DMARC instellen: de complete gids voor 2026
DMARC beschermt je domein tegen misbruik door e-mailproviders te vertellen wat ze moeten doen als iemand niet kan bewijzen dat ze geautoriseerd zijn om namens jouw domein te mailen. Het is de belangrijkste stap die je kunt zetten voor je e-mailbeveiliging.
In deze gids doorlopen we het complete proces: van je eerste DMARC record tot volledige handhaving. Geen vaag advies, maar concrete stappen die je direct kunt uitvoeren.
Stap 1: Controleer je SPF en DKIM
DMARC bouwt voort op twee oudere protocollen: SPF en DKIM. Voordat je DMARC instelt, moet je zorgen dat deze correct werken.
- SPF: controleer dat je een geldig SPF record hebt met alle diensten die namens jouw domein e-mail versturen. Let op de 10 DNS lookup limiet.
- DKIM: zorg dat elke dienst die e-mail verstuurt als jouw domein, DKIM signing heeft ingesteld. De meeste providers (Google Workspace, Microsoft 365, Mailchimp, etc.) ondersteunen dit.
Stap 2: Publiceer je eerste DMARC record
Je DMARC record is een DNS TXT record op _dmarc.jouwdomein.nl. Begin altijd met p=none (alleen monitoren):
De rua tag is cruciaal: dit is het adres waar aggregate rapporten naartoe worden gestuurd. Zonder rua heb je geen zicht op wat er gebeurt.
Als je MailShield gebruikt, geven wij je een specifiek rua adres dat direct naar ons verwerkingssysteem wijst. Zo hoef je de XML rapporten niet zelf te verwerken.
Stap 3: Monitor en analyseer (2-4 weken)
Met p=none verandert er niets aan je mailbezorging. Maar je ontvangt nu rapporten van elke e-mailprovider die mail van jouw domein verwerkt. In deze fase doe je het volgende:
- Identificeer alle legitieme bronnen: je eigen mailserver, marketing tools, CRM, helpdesk, facturatiesoftware
- Controleer of elke bron SPF en DKIM correct heeft ingesteld
- Los alignment problemen op: het From-domein moet overeenkomen met het SPF of DKIM domein
- Zoek onbekende IP-adressen op: zijn dit vergeten diensten of ongeautoriseerde verzenders?
Stap 4: Schakel over naar quarantine
Als je rapporten laten zien dat alle legitieme bronnen correct authenticeren, kun je naar quarantine. Dit stuurt falende e-mails naar de spammap in plaats van ze te blokkeren.
De pct=25 tag past het beleid toe op slechts 25% van de falende berichten. Monitor 1-2 weken, verhoog naar 50%, dan 100%. Als er geen legitieme mail in de spammap belandt, ben je klaar voor de volgende stap.
Stap 5: Activeer reject
De laatste stap: p=reject. Alle e-mail die niet door de DMARC controle komt, wordt geblokkeerd door ontvangende servers.
Dit is de sterkste bescherming tegen domein-impersonatie. Niemand kan meer e-mail versturen als jouw domein zonder correcte authenticatie.
Blijf na het activeren van reject je rapporten monitoren. Nieuwe diensten, configuratiewijzigingen of fouten kunnen ervoor zorgen dat legitieme mail begint te falen. Continue monitoring is de enige manier om dit snel te signaleren.
Veelgemaakte fouten
We zien deze fouten bij honderden domeinen:
- Direct naar reject springen: dit blokkeert e-mail van diensten die je bent vergeten. Altijd eerst monitoren.
- Geen rapporten verwerken: een DMARC record publiceren zonder de rapporten te lezen is zinloos. De rapporten zijn het hele punt.
- Subdomeinen vergeten: zonder sp= tag erft je subdomein het beleid van je hoofddomein niet altijd correct. Stel apart beleid in voor subdomeinen.
- Third-party senders negeren: je marketing platform, CRM en helpdesk moeten allemaal correct geconfigureerd zijn voor DKIM en SPF alignment.
Aan de slag
Begin vandaag nog met DMARC. Voeg je domein toe aan MailShield en je krijgt binnen een minuut een compleet overzicht van je huidige status. Wij begeleiden je stap voor stap van p=none naar p=reject, zonder risico voor je mailbezorging.