Basiskennis8 min leestijd

DMARC instellen stap voor stap

DMARC is het sleutelstuk van moderne e-mailauthenticatie. Zonder correcte DMARC-instellingen worden jouw e-mails automatisch afgewezen door Gmail, Yahoo en andere grote providers. In deze gids volgen we de veilige weg: van testen (p=none) tot volledige beveiliging (p=reject).

Sinds februari 2024 eisen Google en Yahoo verplicht SPF, DKIM én DMARC voor alle massenmailers. DMARC is echter niet zomaar installeren-en-vergeten: het vereist voorbereiding, monitoring en een voorzichtige escalatie. Als je het verkeerd doet, raken je e-mails kwijt — of blokkeer je per ongeluk je eigen bedrijfse-mails.

Deze gids volgt de stappen die professionele mailbeheerders gebruiken: eerst controleren of SPF en DKIM werken, dan DMARC in testing-modus starten, rapporten monitoren, en pas daarna de beleidsniveau versterken.

Wat is DMARC en hoe werken alignment-regels?

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Het is een TXT-record in DNS die Gmail, Yahoo en andere mailservers vertelt: „Dit domein bepaalt wie er e-mails van mijn naam mag versturen, en ik wil rapporten ervan ontvangen."

DMARC werkt door twee dingen te controleren:

  • SPF alignment: Moet het Return-Path-domein (gebruikt voor bounces) gelijk zijn aan — of een subdomain van — jouw From-domein?
  • DKIM alignment: Moet het DKIM-signatuurdomein gelijk zijn aan jouw From-domein?

Als minstens één van die checks slaagt (afhankelijk van je DMARC-modus), mag de e-mail door. Als beide falen, voert de e-mailserver jouw DMARC-beleid uit: quarantine (spam-map), reject (weigeren), of gewoon rapporteren (p=none).

SPFReturn-Path moet alignment hebben met From-domeinDKIMDKIM-signatuurdomein moet alignment hebben met From-domeinDMARCDMARC-beleid bepaalt actie: none, quarantine of reject
SPF, DKIM en DMARC: hoe ze samen authentication controleren

Stap 1: Controleer SPF en DKIM

Voordat je DMARC instelt, moet je eerst weten dat SPF en DKIM al werken. DMARC zelf voert geen authenticatie uit — het evalueert alleen of SPF of DKIM slaagden.

Controleer je SPF-record: Log in op je DNS-beheer en zoek naar een bestaande TXT-record met v=spf1. Als die er is, goed — je hebt al SPF ingesteld. Check of je e-mailprovider (ESP, Shopify, WooCommerce, eigen server) in dat record staat.

Controleer je DKIM-record: Je ESP of mail-provider zal je DKIM-publieke sleutel hebben gegeven. Die staat meestal in een TXT-record met format selector._domainkey.jouwdomein.nl (bijvoorbeeld default._domainkey.bedrijf.nl). Controleer of die in DNS staat en of de sleutel volledig is.

Snelle check zonder tools
Stuur jezelf een e-mail van jouw domein via je ESP en kijk in de headers naar Authentication-Results. Daar zie je direct of SPF en DKIM slaagden en wat de alignment-status was. Veel mailclients tonen dit in het ontvangstbericht.

Stap 2: Maak je eerste DMARC TXT-record (p=none)

Nu ga je een TXT-record toevoegen met je DMARC-beleid. Log in op je DNS-provider en voeg een nieuw record toe met deze naam:

_dmarc.jouwdomein.nl

De waarde is:

v=DMARC1; p=none; rua=mailto:dmarc-reports@jouwdomein.nl

Wat betekent dit?

  • v=DMARC1 — versie (altijd 1).
  • p=none — beleid: „ik wil geen actie" — Gmail etc. rapporteren failures, maar blokkeren niet.
  • rua=mailto:dmarc-reports@jouwdomein.nl — e-mailadres waar aggregate reports heen gaan (één per dag per externe domein).

Zorg dat het e-mailadres dmarc-reports@jouwdomein.nl bereikbaar is (laat het doorsturen naar je eigen inbox als nodig).

v=DMARC1; p=none; rua=mailto:dmarc-reports@jouwdomein.nlVersie: altijd 1Beleid: rapporteer, blokkeer niet

DNS-wijzigingen worden doorgaans binnen een uur verspreid (TTL). Test nadien met je e-mailtool of stuur jezelf een testbericht.

