Defaults.Exposed › Oplossingen › DMARC (bescherming tegen e-mailspoofing)

Hoe je DMARC (bescherming tegen e-mailspoofing) oplost

DMARC is de ene instelling die de mailproviders van de wereld daadwerkelijk opdraagt om e-mails te BLOKKEREN die de naam van uw bedrijf vervalsen. SPF en DKIM controleren de sloten; DMARC bepaalt wat er gebeurt als een vervalsing de controle niet doorstaat — weggooien, markeren of toch doorlaten. Verkeerd ingesteld is uw domein volledig vervalsbaar; goed ingesteld stopt nabootsing bij de inbox.

De kern voor je bedrijf: Zonder DMARC-handhaving kan een crimineel e-mail versturen die er precies uitziet alsof die van uw bedrijf komt — naar uw klanten, personeel en leveranciers — en die belandt in hun inbox, niet in hun spam. Mensen worden in uw naam opgelicht, en zij geven u de schuld.

Wat dit je kan kosten

Een oplichter mailt uw klant een echt ogende factuur «van uw boekhoudteam» met zijn eigen rekeningnummer. De klant betaalt die. U komt er pas weken later achter, als ze de goederen najagen die ze al hebben betaald — en ze houden u verantwoordelijk.
Een valse «dringende betaling»-e-mail gaat naar uw eigen financieel medewerker, ogenschijnlijk van u, de eigenaar. Ze maken het geld over voordat iemand denkt aan dubbelchecken — en eenmaal op de rekening van een crimineel is het bijna nooit terug te halen.
De IT-afdeling van een grote prospect doet een beveiligingscontrole op uw domein voor het tekenen. Daaruit komt «e-mail niet beschermd — kan worden vervalst». U verliest de deal aan een concurrent wiens domein wel slaagde.
Uw domein wordt gebruikt in een phishinggolf. Klanten die zijn beetgenomen, laten boze recensies achter en waarschuwen anderen. De reputatieschade duurt maanden langer dan de aanval.
Zelfs uw echte e-mail begint in de spam te belanden, omdat Google en Yahoo domeinen zonder gehandhaafde DMARC steeds meer wantrouwen — en nu soms weigeren.

Waarom het ertoe doet. E-mail is nooit gebouwd om te bewijzen wie het echt verstuurde, dus het vervalsen van het «van»-adres is triviaal. DMARC is de enige beheersmaatregel die «we kunnen vervalsingen detecteren» verandert in «vervalsingen worden geblokkeerd» — en het geeft u ook de dagelijkse rapporten die onthullen wie er mail verstuurt namens uw merk. Grote mailboxproviders behandelen een ontbrekend of niet-gehandhaafd DMARC-beleid nu als een vertrouwenssignaal tegen u, dus dit bepaalt mede of uw eigen e-mail wordt afgeleverd.

Wat DMARC is, in gewone taal

E-mail heeft een vies geheim: de «van»-regel is gewoon ingetypte tekst. Iedereen, overal, kan uw bedrijfsnaam en -adres in het «van»-veld van een e-mail typen en versturen. Het internet is nooit ontworpen om dat te stoppen.

Er zijn drie instellingen die dit samen oplossen. Zie ze als de beveiliging van een gebouw:

SPF is een lijst van wie naar binnen mag via de voordeur (welke mailservices namens u mogen versturen).
DKIM is een fraudebestendig zegel dat bewijst dat het bericht onderweg niet is gewijzigd.
DMARC is de beveiliger die de lijst en het zegel controleert — en, cruciaal, beslist wat te doen als ze niet kloppen: doorlaten, naar de spam sturen, of bij de deur weigeren.

U kunt de lijst (SPF) en het zegel (DKIM) hebben en nog steeds geen bewaker. Dat is de meest voorkomende en gevaarlijkste situatie: de sloten bestaan, maar niets handhaaft ze. DMARC is de handhaving. Het is het verschil tussen «we kunnen zien dat deze e-mail nep is» en «deze nep-e-mail bereikt uw klant nooit».

