Defaults.Exposed › Instellen › DMARC

DMARC instellen bij Google Workspace

Voeg in uw DNS een DMARC-record toe om ontvangers te vertellen wat ze moeten doen met e-mail die uw SPF- en DKIM-controles niet doorstaat.

Waarom dit belangrijk is voor uw bedrijf

DMARC is het beleid dat SPF en DKIM aan elkaar bindt. Het vertelt ontvangende mailservers wat ze moeten doen wanneer een e-mail die zogenaamd van uw domein komt die controles niet doorstaat — negeren, naar spam sturen of ronduit weigeren — en het kan u rapporten mailen die laten zien wie er post in uw naam verstuurt (en vervalst). In gewone taal: DMARC is wat criminelen daadwerkelijk tegenhoudt om zich voor uw domein uit te geven en zo uw klanten en medewerkers op te lichten. Het is gratis, en het maakt van SPF en DKIM een echte bescherming in plaats van een leuke-om-te-hebben.

Doe eerst SPF en DKIM

DMARC steunt op SPF en DKIM. Stel die in vóór of tegelijk met DMARC. Een DMARC-record op zichzelf — zonder werkende SPF/DKIM — kan ervoor zorgen dat uw eigen legitieme e-mail wordt geblokkeerd. Begin rustig (zie de beleidsnotitie hieronder) en draai het na verloop van tijd strakker aan.

Belangrijk: waar dit gebeurt

Net als SPF is DMARC een DNS-record, geen instelling in de Google-beheerconsole. Google Workspace verzorgt uw e-mail, maar het DMARC-record wordt toegevoegd waar de DNS van uw domein staat — bij uw registrar, webhost, Cloudflare, of wie er ook over uw nameservers gaat. Er valt voor DMARC niets aan te zetten binnen Google; Google’s aandeel is simpelweg dat werkende SPF en DKIM (afzonderlijk ingesteld) datgene zijn waar DMARC op steunt.

Eerst: welk bedrijf beheert uw DNS?

Een DMARC-record werkt alleen als het wordt toegevoegd waar de nameservers van uw domein naartoe verwijzen. Weet u het niet zeker, bekijk dan het gedeelte Nameservers in uw registrar-account, of vraag het aan wie uw website heeft opgezet. Voeg het record toe in de DNS-instellingen van dat bedrijf (zoek naar DNS / Records / Advanced DNS).

Wat u toevoegt

Eén enkel TXT-record op een speciale hostnaam: _dmarc.

Een veilige startwaarde, die alleen monitort en nooit iets blokkeert, is:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = alleen monitoren; er wordt voorlopig niets geblokkeerd. Goed voor de eerste weken.
• rua=mailto:... = waarheen de samenvattende rapporten worden gestuurd. Gebruik een echte postbus die u controleert.
• Zodra u (via de rapporten en de gratis controle) heeft bevestigd dat uw echte post slaagt, kunt u het beleid strakker zetten op p=quarantine (falende post naar spam) en later p=reject (falende post ronduit weigeren).

Stappen

1. Log in bij uw DNS-host (uw registrar, webhost of DNS-provider — niet de Google-beheerconsole).
2. Open de DNS-instellingen voor uw domein (zoek naar DNS / Records / Advanced DNS).
3. Voeg een nieuw record toe en kies TXT.
4. Vul in het veld Name / Host exact _dmarc in (met de underscore vooraan). Typ niet _dmarc.uwdomein.nl — de DNS-host voegt uw domein automatisch toe.
5. Plak in het veld Value uw DMARC-tekst, bijv. v=DMARC1; p=none; rua=mailto:[email protected] (vervang het e-mailadres door een echt adres dat u in de gaten houdt).
6. Laat TTL op de standaardwaarde staan.
7. Sla op.

Valkuilen die mensen verkeerd doen

• Het staat niet in de Google-beheerconsole. Mensen zoeken zich suf in Google’s instellingen naar DMARC — daar staat het niet. Het hoort thuis bij uw DNS-host.
• De hostnaam is _dmarc, met de underscore. De underscore weglaten, of het volledige domein erachter typen, zet het record op de verkeerde plek en DMARC wordt dan niet gevonden.
• Let op de aanhalingstekens. Plak de waarde kaal; de meeste DNS-hosts zetten de aanhalingstekens er zelf omheen. Zet er zelf geen "..." omheen.
• Slechts één DMARC-record. Er hoort precies één TXT-record op _dmarc te staan. Bestaat er al een, bewerk die dan in plaats van een tweede toe te voegen.
• Begin met p=none. Direct naar p=reject springen voordat SPF/DKIM degelijk staan, kan uw eigen facturen en offertes blokkeren. Monitor eerst, draai later strakker aan.
• Gebruik een echte rapportagepostbus. Het rua-adres moet er een zijn waarop u daadwerkelijk post kunt ontvangen.
• Geef het tijd. DNS-wijzigingen kunnen van minuten tot een paar uur duren voordat ze overal actief zijn.

Controleer of het gelukt is

Zodra het is opgeslagen, bevestig dan met de gratis controle op Defaults.Exposed dat uw DMARC-record actief en zinnig is. Vul uw domein in en u krijgt in gewone taal te horen of DMARC correct is ingesteld en wat de volgende stap is. Uw gegevens worden in de EU verwerkt.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.