Home > Documentatie > Configuratie > Sender domains > DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC is een specificatie die beschrijft hoe e-mailservers omgaan met berichten die namens jouw domein worden verstuurd. Het is een toevoeging aan SPF en DKIM om e-mailverificatie te versterken.

Waarom DMARC bestaat

Voordat DMARC bestond, wisten ontvangende partijen zoals Gmail of Outlook vaak niet hoe ze moesten omgaan met een e-mail die niet aan SPF of DKIM voldeed. Kwam dit door daadwerkelijk misbruik, of doordat de verzender gewoon was vergeten om SPF en DKIM goed in te stellen? Dit probleem lost DMARC op. In samenwerking met SPF en DKIM geeft het richtlijnen voor hoe ontvangende servers moeten omgaan met verdachte berichten.

Hoe werkt DMARC?

De DMARC specificatie beschrijft hoe je als verzender een DNS record kunt aanmaken waarin je aangeeft hoe ontvangende servers de resultaten van SPF en DKIM horen te gebruiken. In dit DNS record kun je een "policy" invoeren die voorschrijft of ongeldige e-mail toch moet worden geaccepteerd (none), in quarantaine moet worden geplaatst (quarantine) of volledig moet worden geweigerd (reject). Als je zeker weet dat al je mail altijd met SPF en/of DKIM wordt verstuurd, kun je dit veld op reject zetten. Als je dit nog niet helemaal goed hebt geregeld is een wat tolerantere instelling beter.

Daarnaast biedt DMARC de mogelijkheid om rapportages te ontvangen over berichten die niet voldoen aan de regels, zodat je al verzender inzicht krijgt in waar het misgaat. Als je het DMARC DNS record inricht zoals geadviseerd, dan ontvangt Copernica deze rapportages en verschijnen ze in de DMARC Analyzer in het dashboard.

DMARC-policy: none, quarantine of reject

Een DMARC-policy bepaalt hoe ontvangende servers moeten omgaan met e-mails die niet voldoen aan SPF en DKIM. De drie opties zijn:

none: ontvangers hoeven geen maatregelen te nemen en all berichten moeten worden geaccepteerd. Gebruik dit als je nog niet zeker weet of al je uitgaande mail wel aan SPF en/of DKIM voldoet. Je kunt eerst monitoren en bekijken welke e-mails correct worden afgeleverd en waar problemen optreden.
quarantine: verdachte e-mails mogen worden gemarkeerd of in de spamfolder geplaatst. Dit is een tussenstap als je meer bescherming wilt, maar nog voorzichtig bent.
reject: e-mails die niet voldoen aan DMARC mogen door de ontvanger worden geweigerd. Dit biedt de strengste bescherming tegen misbruik, maar kan legitieme berichten blokkeren als je SPF/DKIM nog niet volledig correct is ingesteld.

Het advies is om stapsgewijs te werken: begin met none, analyseer de rapportages, en verhoog pas naar quarantine of reject zodra je zeker weet dat al je legitieme e-mails correct worden afgeleverd. Zo bescherm je je domein effectief zonder dat belangrijke berichten verloren gaan.

DMARC instellen

Je kunt zelf een DMARC-record aanmaken voor je domein. Als je e-mails verstuurt vanaf je hoofddomein (bijvoorbeeld @bedrijfsnaam.nl), is het goed mogelijk dat er al een DMARC-record aanwezig is. Dit bestaande record kun je behouden en eventueel uitbreiden, bijvoorbeeld door een extra rapportageadres (rua) toe te voegen.

Copernica kan ook het beheer van je DMARC-record overnemen. Dat kun je in de Marketing Suite alle DMARC instellingen invoeren. Je moet in je eigen DNS configuratie dan een CNAME-record aanmaken dat verwijst naar het door Copernica beheerde DMARC record.

Als je nog niet klaar bent om DKIM, SPF en DMARC volledig op je hoofddomein in te stellen, kun je een subdomein gebruiken voor je e-mailcampagnes. Zo kun je alles veilig testen en stapsgewijs opbouwen, zonder dat het hoofddomein wordt beïnvloed.