Wat dit u kan kosten

Dit is niet theoretisch. Hier zijn de concrete manieren waarop een onbeschermd domein verandert in echt geld en echte schade:

De nepfactuurfraude. Een crimineel mailt uw klant iets wat er precies uitziet als een echte factuur van uw boekhoudteam — zelfde naam, zelfde domein, professionele opmaak — maar met zijn eigen rekeningnummer. Omdat uw domein niet wordt gehandhaafd, belandt het in de inbox, niet in de spam. De klant betaalt. U ontdekt het weken later, als ze vragen waar hun bestelling blijft. Het geld is meestal weg, en de klant houdt vaak u verantwoordelijk voor de inbreuk.
De CEO-fraude-overschrijving. Een e-mail lijkt van u, de eigenaar, te komen aan uw financieel medewerker: «Kun je deze betaling met spoed doorzetten, ik zit in een vergadering.» Het ziet er volkomen echt uit omdat het uw adres is — alleen vervalst. De betaling gaat eruit. Dit patroon — Business Email Compromise — is een van de duurste vormen van oplichting voor kleine bedrijven, juist omdat de e-mail echt van uw eigen domein komt en dus recht langs alle achterdocht glipt.
Het verloren contract. Een serieuze prospect doet een beveiligings- of inkoopcontrole voor het tekenen. Hun tooling rapporteert uw domein als «vervalsbaar — geen e-mailauthenticatiehandhaving». Die ene rode vlag kan genoeg zijn om het contract toe te kennen aan een concurrent wiens domein wel slaagde. U hoort de echte reden nooit.
De reputatieklap die u niet kunt terugdraaien. Uw domein wordt meegesleurd in een phishingcampagne. Tientallen mensen die in uw naam zijn beetgenomen, plaatsen waarschuwingen en recensies. De aanval duurt een week; de vraag «is dit bedrijf eigenlijk wel veilig?» blijft maanden hangen.
Uw eigen e-mail die naar de spam gaat. Google en Yahoo wantrouwen nu actief domeinen zonder gehandhaafde DMARC. Offertes, facturen en antwoorden die u echt hebt verstuurd, beginnen stilletjes in spammappen te belanden. Deals lopen vast en u komt nooit te weten waarom.

Wat het eigenlijk is (en hoe «goed» eruitziet)

DMARC bestaat als één tekstregel in de instellingen van uw domein — een DNS-«TXT»-record dat gepubliceerd is op de speciale naam _dmarc.uwdomein. Daarin staan een paar korte instructies. Twee ervan zijn het belangrijkst, en dat zijn precies de twee dingen die deze beoordeling controleert.

1. Het beleid (p=) — de orders van de bewaker. Dit is het zwaar wegende deel van de controle. Het kan een van drie dingen zijn:

p=none — alleen kijken. De bewaker noteert wie er doorkomt maar houdt niemand tegen. Dit beschermt u tegen niets; het is een monitoringfase, geen afgeronde opzet. (Onze engine scoort dit als een fail — beter dan helemaal geen DMARC, maar geen bescherming.)
p=quarantine — vervalsingen naar de spam sturen. Echte bescherming, maar een vastberaden aanvaller gokt erop dat mensen hun spammap controleren. Een solide tussenstap — het verdient ongeveer de helft van de punten.
p=reject — vervalsingen bij de deur weigeren. De vervalste e-mail wordt nooit afgeleverd. Dit is de enige instelling die u volledig beschermt en volle punten verdient.

Hoe «goed» eruitziet: p=reject. Alles minder laat een gat open.

Twee technische details waar onze controle ook naar kijkt, de moeite waard om te weten zodat u niet wordt verrast:

Het subdomeinbeleid (sp=). U kunt een sterk beleid instellen voor uw hoofddomein maar per ongeluk subdomeinen (zoals mail.uwdomein of news.uwdomein) wagenwijd open laten. Onze engine bestraft dit hard — een domein met p=reject maar sp=none wordt bijna net zo laag gescoord als helemaal geen handhaving, omdat aanvallers simpelweg een subdomein zullen vervalsen. Goede praktijk is sp uw sterke hoofdbeleid te laten erven, of het expliciet op reject te zetten.
Het percentage (pct=). Tijdens een zorgvuldige uitrol kunt u handhaving toepassen op slechts een deel van de mail (bijv. pct=25). Dat is een legitiem overgangsinstrument, maar een gedeeltelijke uitrol geeft slechts gedeeltelijke bescherming, en onze score weerspiegelt dat — die stijgt gestaag naarmate u van 25% naar 100% beweegt, maar volle punten vereisen volledige dekking.

2. Het rapportageadres (rua=) — uw zichtbaarheid. Dit is de tweede controle op deze pagina. De rua=-tag vraagt elke mailprovider ter wereld om u een dagelijks overzicht te sturen van wie er probeerde namens uw domein e-mail te versturen — uw eigen systemen en eventuele nabootsers. Zonder dit vliegt u blind: u hebt geen idee wie uw naam misbruikt. Mét, ontdekken bedrijven routinematig tussen de 5 en 50 ongeautoriseerde afzenders op de allereerste dag.

