Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

DMARC-beleid instellen voor je Google Workspace-domein

DMARC bouwt voort op SPF en DKIM en bepaalt wat een ontvanger doet met mail die de verificatie niet doorstaat. Begin met p=none om te monitoren en verscherp daarna stapsgewijs naar p=reject.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

DMARC (Domain-based Message Authentication, Reporting and Conformance) is de derde en laatste pijler van e-mailauthenticatie. SPF en DKIM bepalen of een mail geldig is; DMARC bepaalt wat er gebeurt als die controles falen en geeft je rapportages over wie er namens jouw domein mailt.

Hoe DMARC samenwerkt met SPF en DKIM

DMARC controleert of de zichtbare afzender (het From-adres dat de ontvanger ziet) overeenkomt met het domein dat door SPF of DKIM is geverifieerd. Dit heet alignment. Klopt die uitlijning niet, dan past de ontvanger jouw DMARC-beleid toe. Zo voorkom je dat iemand jouw domein in het From-veld misbruikt, ook al passeert de mail technisch SPF of DKIM van een ander domein.

warning

Eerst SPF en DKIM, dan pas DMARC

DMARC werkt alleen als SPF en DKIM correct zijn ingesteld voor je domein. Publiceer je een streng DMARC-beleid zonder werkende SPF en DKIM, dan worden je eigen legitieme mails geweigerd. Stel dus eerst SPF en DKIM in en controleer dat ze op PASS staan.

Het DMARC-record opbouwen

Een DMARC-record is een TXT-record op de hostnaam _dmarc.jouwdomein.nl. Een eenvoudig startrecord ziet er zo uit:

v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl

De belangrijkste onderdelen op een rij:

Tag Betekenis
p Het beleid: none (alleen monitoren), quarantine (naar spam) of reject (weigeren).
rua Het adres waar je geaggregeerde rapporten ontvangt (XML-bestanden).
ruf Het adres voor forensische rapporten per gefaalde mail (lang niet alle providers sturen deze).
sp Een apart beleid voor subdomeinen; zonder deze tag erven subdomeinen het hoofdbeleid.
pct Op welk percentage van de mail het beleid wordt toegepast, handig om geleidelijk uit te rollen.
adkim / aspf De strictheid van de DKIM- en SPF-alignment (r voor relaxed, s voor strict).

DMARC gefaseerd uitrollen

  1. Zorg dat SPF en DKIM werken en op PASS staan.
  2. Publiceer een TXT-record op _dmarc.jouwdomein.nl met p=none en een rua-adres.
  3. Verzamel minimaal een volledig kwartaal aan rapporten, zodat je ook maandelijkse en kwartaalverzenders (zoals facturatie- of nieuwsbriefdiensten) in beeld krijgt.
  4. Los problemen op bij legitieme verzenders die nog niet uitgelijnd zijn.
  5. Verscherp het beleid naar p=quarantine, eventueel met pct om geleidelijk uit te rollen.
  6. Stap als laatste over op p=reject zodra je zeker bent dat alle legitieme mail slaagt.

Rapporten lezen

De geaggregeerde rapporten (rua) komen binnen als XML-bestanden van ontvangende providers. Ze zijn lastig met de hand te lezen; gebruik een DMARC-rapportagedienst die ze visualiseert. Zo zie je snel welke bronnen falen en of dat legitieme of kwaadwillende verzenders zijn. Maak voor het rua-adres bij voorkeur een aparte mailbox of alias aan, want de stroom rapporten kan fors zijn.

lightbulb

Nooit direct naar p=reject

Begin nooit meteen met p=reject. Een verkeerd geconfigureerde verzender (denk aan een CRM, ticketsysteem of nieuwsbriefdienst) zou dan direct geblokkeerd worden. Monitor eerst met p=none, dicht de gaten en verscherp pas daarna.

