voegen.

Een DMARC-record is een tekstregel die u aan uw domein toevoegt volgens de instructies van uw domeinprovider. Dit is een voorbeeld van een DMARC-record:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Als servers e-mailberichten van je domein ontvangen die niet door de SPF- of DKIM-controle komen, controleren ze uw DMARC-record om te bepalen welke actie ze moeten uitvoeren op de berichten: weigeren, in quarantaine plaatsen of normaal bezorgen.

What is DMARC?

DMARC helpt gebruikers te beschermen tegen vervalste e-mailberichten
en laat u berichten beheren die niet door de SPF- of DKIM-controle komen.

Op deze pagina

Voordat u begint

  • U moet SPF en/of DKIM aanzetten voor uw domein voordat u DMARC kunt gebruiken. Als u SPF en/of DKIM niet heeft ingesteld, gaat u naar Spoofing, phishing en spam voorkomen.
    • Als u SPF en/of DKIM niet instelt voordat u DMARC inschakelt, leidt dit in veel gevallen tot bezorgingsproblemen voor berichten die vanuit uw domein worden gestuurd.
    • Wacht 48 uur nadat u SPF en/of DKIM heeft ingesteld voordat u DMARC instelt.
  • Gebruik een van de vele kosteloze tools op internet om na te gaan of DMARC al is ingesteld voor uw domein. Als DMARC al is ingesteld, controleert u uw DMARC-rapporten om na te gaan of DMARC berichten effectief verifieert en of ze worden bezorgd zoals verwacht.
  • U hoeft niets te doen in de Google Beheerdersconsole om DMARC in te stellen. Bepaal in plaats daarvan uw DMARC-record via de instructies op deze pagina. Log daarna in bij uw domeinhost en voeg de DMARC-record toe volgens de DMARC-instructies van de domeinhost.

Stap 1: Stel een groep of mailbox in voor rapporten

Het aantal DMARC-rapporten dat u per e-mail krijgt, kan verschillen. Het hangt af van hoeveel e-mails er vanuit uw domein worden gestuurd en naar hoeveel domeinen u e-mails stuurt. U kunt dus elke dag veel rapporten krijgen. Grote organisaties kunnen honderden of zelfs duizenden rapporten per dag krijgen. Google raadt u aan een groep of een speciale mailbox te maken voor ontvangst en beheer van DMARC-rapporten.

Belangrijk:  Het e-mailadres voor rapporten bevindt zich meestal in hetzelfde domein als het domein dat uw DMARC-record host. Als het e-mailadres een ander domein heeft, moet u een DNS-record toevoegen aan het andere domein. Ga naar Rapporten sturen naar een e-mailadres in een ander domein op de pagina DMARC-rapporten.

Stap 2: Zorg dat e-mails van derden worden geverifieerd

Als u een service van derden gebruikt om e-mails te sturen voor uw organisatie, moet u zorgen dat berichten die door services van derden worden gestuurd, worden geverifieerd en door SPF- en DKIM-controles komen:

  • Neem contact op met uw externe provider om te controleren of SPF en DKIM correct zijn ingesteld.
  • Zorg dat het domein van de envelopafzender van de provider hetzelfde is als uw domein. Voeg het IP-adres van de verzendservers van de provider toe aan de SPF-record van uw domein.
  • Stuur uitgaande e-mails van de provider via Google met de instelling SMTP-relayservice.

Stap 3: Bepaal uw DMARC-record

U geeft DMARC-beleid op via een regel met tekstwaarden die een DMARC-record genoemd wordt. In deze record wordt het volgende gedefinieerd:

  • Hoe streng DMARC berichten moet controleren
  • Aanbevolen acties voor de ontvangstserver, voor als berichten niet door de verificatiecontroles komen

Voorbeeld van een DMARC-record (vervang example.com door uw domein):

v=DMARC1; p=reject; rua=mailto:postmaster@voorbeeld.com, mailto:dmarc@voorbeeld.com; pct=100; adkim=s; aspf=s.

De tags v en p moeten als eerste worden vermeld. Andere tags kunnen in willekeurige volgorde staan.

Als u DMARC nog maar net gebruikt, raden we u aan de beleidsoptie (p) in te stellen op none. Naarmate u beter begrijpt hoe berichten uit uw domein worden geverifieerd door ontvangstservers, kunt u het beleid updaten. Wijzig in de loop van de tijd het beleid voor de ontvangstserver naar quarantine (or reject). Ga naar Aanbevolen DMARC-uitrol.