Hoe «goed» eruitziet voor rapportage: een geldig rua=mailto:-adres (of een https:-URL van een rapportagedienst) dat de rapporten daadwerkelijk ontvangt. Onze controle valideert het formaat — een verkeerd getypt of misvormd adres betekent dat de rapporten stilletjes nergens heen gaan, wat als een gedeeltelijk of mislukt resultaat scoort, ook al is een tag technisch «aanwezig».

Hoe los je het op (gratis, ~30 minuten verspreid over twee weken)

Geef dit onderdeel aan wie uw domein, website of IT beheert — de oplossing is volledig gratis. Wij rekenen alleen ooit kosten om te bewaken dat het in de loop van de tijd correct blijft, om een portefeuille domeinen te beheren, of voor een audit. De wijziging zelf kost niets.

De gouden regel: spring nooit direct naar reject. Zet eerst monitoring aan, bekijk de rapporten, bevestig dat uw echte mail wordt herkend, en scherp dan aan. In deze volgorde gedaan is het veilig; in een haast gedaan kan het uw eigen e-mail naar de spam jagen.

Stap 1 — Zorg dat SPF en DKIM eerst op orde zijn. DMARC leunt erop. Ontbreekt een van beide, regel die dan voordat u DMARC handhaaft (zie de SPF- en DKIM-pagina’s).

Stap 2 — Publiceer een monitoringrecord met rapportage aan. Voeg een DNS-TXT-record toe:

Host / naam: _dmarc.uwdomein (uw DNS-provider toont dit mogelijk als alleen _dmarc)
Type: TXT
Waarde: v=DMARC1; p=none; rua=mailto:dmarc@uwdomein; adkim=s; aspf=s

Dit kijkt en rapporteert zonder al iets te blokkeren. De delen adkim=s; aspf=s vragen strikte uitlijning — laat ze eerst weg als u twijfelt, en voeg ze toe zodra uw mail schoon is bevonden.

Stap 3 — Lees de rapporten ~2 weken. Ruwe DMARC-rapporten zijn dichte XML. Gebruik een gratis rapportagedienst (bijvoorbeeld dmarcian of de gratis DMARC-tool van Postmark) om er een leesbaar dashboard van te maken. Bevestig dat elke legitieme afzender — uw mailboxprovider, nieuwsbrieftool, CRM, helpdesk, facturatie-app — slaagt. Repareer elke echte afzender die dat niet doet.

Stap 4 — Ga naar quarantine. Zodra uw echte mail schoon is, wijzig p=none in p=quarantine. Houd het nog een paar dagen in de gaten.

Stap 5 — Ga naar reject. Wijzig ten slotte p=quarantine in p=reject. U bent nu volledig beschermd. Het uiteindelijke record ziet er zo uit:

v=DMARC1; p=reject; rua=mailto:dmarc@uwdomein; adkim=s; aspf=s

Stap 6 — Vergeet subdomeinen niet. Zorg dat u geen sp=none hebt laten staan. Als u helemaal geen sp publiceert, erven subdomeinen uw hoofd-p=-beleid, en dat is wat u wilt.

Opmerkingen per veelgebruikt platform:

Google Workspace / Microsoft 365: Beide ondersteunen DMARC volledig. Het DMARC-record zelf gaat naar uw DNS-provider, niet in de adminconsole van Google of Microsoft — zorg dat SPF en DKIM eerst zijn ingeschakeld in de adminconsole, en publiceer dan het DMARC-TXT-record bij uw registrar/DNS-host.
Cloudflare: DNS > Records > Add record > TXT, naam _dmarc, plak de waarde. Cloudflare biedt ook ingebouwd DMARC-beheer dat dit voor u kan instellen en de rapporten verzamelen.
Veelgebruikte hosts / registrars (GoDaddy, enz.): Zoek naar «DNS», «DNS Zone» of «Advanced DNS», voeg een TXT-record toe met naam _dmarc en de waarde hierboven. Propagatie duurt meestal een paar minuten tot een uur.

Veelgemaakte fouten

Stoppen bij p=none. Verreweg de meest voorkomende fout. Monitoring is het begin, niet het einde — een domein dat op «none» blijft hangen is nog steeds volledig vervalsbaar. Onze engine scoort het precies daarom als een fail.
Direct naar reject springen zonder monitoring. De omgekeerde fout. Zonder de rapportagefase merkt u mogelijk niet dat een legitieme afzender (vaak een nieuwsbrief- of facturatietool) niet is uitgelijnd — en gaat u uw eigen mail blokkeren.
Het subdomeinbeleid vergeten. Een sterke p=reject met sp=none laat een zijdeur wagenwijd open; aanvallers vervalsen gewoon een subdomein.
Een kapot rapportageadres. Een verkeerd getypte rua= (of een zonder het mailto:-voorvoegsel) betekent dat de rapporten nergens heen gaan en u blind blijft zonder het te beseffen. Het formaat moet een geldige mailto:- of https:-URI zijn, anders worden de rapporten nooit afgeleverd.
«We versturen geen e-mail dus we slaan het over.» Een niet-verzendend domein is een prima doelwit, juist omdat niemand het in de gaten houdt. Publiceer een strikt reject-beleid om het volledig dicht te zetten.

