← Kennisbank

Wat is DMARC?

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) is de slagboom die SPF en DKIM combineert. Het vertelt ontvangende mailservers wat ze moeten doen met mail die de authenticatiecheck niet doorstaat — én het stuurt jou rapporten terug.

In het kort

SPF en DKIM bewijzen dat een mail van jouw domein komt, maar zonder DMARC weten ontvangers niet wat ze met een fail moeten doen. DMARC vult dat gat in: jij bepaalt de policy.

Daarnaast krijg je aggregate rapporten (XML met statistieken) en optioneel forensic rapporten (kopieën van failende mails). Zo zie je precies wie er namens jou verstuurt — legitiem of niet.

Hoe werkt DMARC?

Een mail "passt" DMARC als minstens één van deze twee klopt:

  1. SPF passt én het verzendende domein aligneert met het From:-domein.
  2. DKIM passt én de ondertekening aligneert met het From:-domein.

Failt allebei? Dan wordt jouw DMARC-policy toegepast: none (alleen rapporteren), quarantine (naar spam) of reject (weigeren).

Hoe ziet een DMARC-record eruit?

Een DMARC-record staat altijd op de subdomain _dmarc van je domein. Een goed startpunt voor monitoring: 

_dmarc.jouwbedrijf.nl.  IN  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@jouwbedrijf.nl; fo=1"
De belangrijkste tags
TagBetekenis
v=DMARC1Versie (er is maar één).
p=noneWat te doen bij fail op het hoofd-domein: none, quarantine of reject.
sp=...Policy voor subdomeinen (gebruik reject als je geen mail vanaf subdomeinen verstuurt).
rua=mailto:...Adres voor aggregate rapporten (dagelijkse XML).
ruf=mailto:...Adres voor forensic rapporten (per-mail failures, optioneel).
pct=100Percentage mails waarop de policy van toepassing is. Handig om geleidelijk uit te rollen.
adkim=s / rDKIM alignment: strict of relaxed (default).
aspf=s / rSPF alignment: strict of relaxed (default).
fo=1Stuur forensic rapport als één van de checks (SPF/DKIM) faalt.

Geleidelijk naar reject

Een veilige uitrol verloopt in stappen:

Stap 1
p=none
Alleen rapporteren — geen impact
Stap 2
p=quarantine
Falende mail naar spam
Stap 3
p=reject
Volledig blokkeren

Reken op enkele weken per stap, afhankelijk van hoeveel verzenders je hebt. Onze DMARC policy gids gaat dieper op de uitrol in.

Veelgemaakte fouten

  • Direct op reject zetten. Zonder eerst SPF + DKIM goed te krijgen blokkeer je je eigen legitieme mail.
  • Geen rua. Zonder rapport-adres mis je het grootste voordeel van DMARC — inzicht in wie er namens je verstuurt.
  • Alignment vergeten. SPF kan passen terwijl het verzendende domein iets anders is dan je From-adres. Dan failt DMARC alsnog.
  • Subdomeinen niet afdekken. Spoofers gebruiken graag marketing.jouwbedrijf.nl of een niet-bestaand subdomain. Zet sp=reject als je geen mail vanaf subdomeinen verstuurt.

Waarom is DMARC belangrijk?

  • Stopt phishers die jouw domeinnaam misbruiken.
  • Verbetert je deliverability — Gmail en Outlook geven DMARC-passende mail voorrang.
  • Sinds februari 2024 verplicht voor bulkverzenders naar Gmail en Yahoo.
  • Vereiste voor BIMI — je logo naast de afzender in inboxes.
Controleer je DMARC

Postwachter checkt de DMARC-record, alignment met SPF en DKIM, en analyseert binnenkomende aggregate-rapporten voor je.

Scan mijn domein
Lees ook