Definities en waarden van DMARC-recordtags

Tag Beschrijving en waarden
v

(Vereist) DMARC-versie. Moet DMARC1 zijn.

p (Vereist) Geeft aan de ontvangende e-mailserver door wat er moet gebeuren met berichten die niet door de verificatiecontrole komen.
  • none: Geen actie uitvoeren op het bericht en het bezorgen bij de bedoelde ontvanger. Berichten in een dagelijks rapport registreren. Het rapport wordt gestuurd naar het e-mailadres dat is opgegeven bij de optie rua in de record.
  • quarantine— De berichten markeren als spam en ze in de map Spam van de ontvanger plaatsen. Ontvangers kunnen spamberichten controleren om legitieme berichten te identificeren.
  • reject— Het bericht weigeren. Als u deze optie instelt, stuurt de ontvangstserver meestal een bouncebericht naar de verzendserver.

Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none.

pct

De tag pct is optioneel, maar Google raadt u aan deze op te nemen in uw DMARC-record als u DMARC uitrolt, zodat u het percentage e-mails kunt beheren waarop uw DMARC-beleid van toepassing is.

Hiermee geeft u het percentage ongeverifieerde berichten op waarvoor het DMARC-beleid geldt. Als u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van de berichten. Naarmate meer berichten uit uw domein door de verificatiecontrole van ontvangstservers komen, kunt u een hoger percentage in de record zetten, totdat 100 procent is bereikt.

Dit moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet gebruikt, wordt uw DMARC-beleid toegepast op 100% van de berichten die worden gestuurd vanuit uw domein.

Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de waarde bij pct in het DMARC-beleid 100 zijn. BIMI ondersteunt geen DMARC-beleid waarvoor de waarde bij pct minder is dan 100.

rua

De tag rua is optioneel, maar Google raadt u aan deze altijd op te nemen in uw DMARC-record.

DMARC-rapporten naar een e-mailadres sturen. Het e-mailadres moet mailto: bevatten.
Bijvoorbeeld: mailto:dmarc-reports@voorbeeld.com (vervang voorbeeld.com door je domein).

  • Als u DMARC-rapporten naar meerdere e-mailadressen wilt sturen, scheidt u elk e-mailadres door een komma en voegt u het voorvoegsel mailto: toe vóór elk adres. Bijvoorbeeld: mailto:dmarc-rapporten@voorbeeld.com, mailto:dmarc-rapporten@voorbeeld.com (vervang mailto:dmarc-rapporten@voorbeeld.com door je domein).
  • Deze optie kan leiden tot een groot aantal rapportmails. We raden u af uw eigen e-mailadres te gebruiken. Gebruik in plaats daarvan een speciale mailbox, een groep of een service van derden die is gespecialiseerd in DMARC-rapporten.
  • Als u DMARC-rapporten wilt sturen naar een e-mailadres in een ander domein dan het domein dat uw DMARC-record host, voegt u een TXT-record toe aan de DNS van het e-maildomein. Ga naar de pagina DMARC-rapporten voor meer informatie over rapporten sturen naar een e-mailadres in een ander domein.
ruf

(Niet ondersteund) Gmail ondersteunt niet de tag ruf, die wordt gebruikt om foutrapporten te sturen. Foutrapporten worden ook wel forensische rapporten genoemd.

sp (Optioneel) Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineDe berichten markeren als spam en ze in de map Spam van de ontvanger plaatsen. Ontvangers kunnen spamberichten controleren om legitieme berichten te identificeren.
  • rejectHet bericht weigeren. Als u deze optie instelt, stuurt de ontvangstserver als het goed is een bouncebericht naar de verzendserver.

Als u deze optie niet gebruikt in de record, nemen subdomeinen het DMARC-beleid over dat u instelt voor het bovenliggende domein.

adkim (Optioneel) Hiermee stelt u het afstemmingsbeleid voor DKIM in, waarmee u bepaalt hoe exact berichtgegevens overeen moeten komen met DKIM-handtekeningen. Meer informatie over hoe afstemming werkt (verderop op deze pagina).
  • sStrenge afstemming De domeinnaam van de afzender moet exact overeenkomen met de betreffende d=domainname in de DKIM-berichtkoppen.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Optioneel) Hiermee stelt u het afstemmingsbeleid voor SPF in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen. Meer informatie over hoe afstemming werkt (verderop op deze pagina).
  • s Strenge afstemming De kop Van: moet precies overeenkomen met de domeinnaam in de opdracht SMTP MAIL FROM.
  • rMinder strenge afstemming (standaard). Gedeeltelijke overeenkomsten zijn toegestaan. Elk geldig subdomein van de domeinnaam wordt geaccepteerd.