Wat Gmail en Yahoo verwachten

Sinds februari 2024 eisen Gmail en Yahoo dat afzenders van bulkmail (ongeveer 5.000 berichten of meer per 24 uur naar persoonlijke Gmail-accounts) zowel SPF en DKIM als een gepubliceerd DMARC-beleid van minimaal p=none hebben, plus een werkende uitschrijflink met één klik. Vanaf november 2025 is Gmail de handhaving gaan opschroeven: niet-conforme mail kan tijdelijk of zelfs permanent worden geweigerd. Ook al verstuur je minder dan dat volume, een DMARC-record beschermt je merk tegen misbruik voor phishing en is een stevige aanrader.

info

Subdomeinen apart afdekken

Met de sp-tag stel je een apart beleid in voor subdomeinen. Zonder sp erven subdomeinen het hoofdbeleid. Wil je subdomeinen die nooit mailen volledig dichtzetten, dan zet je sp=reject.

Veelgemaakte fouten

De meest voorkomende fout is overhaasten naar p=reject voordat alle verzenders zijn uitgelijnd. Een tweede valkuil is het ontbreken van DKIM-alignment, waardoor doorgestuurde mail faalt. Een derde is een typefout in de hostnaam: het record hoort exact op _dmarc te staan, dus _dmarc.jouwdomein.nl.

Met welk beleid moet ik beginnen?

Altijd met p=none. Dat verandert niets aan de aflevering, maar levert je rapporten op zodat je kunt zien welke verzenders namens je domein mailen voordat je gaat blokkeren.

Heb ik DMARC echt nodig?

Ja. Sinds februari 2024 stellen Gmail en Yahoo het verplicht voor bulkverzenders, en sinds november 2025 wordt dat strenger gehandhaafd. Ook voor kleinere domeinen voorkomt DMARC dat je merk misbruikt wordt voor phishing.

Wat betekent alignment?

Alignment betekent dat het zichtbare From-domein overeenkomt met het domein dat door SPF of DKIM is geverifieerd. Zonder alignment faalt DMARC, ook al slaagt SPF of DKIM op zichzelf.

Hoe lang moet ik op p=none blijven?

Houd p=none minimaal een volledig kwartaal aan. Zo vang je ook verzenders op die maar af en toe mailen, zoals een maandelijkse factuurdienst of een jaarlijkse mailing, voordat je gaat blokkeren.

Waar zet ik het DMARC-record neer in Google Workspace?

DMARC publiceer je niet in de Google Admin-console maar bij je DNS-provider (waar je domein wordt beheerd) als TXT-record op de host _dmarc. Google levert wel de SPF- en DKIM-instellingen die DMARC nodig heeft.

Wat is het verschil tussen rua en ruf?

Met rua ontvang je geaggregeerde rapporten: een dagelijks overzicht per verzendbron. Met ruf vraag je forensische rapporten per individueel gefaalde mail, maar veel providers sturen die uit privacyoverwegingen niet meer.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

SPF, DKIM en DMARC: zo zet je het correct in

Praktische stappen om je domein bestand te maken tegen phishing en e-mailspoofing met SPF, DKIM en DMARC in Google Workspace.

schedule4 min label4 gedeelde tags
Lees verder arrow_forward

Je bedrijfsdomein koppelen aan Google Workspace

Koppel je bedrijfsdomein aan Google Workspace: verifieer je domein, stel de MX-records in en configureer SPF, DKIM en DMARC voor veilige e-mail. Met stappenplan, voorbeelden en veelgemaakte fouten.

schedule7 min label3 gedeelde tags
Lees verder arrow_forward

ARC instellen voor doorgestuurde e-mailverificatie

Doorsturen en mailinglijsten breken vaak SPF en DKIM. ARC bewaart de oorspronkelijke authenticatie zodat legitieme doorgestuurde mail niet als spoofing wordt gezien.

schedule6 min label3 gedeelde tags
Lees verder arrow_forward

Geavanceerde phishing-bescherming instellen in Google Workspace

Scherp de phishing- en malwarebescherming van Gmail aan via de Safety-instellingen en zet voor hoogrisico-gebruikers het Advanced Protection Program in.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

SPF-record toevoegen voor je Google Workspace-domein

Een SPF-record vertelt ontvangende mailservers welke servers namens jouw domein mogen verzenden. Voor Google Workspace voeg je een TXT-record toe bij je domeinregistrar met de waarde van Google, anders belanden je mails sneller in spam of worden ze geweigerd.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward