{"id":67245,"date":"2024-01-10T11:03:55","date_gmt":"2024-01-10T10:03:55","guid":{"rendered":"https:\/\/spotler.com\/guides\/de-ultieme-gids-voor-dmarc"},"modified":"2026-04-07T12:07:55","modified_gmt":"2026-04-07T10:07:55","slug":"de-ultieme-gids-voor-dmarc","status":"publish","type":"guides","link":"https:\/\/spotler.com\/nl-nl\/guides\/de-ultieme-gids-voor-dmarc","title":{"rendered":"De ultieme gids voor DMARC"},"content":{"rendered":"<div class=\"wp-block-cover\"><img loading=\"lazy\" decoding=\"async\" width=\"770\" height=\"400\" class=\"wp-block-cover__image-background wp-image-67782\" alt=\"\" src=\"https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/dmarc.webp\" data-object-fit=\"cover\" srcset=\"https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/dmarc.webp 770w, https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/dmarc-300x156.webp 300w, https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/dmarc-768x399.webp 768w, https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/dmarc-767x398.webp 767w, https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/dmarc-366x190.webp 366w\" sizes=\"auto, (max-width: 770px) 100vw, 770px\" \/><span aria-hidden=\"true\" class=\"wp-block-cover__background has-black-background-color has-background-dim-20 has-background-dim\"><\/span><\/p>\n<div class=\"wp-block-cover__inner-container is-layout-constrained wp-block-cover-is-layout-constrained\">\n<h1 class=\"wp-block-heading has-text-align-center has-pale-pink-color has-text-color has-link-color has-large-font-size wp-elements-f37e9ab0c1d3d694c5a4b9943449a973\">De ultieme gids voor DMARC<\/h1>\n<\/div>\n<\/div>\n<p><strong>Met een DMARC record geef je als e\u2011mailverzender aan dat je beveiliging van je e\u2011maildomein serieus neemt. Het is ontworpen om jouw e\u2011maildomeinen te beschermen tegen spoofing. Spoofing is een methode die internetcriminelen gebruiken om zich voor te doen als een legitieme verzender en valse e\u2011mails te sturen. Het uit zich dan ook meestal in spam of in phishing, waarmee criminelen proberen vertrouwelijke informatie of geld te ontfutselen. Door DMARC goed in te stellen, ben je beter beschermd tegen spoofing. Toch blijft het belangrijk om alert te zijn, want DMARC beschermt niet tegen alles.<\/strong><\/p>\n<div style=\"height:32px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<figure class=\"wp-block-embed is-type-video is-provider-vimeo wp-block-embed-vimeo wp-embed-aspect-16-9 wp-has-aspect-ratio\">\n<div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"DMARC (Fredrik Poller)\" src=\"https:\/\/player.vimeo.com\/video\/899788496?dnt=1&amp;app_id=122963\" width=\"500\" height=\"281\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\"><\/iframe>\n<\/div>\n<\/figure>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"functie\">De functie van DMARC<\/h2>\n<p>Met DMARC haal je alles uit je SPF en\/of DKIM record. Met deze twee methodes beperk je misbruik van je domeinen. DMARC bepaalt vervolgens wat een ontvangende mailserver mag doen met een e\u2011mail waarbij \u00e9\u00e9n van de twee records niet klopt.<\/p>\n<p>Bij het ontvangen van een e\u2011mail controleert de ontvangende mailserver namelijk of deze (\u00e9\u00e9n of beide) records in orde zijn, alvorens de e\u2011mail daadwerkelijk in de inbox belandt. Het voordeel dat DMARC hier biedt is dat het vervolgens aangeeft wat er met de e\u2011mail mag gebeuren als een controle faalt.<\/p>\n<p>DMARC geeft de ontvangende mailserver dus meer zekerheid en laat het belanden in de inbox niet meer over aan giswerk door die server. Het biedt jou als verzender meer zekerheid over je deliverability en geeft je inzicht in je e\u2011mailstromen.<\/p>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"hoewerkthet\">Hoe werkt het?<\/h2>\n<p>Bij het verzenden van je e\u2011mail, wordt vanuit jouw (verzendende) mailserver gecommuniceerd richting de ontvangende mailserver. Deze ontvangende mailserver bepaalt op basis van jouw \u2018From\u2019\u2011domein of je e\u2011mail doorgelaten mag gaan worden. Dat gebeurt als volgt:<\/p>\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" src=\"https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/63612f53aee0d3ce24f50aad_5d949aea73644d77099c5250_artikel_dmarc_stappen1-1024x282.jpeg\" alt=\"\" class=\"wp-image-17268\"\/><\/figure>\n<p>Bij het beoordelen van de e\u2011mail, checkt de ontvangende mailserver middels de public key van het domein of SPF en DKIM goed geregeld is. Daarnaast checkt het of er een&nbsp;DMARC policy&nbsp;aanwezig is. Die staat opgenomen in het DMARC record, waarbij de&nbsp;<em>p=<\/em>&nbsp;het beleid bepaald omtrent e\u2011mails die niet voldoen.<\/p>\n<p>De policy kan op drie manieren ingesteld worden:&nbsp;<em>\u2018none\u2019<\/em>,&nbsp;<em>\u2018quarantine<\/em>\u2019 en&nbsp;<em>\u2018reject\u2019<\/em>. Bij none laat de domeineigenaar weten dat de mailserver niets hoeft te doen met het gefaalde bericht, quarantaine zorgt ervoor dat het bericht aangemerkt wordt en reject elimineert het gehele bericht.<\/p>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"bescherming\">Waar beschermt DMARC tegen?<\/h2>\n<p>DMARC geeft dus, kort gezegd, bij de ontvangende mailserver aan dat de e\u2011mail die jij verstuurt &#8216;goed&#8217; is, en die van de phisher &#8216;fout&#8217;. Hierdoor weet de mailserver wat hij vervolgens met die specifieke e\u2011mail moet gaan doen. &nbsp;Zo elimineert het fout e\u2011mailverkeer en maakt het een einde aan misbruik van jouw domein.<\/p>\n<p>Dat is echter ook waar DMARC stopt met functioneren. Het is zo ontworpen dat het een specifiek domein beschermt, maar niet de nevendomeinen of de displaynaam. Hierdoor is het nog steeds mogelijk om in plaats vanuit het legitieme&nbsp;<em>example.org<\/em>, vanuit een foutief&nbsp;<em>example.net<\/em>&nbsp;of&nbsp;<em>exampl3.org<\/em>&nbsp;te e\u2011mailen.<\/p>\n<p>Daarnaast kan ook met de displaynaam (bijvoorbeeld: &#8220;Tom van Spotler&#8221;) gespeeld worden. Die is namelijk niet per s\u00e9 verbonden aan het verzendende domein. Op desktop\u2011applicaties is dat nog niet een enorm probleem, omdat hier beide worden weergegeven. Verschillende mobiele apparaten krijgen in hun mailbox echter alleen de displaynaam te zien, waardoor dat op korte termijn het enige referentiemateriaal is voor de ontvanger.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-d4609bda2996831ee7e602b3acebd052\">Bescherming van de klanten<\/h4>\n<p>Door bovenstaande omwegen wordt het voor DMARC vrij lastig gemaakt om alle phishing vanuit &#8216;jouw&#8217; domein tegen te gaan. Daarom is het raadzaam om, n\u00e1\u00e1st een&nbsp;goede implementatie van DMARC, klanten te informeren over de e\u2011mailadressen die jij gebruikt om te e\u2011mailen. Zo weet een klant zeker welke e\u2011mail w\u00e8l van jou komt en welke niet. Of een klant daadwerkelijk steeds zijn of haar e\u2011mails nauwkeurig checkt op legitimiteit blijft dan nog onzeker, maar door te informeren geef je in ieder geval aan dat je de veiligheid van je klanten (en je eigen domein) zeer serieus neemt.