# DMARC-beleid instellen voor je Google Workspace-domein

DMARC (Domain-based Message Authentication, Reporting and Conformance) is de derde en laatste pijler van e-mailauthenticatie. SPF en DKIM bepalen of een mail geldig is; DMARC bepaalt wat er gebeurt als die controles falen en geeft je rapportages over wie er namens jouw domein mailt.

## Hoe DMARC samenwerkt met SPF en DKIM

DMARC controleert of de zichtbare afzender (het From-adres dat de ontvanger ziet) overeenkomt met het domein dat door SPF of DKIM is geverifieerd. Dit heet alignment. Klopt die uitlijning niet, dan past de ontvanger jouw DMARC-beleid toe. Zo voorkom je dat iemand jouw domein in het From-veld misbruikt, ook al passeert de mail technisch SPF of DKIM van een ander domein.

:::warn title="Eerst SPF en DKIM, dan pas DMARC"
DMARC werkt alleen als SPF en DKIM correct zijn ingesteld voor je domein. Publiceer je een streng DMARC-beleid zonder werkende SPF en DKIM, dan worden je eigen legitieme mails geweigerd. Stel dus eerst SPF en DKIM in en controleer dat ze op PASS staan.
:::

## Het DMARC-record opbouwen

Een DMARC-record is een TXT-record op de hostnaam `_dmarc.jouwdomein.nl`. Een eenvoudig startrecord ziet er zo uit:

`v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl`

De belangrijkste onderdelen op een rij:

| Tag | Betekenis |
| --- | --- |
| `p` | Het beleid: `none` (alleen monitoren), `quarantine` (naar spam) of `reject` (weigeren). |
| `rua` | Het adres waar je geaggregeerde rapporten ontvangt (XML-bestanden). |
| `ruf` | Het adres voor forensische rapporten per gefaalde mail (lang niet alle providers sturen deze). |
| `sp` | Een apart beleid voor subdomeinen; zonder deze tag erven subdomeinen het hoofdbeleid. |
| `pct` | Op welk percentage van de mail het beleid wordt toegepast, handig om geleidelijk uit te rollen. |
| `adkim` / `aspf` | De strictheid van de DKIM- en SPF-alignment (`r` voor relaxed, `s` voor strict). |

:::howto title="DMARC gefaseerd uitrollen"
1. Zorg dat SPF en DKIM werken en op **PASS** staan.
2. Publiceer een TXT-record op `_dmarc.jouwdomein.nl` met `p=none` en een `rua`-adres.
3. Verzamel minimaal een volledig kwartaal aan rapporten, zodat je ook maandelijkse en kwartaalverzenders (zoals facturatie- of nieuwsbriefdiensten) in beeld krijgt.
4. Los problemen op bij legitieme verzenders die nog niet uitgelijnd zijn.
5. Verscherp het beleid naar `p=quarantine`, eventueel met `pct` om geleidelijk uit te rollen.
6. Stap als laatste over op `p=reject` zodra je zeker bent dat alle legitieme mail slaagt.
:::

## Rapporten lezen

De geaggregeerde rapporten (`rua`) komen binnen als XML-bestanden van ontvangende providers. Ze zijn lastig met de hand te lezen; gebruik een DMARC-rapportagedienst die ze visualiseert. Zo zie je snel welke bronnen falen en of dat legitieme of kwaadwillende verzenders zijn. Maak voor het `rua`-adres bij voorkeur een aparte mailbox of alias aan, want de stroom rapporten kan fors zijn.

:::tip title="Nooit direct naar p=reject"
Begin nooit meteen met `p=reject`. Een verkeerd geconfigureerde verzender (denk aan een CRM, ticketsysteem of nieuwsbriefdienst) zou dan direct geblokkeerd worden. Monitor eerst met `p=none`, dicht de gaten en verscherp pas daarna.
:::

## Wat Gmail en Yahoo verwachten

Sinds februari 2024 eisen Gmail en Yahoo dat afzenders van bulkmail (ongeveer 5.000 berichten of meer per 24 uur naar persoonlijke Gmail-accounts) zowel SPF en DKIM als een gepubliceerd DMARC-beleid van minimaal `p=none` hebben, plus een werkende uitschrijflink met één klik. Vanaf november 2025 is Gmail de handhaving gaan opschroeven: niet-conforme mail kan tijdelijk of zelfs permanent worden geweigerd. Ook al verstuur je minder dan dat volume, een DMARC-record beschermt je merk tegen misbruik voor phishing en is een stevige aanrader.

:::info title="Subdomeinen apart afdekken"
Met de `sp`-tag stel je een apart beleid in voor subdomeinen. Zonder `sp` erven subdomeinen het hoofdbeleid. Wil je subdomeinen die nooit mailen volledig dichtzetten, dan zet je `sp=reject`.
:::

## Veelgemaakte fouten

De meest voorkomende fout is overhaasten naar `p=reject` voordat alle verzenders zijn uitgelijnd. Een tweede valkuil is het ontbreken van DKIM-alignment, waardoor doorgestuurde mail faalt. Een derde is een typefout in de hostnaam: het record hoort exact op `_dmarc` te staan, dus `_dmarc.jouwdomein.nl`.

:::faq
### Met welk beleid moet ik beginnen?
Altijd met p=none. Dat verandert niets aan de aflevering, maar levert je rapporten op zodat je kunt zien welke verzenders namens je domein mailen voordat je gaat blokkeren.

### Heb ik DMARC echt nodig?
Ja. Sinds februari 2024 stellen Gmail en Yahoo het verplicht voor bulkverzenders, en sinds november 2025 wordt dat strenger gehandhaafd. Ook voor kleinere domeinen voorkomt DMARC dat je merk misbruikt wordt voor phishing.

### Wat betekent alignment?
Alignment betekent dat het zichtbare From-domein overeenkomt met het domein dat door SPF of DKIM is geverifieerd. Zonder alignment faalt DMARC, ook al slaagt SPF of DKIM op zichzelf.

### Hoe lang moet ik op p=none blijven?
Houd p=none minimaal een volledig kwartaal aan. Zo vang je ook verzenders op die maar af en toe mailen, zoals een maandelijkse factuurdienst of een jaarlijkse mailing, voordat je gaat blokkeren.

### Waar zet ik het DMARC-record neer in Google Workspace?
DMARC publiceer je niet in de Google Admin-console maar bij je DNS-provider (waar je domein wordt beheerd) als TXT-record op de host _dmarc. Google levert wel de SPF- en DKIM-instellingen die DMARC nodig heeft.

### Wat is het verschil tussen rua en ruf?
Met rua ontvang je geaggregeerde rapporten: een dagelijks overzicht per verzendbron. Met ruf vraag je forensische rapporten per individueel gefaalde mail, maar veel providers sturen die uit privacyoverwegingen niet meer.
:::