DMARC instellen in Copernica

In Copernica stel je DMARC in via het Sender domain. Bij elk domein vind je de tab DMARC, waar je kunt kiezen of je zelf je eigen DMARC record wilt beheren, of dat je gebruik wilt maken an de DMARC service van Copernica (en dat je dus een CNAME-record wilt aanmaken dat verwijst naar Copernica.

Als je de instellingen via Copernica wilt beheren moet je met een CNAME verwijzen naar een door Copernica beheerd DMARC-record. Een voorbeeld van een CNAME-record is:

Recordnaam: _dmarc.copernica.com
Aanbevolen waarde: dmarc1.copernica.net

De aanbevolen waarde is verschillend per domein en vind je terug in de DMARC tab van je sender domain.

Wat zijn RUA en RUF?

Met DMARC kun je meer dan alleen instellen welke "policy" ontvangers moeten hanteren bij een DKIM en SPF mismatch. Met de RUA en RUF velden in het DNS record kun je aan ontvangers vragen of ze rapportages willen terugsturen met een overzicht van de berichten die ze van jouw domain hebben ontvangen. Dit kan handig zijn, want hierdoor kun je er achter komen of jouw domein wordt misbruikt, of dat er ergens in je organisatie nog mails worden verstuurd met ongeldige settings.

RUA (Reporting URI for Aggregate Reports)

Dit zijn samengevatte rapporten met informatie over het aantal berichten dat vanaf jouw domein is verzonden, inclusief hoeveel daarvan zijn geslaagd of gefaald voor SPF, DKIM en DMARC. Deze rapportages helpen trends te herkennen en misbruik te signaleren. De rapportages worden maar een paar keer per dag verzonden, en bevatten algemene aantallen, zonder dat je precies kunt zien wélk bericht verkeerd ging. Voorbeeldinstelling: rua=mailto:dmarc@copernica.com.

RUF (Reporting URI for Forensic Reports)

Dit zijn directe gedetailleerde rapporten die meteen worden verstuurd wanneer een e-mail faalt voor DMARC. Ze bevatten informatie over het mislukte bericht, zoals headers of andere gegevens. Omdat deze rapporten privacygevoelige informatie kunnen bevatten, worden ze minder vaak gebruikt en veel grote mailboxproviders sturen ze niet meer. Voorbeeldinstelling: ruf=mailto:dmarc@copernica.com.

Copernica ondersteunt beide vormen en verwerkt ze automatisch wanneer je het CNAME-record gebruikt. De rapportages worden vervolgens weergegeven in de DMARC Analyzer in het dashboard.

Belangrijk om te weten

Eén DMARC-record per domein: Zorg dat je domein slechts één DMARC-record heeft. Meerdere records kunnen conflicteren en leiden tot onverwachte resultaten.
SPF- en DKIM-configuratie eerst controleren: DMARC werkt alleen goed als SPF en/of DKIM correct zijn ingesteld en de e-mails zijn uitgelijnd met je domein.
Gebruik pct voor stapsgewijze implementatie: Begin bijvoorbeeld met pct=10 of pct=50 om het effect van je beleid te testen voordat je naar 100% gaat.
Controleer rapportages regelmatig: De rapporten (via rua) helpen je misconfiguraties, spoofingpogingen of legitieme afzenders die je SPF/DKIM niet halen te ontdekken.
Let op forwarding: E-mails die worden doorgestuurd kunnen SPF laten falen, maar DKIM blijft meestal geldig. Dat is normaal en geen teken van misbruik.
CNAME-optie bij Copernica: Als je via Copernica werkt, kun je een CNAME gebruiken om het beleid te beheren via ons dashboard, wat beheer en updates eenvoudiger maakt.

Functies

Copernica nieuws

Whitepapers

Integraties

Documentatie

Trainingen

Meer hulp nodig?

Marketing Suite

MailerQ

SMTPeter

Partner Programma

Over ons

Ons team

Carrière

Partners

Neem contact op