<\/p>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"effectiviteit\">De effectiviteit<\/h2>\n<p>Allereerst is DMARC pas effectief als de ontvanger elk bericht controleert en de verzender&nbsp;de juiste instellingen&nbsp;hanteert. Steeds meer providers doen dit al, waardoor met name onder consumenten een groot percentage ontvangers al bescherming geniet. Wanneer DMARC aan beide kanten wordt ondersteund, kun je als ontvanger de echtheid van een e\u2011mail bepalen door het afzender adres goed te controleren. Klopt het domein van de afzender precies, dan kun je ook zeker zijn van een legitiem bericht.<\/p>\n<p>Voor alle betrokken partijen is het belang daarom groot om zo snel mogelijk alle e\u2011mailcommunicatie&nbsp;<em>DMARC compliant<\/em>&nbsp;te maken. Dit vereist echter wel een actieve aanpak, waarbij ook bestaande berichtstromen tegen het licht gehouden moeten worden. In Nederland maken veel banken, financiele instellingen en overheden al gebruik van DMARC of werken aan de implementatie.<\/p>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"onderdelen\">De onderdelen van een DMARC record<\/h2>\n<p>Wanneer je het domein&nbsp;<em>flowmailer.com<\/em>&nbsp;door een&nbsp;DMARC record check&nbsp;heen haalt, zul je ongeveer het volgende te zien krijgen:<\/p>\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/635a665659e6bc2fe92af8f2_5d94a71b951e6abfe65ec0a4_artikel_dmarc_onderdelen1.jpeg\" alt=\"\" class=\"wp-image-17269\"\/><\/figure>\n<p><strong>v=DMARC1; p=reject; rua=mailto:<em>e\u2011mailadres<\/em>; ruf=mailto:<em>e\u2011mailadres<\/em>; fo=1<\/strong><\/p>\n<p>Zoals je ziet bestaat die uit een vijftal onderdelen, waarop&nbsp;<a href=\"https:\/\/flowmailer.com\/tools\/dmarc-record-check\" id=\"\" target=\"_blank\" rel=\"noopener\">gecheckt<\/a>&nbsp;wordt:<\/p>\n<ol class=\"wp-block-list\">\n<li>v=DMARC1<\/li>\n<li>p=reject<\/li>\n<li>rua=mailto:<\/li>\n<li>ruf=mailto:<\/li>\n<li>fo=1<\/li>\n<\/ol>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-499c29ab84c82816e0bd0e181e64ddea\" id=\"h-v-dmarc1\">&#8220;v=DMARC1&#8221;<\/h4>\n<p>De v\u2011tag geeft aan waar het record over gaat. Het is daarbij altijd belangrijk om deze als eerste te vermelden. De v\u2011tag wordt ook gebruikt voor SPF, waardoor het voor je eigen DNS\u2011instellingen alsmede de ontvangende mailserver van belang is om te weten.<\/p>\n<h4 class=\"wp-block-heading\" id=\"h-p-reject\">&#8220;p=reject&#8221;<\/h4>\n<p>De p\u2011tag bepaalt het beleid (&#8220;policy&#8221;) dat de ontvangende mailserver mag uitvoeren. Er zijn hiervoor drie verschillende mogelijkheden. Je kunt je policy op&nbsp;<em>none<\/em>,&nbsp;<em>quarantine<\/em>&nbsp;en&nbsp;<em>reject<\/em>&nbsp;zetten. Alle drie laten de ontvangende mailserver iets doen met berichten die zich lijken voor te doen als jouw domein. Wij raden een reject\u2011policy aan, om te garanderen dat niemand anders uit jouw naam kan en mag e\u2011mailen.