DMARC policy gids

Stap-voor-stap inrichting van de juiste DMARC policy voor jouw domein — van eerste monitoring met p=none tot volledige bescherming met p=reject.

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance — RFC 7489) bouwt voort op SPF en DKIM. Je vertelt ontvangende mailservers wat ze moeten doen met berichten die zich uitgeven voor jouw domein maar SPF en/of DKIM authenticatie niet halen, én je krijgt dagelijkse rapportages over wie er namens jouw domein mailt.

Zonder DMARC kunnen aanvallers spoofing-mails versturen die ogen alsof ze van jouw domein komen — phishing, factuur-fraude, CEO-fraude. Met DMARC op reject komen die mails domweg niet meer aan.

Voorwaarden — SPF en DKIM eerst

DMARC werkt alleen als minstens één van SPF of DKIM aligned slaagt. In de praktijk betekent dat:

SPF record op het apex (v=spf1 ...) eindigend op -all of ~all.
DKIM publiek-sleutel TXT record per gebruikte selector (bv. google._domainkey.jouwdomein.nl).
Pas dáárna DMARC publiceren — anders riskeer je legitieme mail te blokkeren.

Twijfel of SPF/DKIM correct staan? Voer een scan uit op je domein — Postwachter checkt beide voor je.

Het DMARC record

Een DMARC record is één TXT-record op de subdomeinnaam _dmarc van je hoofddomein. Voor example.com dus op _dmarc.example.com:

v=DMARC1; p=none; rua=mailto:dmarc@example.com; pct=100

Dit is een veilig start-record: monitoring-only, geen bezorging-impact, met aggregate rapportage naar je eigen mailbox.

Tag-referentie

Tag	Functie	Waarden	Default
`v`	Versie (verplicht eerste tag)	`DMARC1`	—
`p`	Policy voor het apex domein	`none` · `quarantine` · `reject`	verplicht
`sp`	Policy voor sub-domeinen	idem als `p`	erft van `p`
`pct`	Percentage van mail waarop policy van toepassing is	0–100	100
`rua`	Aggregate reports endpoint	`mailto:` URI(s)	—
`ruf`	Forensic reports endpoint	`mailto:` URI(s)	—
`adkim`	DKIM alignment	`r` (relaxed) · `s` (strict)	`r`
`aspf`	SPF alignment	`r` · `s`	`r`
`fo`	Trigger-condities voor forensic reports	`0`·`1`·`d`·`s`	`0`

Policy progressie — drie fases

Spring nooit direct naar p=reject. Werk in drie fases met telkens 2-4 weken observatie ertussen, zodat je legitieme mailbronnen identificeert die je nog moet autoriseren of fixen.

1

Monitor

p=none — geen bezorging-impact, alleen rapportage. Duur: 2-4 weken.

Verzamel rua-rapporten, identificeer alle legitieme verzenders, voeg ontbrekende SPF/DKIM toe.

2

Quarantine

p=quarantine — falende mail belandt in spam-folder. Duur: 2-4 weken.

Eerst eventueel met pct=25 beginnen om geleidelijk op te schalen naar pct=100.

3

Reject

p=reject — falende mail wordt geweigerd door de ontvanger.

Vereist voor BIMI-logo's en geeft sterkste bescherming tegen spoofing.

Voorbeeldconfiguraties

Klik op een voorbeeld om naar je klembord te kopiëren. Vervang example.com door je eigen domein.

1. Veilige start (monitoring)

v=DMARC1; p=none; rua=mailto:dmarc@example.com; pct=100

2. Geleidelijke quarantine (25%)

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com; ruf=mailto:authfail@example.com; fo=1

3. Volledige quarantine

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:authfail@example.com

4. Strikte reject — productie-doelconfig

v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:authfail@example.com; fo=1

DNS-providers stellen vaak een limiet aan TXT-record lengte (vaak 255 chars per string, max 4096 voor totaal record). Houd je record kort — verwijder onnodige tags zodra je weet wat werkt.

Alignment (adkim, aspf)

DMARC vereist niet alleen dat SPF of DKIM passes, maar ook dat het bijbehorende domein aligned is met het From:-domein.

Relaxed (r, default) — organizational domain match volstaat. Mail van service.example.com via example.com is aligned.
Strict (s) — exacte match nodig. Sub-domein van organizational domein telt niet als aligned.

Advies: begin met relaxed (default). Pas strict toe als je dezelfde afzendconfiguratie volledig zelf controleert en sub-domein-mismatches wilt voorkomen.

rua & ruf — rapportage-endpoints

rua — Aggregate reports

Dagelijkse XML-overzichten per ontvanger, met counts per bron-IP en authenticatie-resultaat.

rua=mailto:dmarc@example.com

ruf — Forensic reports

Per-message details bij authenticatie-falen — sample message-headers, source-IP, result.

ruf=mailto:authfail@example.com

Configureer beide naar mailboxen waar je bij kunt. Postwachter heeft een IMAP poller die ze automatisch verwerkt en in het aggregate dashboard visualiseert.

Forensic reports zijn de laatste jaren zeldzaam — Google stuurt ze niet meer en Microsoft inconsistent. Gebruik fo=1 als je tóch zoveel mogelijk failures wilt zien.

Veelgemaakte valkuilen

Te snel naar reject springen — minimaal 2-4 weken monitoren in p=none, anders verlies je legitieme mail van vergeten ESP's, marketing-tools, helpdesk-systemen.
SPF-flattening vergeten — meer dan 10 DNS-lookups in SPF veroorzaakt permerror en daarmee DMARC-fail. Onze scan toont de recursieve lookup-count.
sp= ontbreekt — sub-domeinen erven van p=, maar als je p=none hebt en sub-domeinen wél strict wilt: zet expliciet sp=quarantine.
Meerdere DMARC records — slechts één v=DMARC1 record per domein. Dubbele records = DMARC ongeldig. Onze scan markeert dit als kritieke fout.
rua-mailbox die DMARC zelf weigert — als je rua-mailbox op een ander domein staat met strikte DMARC, accepteer dan een DKIM-loose ontvangst-policy. Of gebruik een gespecialiseerde rua-aggregator.
BIMI verwachten zonder reject — Gmail/Apple Mail tonen alleen BIMI-logo's bij p=quarantine of p=reject met pct=100.

Verifieer je configuratie

Voer een Postwachter scan uit op je domein om te zien of je SPF, DKIM, DMARC en ondersteunende records (BIMI, MTA-STS, TLS-RPT, DNSSEC, DANE) correct zijn.

Start een scan