Een opmerking over de beoordeling

De beleidscontrole (p=) is een van de zwaarst wegende onderdelen van de hele beoordeling — omdat het de grootste factor is in of uw bedrijf kan worden nagebootst. reject verdient de volle score; quarantine verdient ongeveer de helft; none en een ontbrekend record scoren als fail. Een zwakker subdomeinbeleid of een gedeeltelijke pct=-uitrol trekt de score omlaag tot het werkelijke beschermingsniveau dat u daadwerkelijk hebt.

De rapportagecontrole (rua=) weegt ook echt mee, maar zie het minder als een vakje om af te vinken en meer als het instrument waarmee u veilig reject bereikt. Stel het tegelijk in met uw monitoringrecord, en het verdient zichzelf terug in zichtbaarheid op dag één.

Stel het in bij je host

Stap voor stap voor populaire providers:

Veelgestelde vragen

Ik ben helemaal niet technisch — is dit iets wat ik echt kan regelen?

Ja, maar u hoeft het niet persoonlijk te doen. De oplossing bestaat uit een paar regels die aan de instellingen van uw domein worden toegevoegd, en het is gratis. De eenvoudigste route is het onderdeel «Hoe los je het op» hieronder door te sturen naar wie uw website of IT-ondersteuning beheert. Het kost hun doorgaans ruim minder dan een uur, verspreid over een paar weken van veilige bewaking.

Stopt DMARC inschakelen per ongeluk dat mijn eigen e-mails doorkomen?

Dat kan — maar alleen als u de veilige uitrol overslaat. Het hele punt van beginnen bij «alleen monitoren» (p=none) met rapportage aan, is dat u twee weken meekijkt en bevestigt dat elke legitieme afzender (uw mailbox, uw nieuwsbrieftool, uw facturatie-app) correct wordt herkend VOORDAT u overschakelt naar blokkeren. In die volgorde gedaan blijft uw echte mail onaangetast. Direct naar «reject» rennen zonder de rapporten te bekijken is de ene veelgemaakte fout die afleverbaarheid breekt.

Ik heb SPF en DKIM al ingesteld. Is dat niet genoeg?

Nee — en dit is het belangrijkste punt om te begrijpen. SPF en DKIM zijn de sloten; DMARC is de instructie die zegt «als de sloten niet kloppen, weiger de e-mail». Zonder DMARC op «reject» kan een ontvangende server merken dat een e-mail vervalst is en die toch afleveren. SPF en DKIM zijn voorwaarden om DMARC te laten werken, maar op zichzelf voorkomen ze niet dat een vervalste e-mail de inbox bereikt.

Wat is het verschil tussen «none», «quarantine» en «reject»? Welke heb ik nodig?

«none» kijkt en rapporteert alleen — het stopt niets, dus het beschermt u niet. «quarantine» stuurt vervalsingen naar de spammap. «reject» weigert ze ronduit, zodat ze nooit aankomen. «reject» is het doel en de enige instelling die volle punten verdient. «quarantine» is een redelijke tussenstap; «none» is een startpunt voor de eerste paar weken, geen eindbestemming.

Wat is dat «rua»-rapportagedingetje, en heb ik dat nodig?

De rua-tag vraagt mailproviders om u een dagelijks overzicht te sturen van elk systeem dat probeerde namens uw domein e-mail te versturen — inclusief de criminelen. Zo ontdekken bedrijven de 5 tot 50 ongeautoriseerde afzenders die doorgaans op dag één een domein misbruiken. Op zichzelf weegt het minder zwaar dan het beleid, maar het is hoe u veilig naar «reject» beweegt zonder uw echte mail te breken, dus stel het tegelijk in.

We versturen nauwelijks e-mail, of we versturen helemaal geen e-mail vanaf dit domein. Hebben we dan nog DMARC nodig?

Juist dan. Een domein dat weinig of geen echte e-mail verstuurt, is een perfect, ruisarm doelwit voor criminelen om na te bootsen, omdat niemand oplet. Een domein waarvan u nooit mail verstuurt, moet een strikt reject-beleid publiceren — het is een schone, risicoarme winst die de deur volledig dichtslaat.