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-1d2f3008429f026fd7cb82ff80c7fb3f\" id=\"h-rua-mailto-amp-ruf-mailto\">&#8220;rua=mailto:&#8221; &amp; &#8220;ruf=mailto:&#8221;<\/h4>\n<p>Zowel&nbsp;<em>rua<\/em>&nbsp;als&nbsp;<em>ruf<\/em>&nbsp;zijn rapportage\u2011tags. Met de rua-tag ontvang je zogeheten &#8216;Aggregated Data Reporting&#8217;, welke data afgeven over welke e\u2011mails w\u00e8l en niet geauthentiseerd zijn. Het geeft geen informatie over de exacte inhoud van die e\u2011mails, waar de ruf-tag wel meer inzicht in geeft.<\/p>\n<p>De ruf-tag produceert namelijk zogeheten &#8216;Forensic Data Reporting&#8217;, waarmee een domeineigenaar gedetailleerde informatie kan ontvangen over ongeauthoriseerde e\u2011mails. Hiermee wordt een rapportage geboden over de inhoud, &#8220;To&#8221;\u2011 en &#8220;From&#8221;\u2011adressen en het IP\u2011adres van de verzender.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-232dc842ed50caa393ca8b177150b9e8\" id=\"h-fo-1\">&#8220;fo=1&#8221;<\/h4>\n<p>De fo\u2011tag geeft, in navolging van de ruf\u2011tag, aan hoe dit forensische rapport er dan vervolgens uit moeten komen te zien. Voor de fo\u2011tag (Failure reporting Options) zijn vier mogelijkheden:<\/p>\n<ol class=\"wp-block-list\">\n<li><strong>(0)<\/strong>: Genereert rapportage als alle mechanismen niet door de DMARC\u2011check heen komen;<\/li>\n<li><strong>(1)<\/strong>: Genereert rapportage wanneer een enkel mechanisme al faalt;<\/li>\n<li><strong>(d)<\/strong>: Genereert enkel wanneer de DKIM\u2011signatuur niet geverifi\u00eberd kon worden;<\/li>\n<li><strong>(s)<\/strong>: Wanneer het SPF record niet geverifi\u00eberd kon worden.<\/li>\n<\/ol>\n<p>Logischerwijs is de fo\u2011tag afhankelijk van de ruf\u2011tag. Als die tag niet gedefini\u00eberd is, kan er geen rapportage worden verzonden aan een e\u2011mailadres.<\/p>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"verplicht\">Verplichte en niet verplichte onderdelen<\/h2>\n<p>In een DMARC record zijn enkel de v\u2011 en de p\u2011tag vereist. Alle andere elementen zijn optioneel. De ontvangde mailserver heeft de v\u2011 en de p\u2011tag nodig om te herkennen dat het om een DMARC\u2011record gaat \u00e8n wat hij moet doen van dit record. De rest is optioneel. Zo hoef je dus geen rapportage te ontvangen als dit niet gewenst is.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-72cc6034df69194a12ea66b747c6cc25\">Overige (optionele) onderdelen in een DMARC record<\/h4>\n<p>Er zijn, naast de al eerder genoemde onderdelen, nog een aantal optionele onderdelen in een DMARC record. Die worden hieronder kort toegelicht:<\/p>\n<ul class=\"wp-block-list\">\n<li><em>sp<\/em>: Geeft de policy weer voor subdomeinen (bijvoorbeeld: mail.flowmailer.com) &#8211; ook met none, quarantine en reject;<\/li>\n<li><em>aspf<\/em>: In welke mate SPF geauthenticeerd moet worden (s=strict)<\/li>\n<li><em>adkim<\/em>: In welke mate DKIM geauthenticeerd moet worden<\/li>\n<li><em>pct<\/em>: Het percentage van de berichten die onderhevig zijn aan filtering.<\/li>\n<\/ul>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"instellen\">Een&nbsp;DMARC record&nbsp;instellen<\/h2>\n<p>Een DMARC record instellen bestaat hoofdzakelijk uit verplichte en niet-verplichte onderdelen. Voor het functioneren van DMARC moet een ontvangende mailserver namelijk twee dingen weten:&nbsp;<strong>a)<\/strong>&nbsp;Welk type record het is en&nbsp;<strong>b)&nbsp;<\/strong>welk beleid uitgevoerd moet worden.