DMARC-afstemming

DMARC keurt berichten goed of weigert deze gebaseerd op hoe goed het domein in de Van-koptekst overeenkomt met het verzenddomein, zoals bepaald door SPF of DKIM. Dit wordt afstemming genoemd.

U kunt kiezen uit 2 afstemmingsmodussen: streng of minder streng. U stelt de uitlijningsmodus voor SPF en DKIM in de DMARC-record in met de tags voor DMARC-records aspf en adkim.

Verificatiemethode Strenge afstemming Minder strenge afstemming
SPF Een exacte overeenkomst tussen het domein in het adres van de envelopafzender (ook wel Return-Path of bounceadres genoemd) en het domein in het adres in de Van-koptekst. Het domein in het adres in de Van-koptekst moet overeenkomen met of een subdomein zijn van het domein in het adres van de envelopafzender (ook wel Return-Path of bounceadres genoemd).
DKIM Een exacte overeenkomst tussen het relevante DKIM-domein en het domein in de Van-koptekst. Het domein in het adres in de Van-koptekst moet overeenkomen met of een subdomein zijn van het domein dat is opgegeven in de tag d= in de DKIM-handtekening.

In bepaalde gevallen raadt Google u aan strenge uitlijning te kiezen voor extra bescherming tegen spoofing:

  • E-mails die namens uw domein worden gestuurd, komen uit een subdomein waar u geen controle over heeft.
  • U heeft subdomeinen die worden beheerd door een andere entiteit.
Belangrijk: Minder strenge afstemming biedt meestal genoeg bescherming tegen spoofing. Als u strenge afstemming instelt, kunnen berichten uit gekoppelde subdomeinen worden geweigerd of in de map Spam worden geplaatst.

Een bericht moet door minstens één van deze controles komen om te slagen voor de DMARC-verificatie:

  • SPF-verificatie en SPF-afstemming
  • DKIM-verificatie en DKIM-afstemming

Een bericht slaagt niet voor de DMARC-verificatie als het niet door allebei deze controles komt:

  • SPF (of SPF-afstemming)
  • DKIM (of DKIM-uitlijning)

Stap 4: Voeg uw DMARC-record toe aan uw domein

Belangrijk: Gebruik de helpdocumentatie over DMARC van uw domeinhost voor deze stap. De stappen om een DMARC-record toe te voegen, verschillen per domeinhost.

Een record toevoegen of updaten

Belangrijk: Stel DKIM en SPF in voordat u DMARC instelt. DKIM en SPF moeten berichten al minstens 48 uur verifiëren voordat u DMARC aanzet.

  1. Houd het tekstbestand of de regel voor uw DMARC-record bij de hand.
  2. Log in bij uw domeinhost. Dit is meestal de plek waar u uw domeinnaam heeft gekocht. Als u niet zeker weet wie uw domeinhost is, gaat u naar Uw domeinregistreerder identificeren.
  3. Ga naar de pagina waar u de DNS TXT-records voor uw domein kunt updaten. Raadpleeg de documentatie van uw domein als u deze pagina niet kunt vinden.
  4. Voeg de TXT-record toe of update deze met de volgende informatie (raadpleeg de documentatie voor uw domein):

    Veldnaam In te voeren waarde
    Type Het recordtype is TXT.
    Host (naam, hostnaam, alias) Deze waarde moet _dmarc.voorbeeld.com zijn (vervang voorbeeld.com door je domeinnaam).
    Waarde De tekenreeks waaruit de TXT-record bestaat. Bijvoorbeeld: v=DMARC1; p=none; rua=mailto:postmaster@voorbeeld.com, mailto:dmarc@voorbeeld.com; pct=100; adkim=s; aspf=s. Ga naar Bepaal uw DMARC-record (eerder op deze pagina) voor meer informatie.
    Opmerking: Sommige domeinhosts voegen de domeinnaam automatisch toe. Nadat u de TXT-record heeft toegevoegd of geüpdatet, controleert u de domeinnaam in de DMARC-record om na te gaan of die de juiste indeling heeft.
  5. Sla de wijzigingen op.
  6. Als u DMARC instelt voor meer dan één domein, voert u deze stappen uit voor elk domein. Voor elk domein kunnen andere beleidsregels en verschillende rapportopties gelden, zoals opgegeven in de record.
  7. Gebruik een van de vele kosteloze tools op internet om na te gaan of DMARC is ingesteld voor uw domein.

Gerelateerde onderwerpen


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu
651982101078039575
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false
false
false