<\/p>\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Belangrijk aan een record is dat het hoofdlettergevoelig is \u00e9n dat spati\u00ebring soms w\u00e8l en soms niet is toegestaan. Let dus goed op waar deze regels gelden!<\/p>\n<\/blockquote>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-3c4af73723c2e3a52bfc209a10b0053d\" id=\"h-instellen-van-verplichte-onderdelen-nbsp-in-het-dmarc-record\">Instellen van verplichte onderdelen&nbsp;in het DMARC record<\/h4>\n<p>Aan het begin van je nieuwe DMARC record komt altijd de versie van het record te staan. In het record wordt dat momenteel genoteerd als&nbsp;<em>v=DMARC1<\/em>. We gebruiken namelijk de eerste versie van DMARC. Dit verplichte onderdeel moet bovendien vooraan staan, anders moet het&nbsp;<a href=\"https:\/\/tools.ietf.org\/html\/rfc7489#section-7.1\" target=\"_blank\" rel=\"noreferrer noopener\">volgens de specificatie<\/a>&nbsp;genegeerd worden.<\/p>\n<p>Het tweede verplichte onderdeel is zogezegd het beleid. In dit beleid geef je weer wat de ontvangende mailserver mag doen met e-mails die niet conform jouw SPF- en DKIM-record zijn.<\/p>\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Sta je aan het begin van DMARC implementatie en heb je nog geen volledig zicht op alle e-mailstromen namens jouw bedrijf? Dan is het raadzaam om te starten met een &#8216;none&#8217; beleid met rapportage. Zo krijg je langzaamaan inzicht in alle e-mailstromen, zonder dat je belangrijke e-mails verliest door een streng beleid.<\/p>\n<\/blockquote>\n<p>Wil je namelijk e-mailstromen die niet uit jouw bedrijf afkomstig zijn, maar wel uit jouw naam bij klanten aankomen, blokkeren, dan is het nodig om een strenger beleid te gaan voeren. Je moet dan weten welke adressen namens jouw naam mogen e-mailen, om vervolgens &#8216;quarantine&#8217; of &#8216;reject&#8217; als beleid toe te passen. Het eindresultaat van je beleid is dan&nbsp;<em>p=none<\/em>,&nbsp;<em>p=quarantine<\/em>of&nbsp;<em>p=reject<\/em>.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-b06735f91edde2b28595e328417d51cc\" id=\"h-niet-verplichte-nbsp-onderdelen\">Niet-verplichte&nbsp;onderdelen<\/h4>\n<p>Met enkel een&nbsp;<em>&#8220;v=DMARC1, p=none&#8221;<\/em>&nbsp;ben je er echter nog niet. Door je DMARC record op deze manier in te stellen, laat je nog steeds alles door en heb je geen inzicht in je e-mailstromen. Om inzicht te cre\u00ebren, kun je gebruikmaken van de zogeheten rua en ruf-tag. Deze zorgen er allebei voor dat de ontvangende mailserver rapportage terugstuurt over de e-mails die het ontvangt.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-33bf2e323df645b4e138a60afcd1b75a\">DMARC rapportage<\/h4>\n<p><strong>rua<\/strong>&nbsp;is generieke feedback op basis van ontvangen e-mails.&nbsp;<strong>ruf&nbsp;<\/strong>geeft voor berichten die niet door de controle heenkwamen een gedetailleerd rapport. De rapportage wordt door ontvangende mailservers teruggestuurd naar het adres dat achter deze tag wordt weergegeven. &nbsp;Het kan zo zijn dat je rua (&#8216;aggregate feedback&#8217;) en ruf (&#8216;message specific failure information&#8217;) gescheiden wilt houden, bijvoorbeeld wanneer twee verschillende partijen gebruik maken van de informatie.<\/p>\n<p>Bij gebruik van een platform zoals Flowmailer, waarbij rapportage inzichtelijk wordt gemaakt op basis van die feedback, kan het juist wenselijk zijn om beide adressen hetzelfde te houden.<\/p>\n<p>Anderzijds kan het zo zijn dat je de feedback op meerdere adressen wenst te ontvangen. In dat geval kunnen achter de tag meerdere e-mailadressen geplaatst worden, gescheiden met een komma:<\/p>\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Bijvoorbeeld:<strong>&nbsp;<\/strong>&#8220;rua=mailto:dmarc@flowmailer.net, dmarc@jouwdomein.nl&#8221;<\/p>\n<\/blockquote>\n<p>Vervolgens kun je bepalen om welke reden je forensische rapportage wilt ontvangen. Hiervoor kan de fo-tag ingezet worden. Deze tag geeft aan welk type rapportage er teruggezonden dient te worden door de mailserver. De fo-tag is niet verplicht, maar ook niet voor ontvangende mailservers. Het kan zo zijn dat je daardoor andere rapportage krijgt dan je hebt ingesteld.<\/p>\n<p>Je kunt voor de fo-tag vier typen rapportage instellen:<\/p>\n<ul class=\"wp-block-list\">\n<li><strong>0<\/strong>: Genereert een rapport wanneer alle mechanismen falen (SPF en DKIM). Dit type staat standaard ingesteld bij gebruik van de ruf-tag.<\/li>\n<li><strong>1<\/strong>: Genereert een rapport wanneer een enkel mechanisme faalt.<\/li>\n<li><strong>d<\/strong>: Alleen wanneer DKIM faalt, wordt een rapport verzonden.<\/li>\n<li><strong>s<\/strong>: Alleen wanneer SPF faalt, wordt een rapport verzonden.<\/li>\n<\/ul>\n<p><em>fo=1<\/em>&nbsp;is het meest stricte type, omdat deze alle mechanismen serieus neemt en al bij een enkele faal rapportage stuurt.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-352638f2153a4cd9fa55379edaf5dc29\">DMARC op subdomeinen instellen<\/h4>\n<p>Ook voor het te voeren beleid kun je nog een en ander opnemen in het record. Zo heb je soms te maken met subdomeinen die je anders wilt beveiligen dan het hoofddomein. Stuur je bijvoorbeeld je maandelijkse facturen via &#8216;facturen.jouwbedrijf.nl&#8217; en heb je een &#8216;reject&#8217;-policy op jouwbedrijf.nl gezet, dan kun je voor de facturen een apart beleid aanmaken. Dit doe je door middel van de&nbsp;<strong>sp<\/strong>-tag, die verder hetzelfde werkt als de p-tag. Zet je de sp-tag op none, quarantine of reject, dan weet de ontvangende mailserver dat hij iets anders moet doen met die e-mails dan met e-mails van jouw hoofddomein.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-011fee1a7d76dd817232798b446a8e6a\">Beleid op subdomein<\/h4>\n<p>Vervolgens kun je ook per mechanisme bepalen hoe streng de authenticatie is. Voor zowel SPF als DKIM kun je instellen dat de controle hierop&nbsp;<em>relaxed<\/em>&nbsp;of&nbsp;<em>strict<\/em>&nbsp;moet zijn. Strict houdt in dat authenticatie alleen lukt als de gegevens in de e-mail&nbsp;<strong>exact&nbsp;<\/strong>overeenkomen met de gegevens zoals ze zijn aangegeven in de DNS-instellingen. Dat betekent dat een subdomein niet meer uit naam van het hoofddomein kan e-mailen. Relaxed gaat daar wat soepeler mee om.<\/p>\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p><strong>Voorbeeld:&nbsp;<\/strong>als je DMARC-record het domein &#8216;jouwbedrijf.org&#8217; omvat, kun je ook e-mails versturen vanuit het subdomein &#8216;nieuws.jouwbedrijf.org&#8217;. Normaliter komen die e-mails dus perfect aan, tenzij<strong>&nbsp;<\/strong>je SPF en DKIM authenticatie op strict staat. Relaxed laat deze e-mail gewoon door.<\/p>\n<\/blockquote>\n<p>De tags die voor deze policies worden gehanteerd zijn respectievelijk&nbsp;<em>aspf<\/em>&nbsp;en&nbsp;<em>adkim<\/em>: strict(s) en relaxed(r). Zo kan je apsf=s zijn en je adkim=r.<\/p>\n<p>Een laatste instelling die je in je DMARC record kunt toepassen, is het percentage dat onderhevig moet zijn aan het beleid. Deze instelling is ontworpen om de domeineigenaar langzaamaan een reject-policy te laten implementeren, in plaats van alles of niets. Het percentage (<strong>pct<\/strong>-tag) kan logischerwijs tussen de 0 en 100 ingesteld worden, met een default op 100% (pct=100).<\/p>\n<div style=\"height:50px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<h2 class=\"wp-block-heading\" id=\"dns\">Het verwerken van het DMARC record in de DNS-instellingen<\/h2>\n<p>Om het DMARC record werkend te krijgen, zul je het record moeten verwerken in de instellingen van je Domain Name System (DNS). Dat doe je als volgt:<\/p>\n<ol class=\"wp-block-list\">\n<li>Zoek naar de&nbsp;<strong>DNS-instellingen<\/strong>&nbsp;van je domein &#8211; bij providers meestal onder &#8216;Productinstellingen&#8217;<\/li>\n<li>Kies &#8216;Een record toevoegen&#8217;<\/li>\n<li>Selecteer&nbsp;<strong>TXT<\/strong>&nbsp;als het recordtype<\/li>\n<li>Kies host \/ target en definieer die als&nbsp;<strong>_dmarc<\/strong><\/li>\n<li>Vul je&nbsp;<strong>DMARC record<\/strong>&nbsp;in als waarde<\/li>\n<li><strong>Publiceer<\/strong>&nbsp;je nieuwe record<\/li>\n<\/ol>\n<p>Nu je het record hebt ingesteld, zul je rapportage binnenkrijgen als je&nbsp;<strong>rua<\/strong>&nbsp;hebt aangezet. Hierdoor krijg je actuele inzichten over welke e-mails uit jouw naam verzonden worden. Het is ook mogelijk om die rapportage naar eigen wens vorm te geven. Zo kun je een limiet stellen op de grootte van de rapportage, een interval zetten op de timing van rapportage of het format van rapportage aanpassen.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-ef6b979279c525a2f645693c572363ee\">De grootte instellen van DMARC rapportage<\/h4>\n<p>Om de grootte van rapportage in te stellen, moet een onderdeel in het DMARC record aangepast worden. Het is niet noodzakelijk om dit te doen, maar aangezien sommige mailservers maximale groottes hanteren, kan het wel handig zijn. Bij zowel ruf- als rua-adressen kun je al naar gelang een maximaal aantal megabytes (<strong>m<\/strong>), gigabytes (<strong>g<\/strong>), kilobytes (<strong>k<\/strong>) en terrabytes (<strong>t<\/strong>) instellen. De standaard is &#8216;ongelimiteerd&#8217;, maar je kunt achter de e-mailadressen het gewenste volume aangeven. Dat ziet er als volgt uit:<\/p>\n<p>Stel je wilt op je rua-adres (dmarc@example.org) een limiet instellen van 10 gigabyte en op je ruf-adres (rufdmarc@example.org) een limiet van 80 megabyte, dan moeten je adressen in je DMARC record zo geschreven worden: rua=mailto:dmarc@example.org!10g; ruf=mailto:rufdmarc@example.org!80m. Het uitroepteken volgt direct op het adres en wordt ook direct opgevolgd door het limiet.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-8e63016de8e3255f9b842d8659b4ad57\">De vorm van DMARC rapportage<\/h4>\n<p>Rapportage op gefaalde berichten kan ontvangen worden in verschillende vormen. Hoewel de&nbsp;<a href=\"https:\/\/tools.ietf.org\/html\/rfc7489#section-6.3\" id=\"\" target=\"_blank\" rel=\"noopener\">specificatie<\/a>&nbsp;alleen ingaat op het&nbsp;<strong>afrf<\/strong>-format, wordt er gespeculeerd over een andere vorm van rapportage:&nbsp;<strong>iodef<\/strong>. Met iodef (Incident Object Description Exchange Format) ontvang je uitgebreide rapportage over het incident, terwijl afrf (Authentication Failure Reporting Format) specifieke rapportage stuurt wanneer SPF of DKIM faalt. De laatste is tevens de default vorm van rapportage. De gewenste vorm voor DMARC rapportage kun je aangeven door in het record &#8220;<em>rf=iodef<\/em>&#8221; of &#8220;<em>rf=afrf<\/em>&#8221; op te nemen.<\/p>\n<h4 class=\"wp-block-heading has-blue-color has-text-color has-link-color wp-elements-6070a74d1d7fe062afd17f3e16bbdc31\">Interval op timing<\/h4>\n<p>De derde en tevens laatste optie voor rapportage is de interval waarmee dit gebeurt. Normaliter gebeurt dit binnen een dag (of twee), maar er kan ook voor gekozen worden dit te verkorten of juist te verlengen. Verkorten is vooral handig wanneer er iemand binnen je bedrijf elke dag bezig is met security van je e-maildomein. De standaard is dus een dag, maar de interval wordt gedefinieerd in seconden. Kies je dus voor een hele korte interval, kun je de&nbsp;<strong>ri<\/strong>&nbsp;instellen op 1, voor een dag op 86400.<\/p>\n<div class=\"wp-block-group\">\n<div class=\"wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained\">\n<div style=\"height:80px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<div class=\"wp-block-group no-bot-margin has-light-blue-background-color has-background\">\n<div class=\"wp-block-group__inner-container is-layout-constrained wp-block-group-is-layout-constrained\">\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<h3 class=\"wp-block-heading\">Meer weten over DMARC?<\/h3>\n<p>Heb je nog vragen of wil je aan de slag om je e-maildomein en je e-mailverkeer te beschermen? Onze adviseurs helpen je graag verder en vertellen je er alles over. <\/p>\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link wp-element-button\" href=\"https:\/\/spotler.nl\/contact\" target=\"_blank\" rel=\"noopener\">Neem contact op<\/a><\/div>\n<\/div>\n<\/div>\n<div class=\"wp-block-column hide-mobile is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\">\n<figure class=\"wp-block-image size-full no-bot-margin\"><img decoding=\"async\" src=\"https:\/\/spotler.com\/wp-content\/uploads\/2024\/05\/blog-cta2.png\" alt=\"\" class=\"wp-image-17735\"\/><\/figure>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Met DMARC bescherm je een e-maildomein tegen misbruik zoals spoofing. Wat is DMARC precies, hoe werkt het en hoe stel je het in?<\/p>\n","protected":false},"featured_media":67790,"template":"","cat_industry":[],"cat_topic":[],"class_list":["post-67245","guides","type-guides","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/guides\/67245","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/guides"}],"about":[{"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/types\/guides"}],"version-history":[{"count":5,"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/guides\/67245\/revisions"}],"predecessor-version":[{"id":242260,"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/guides\/67245\/revisions\/242260"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/media\/67790"}],"wp:attachment":[{"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/media?parent=67245"}],"wp:term":[{"taxonomy":"cat_industry","embeddable":true,"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/cat_industry?post=67245"},{"taxonomy":"cat_topic","embeddable":true,"href":"https:\/\/spotler.com\/nl-nl\/wp-json\/wp\/v2\/cat_topic?post=67245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}