Stap 3: Monitor RUA-rapporten

Nu ontvang je dagelijks (soms meerdaags) XML-rapporten van mailservers over de werking van je DMARC-beleid. Die rapporten zijn verdicht — ze bevatten:

  • Hoeveel e-mails van jouw domein zijn ontvangen (aggregaat).
  • Hoeveel daarvan SPF/DKIM slaagden of faalde.
  • Alignment: slaagde de SPF/DKIM-check en steunde die jouw DMARC-beleid?
  • IP-adressen van verzenders (legale en spoofed).

Waar kijk je naar? In het rapport: rijen met dkim_align=pass of spf_align=pass betekenen dat jouw e-mail slaagde. Rijen met beide op fail duiden op spoofing of misconfiguratie.

Lees deze rapporten minstens twee weken lang. Daar leer je hoe betrouwbaar je SPF/DKIM alignment is. Tools en online parsers (zoals verschillende DMARC-analysators) helpen deze XML-bestanden in grafieken om te zetten. Veel bedrijven zien 95–99% alignment na twee weken — dat is een goed teken om naar stap 4 te gaan.

Stap 4: Escalatie naar p=quarantine en p=reject

Zodra de rapporten laten zien dat minstens 90–95% van jouw e-mails alignment passeert, kun je upgraden.

Fase 1: p=quarantine — update je DMARC-record naar:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@jouwdomein.nl

Dit zegt mailservers: „Zet e-mails die DMARC niet passeren in de spam-map, niet in Inbox." Gmail en Yahoo zullen niet-authentieke e-mails nog steeds proberen af te leveren, maar niet in Inbox.

Run dit niveau nog minstens twee weken. Monitor rapporteren weer. Grote leveranciers (Bol.com, logistiek, banken) kunnen soms niet aan alignment voldoen — die zul je in quarantine zien.

Fase 2: p=reject — wanneer je zeker bent:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@jouwdomein.nl

Dit is het sterkste signaal: „DMARC-failures weigeren." E-mails die je beleid niet passeren, worden direct afgewezen; je mailserver stuurt een bounce terug naar afzender. Dat wil je echt alleen doen als je 99%+ vertrouwen hebt dat je eigen e-mails altijd passeren.

Veelgemaakte fouten

1. SPF/DKIM niet correct aligned voor het DMARC-domein
Je hebt SPF en DKIM, maar ze wijzen naar andere domeinen dan jouw From-header. DMARC eist alignment — Return-Path moet hetzelfde topniveau-domein hebben als From, of SPF/DKIM moet specifiek dat topniveau-domein onderschrijven.

2. Rapportenadres is ongeldig of ontvangt niet
Je voert rua=mailto:dmarc@... in, maar het adres bestaat niet. Mailservers geven de rapport dan gewoon niet af. Test je rapportadres met MX-lookup; zorg dat het mailbox bestaat.

3. Subdomein-verwarring
Je hebt _dmarc.sub.jouwdomein.nl ingesteld, maar je e-mails komen van noreply@jouwdomein.nl (parent-domein). DMARC zoekt eerst naar _dmarc.jouwdomein.nl, en als die niet bestaat, passeert de e-mail — maar er is geen rapport. Zet de record op het domein waar je e-mails daadwerkelijk vandaan gaan.

4. Te snel escaleren naar p=reject
Dit is de ergste fout. Als je direct naar p=reject gaat en je hebt een configuratie-probleem of je ESP haalt niet het alignment, dan vallen jouw e-mails direct weg. Altijd eerst p=none, dan p=quarantine na verifying.

5. Forwarding en subdomein-alignment negeren
Als je e-mails van team@sub.jouwdomein.nl verstuurt maar de SPF/DKIM alignment werkt niet voor sub.jouwdomein.nl, dan mislukt DMARC. Zorg dat elke subdomain waar je e-mail van verstuurt, zijn eigen SPF/DKIM heeft, OF zet DMARC op parent en let op relaxed-modus (minder streng).

Moet ik ook DMARC-rapportage-encryptie toevoegen?

Optioneel, maar weinig mailers gebruiken het. Je kunt fo=1 toevoegen om forensische reports in te schakelen (details over afzenders die falen), maar die zijn ingewikkelder om te parseren. Voor de meeste bedrijven volstaat rua (aggregate reports).

Wat betekent 'relaxed' alignment en moet ik dat instellen?

DMARC ondersteunt twee alignment-modi: strict (domeinen moeten exact gelijk zijn) en relaxed (subdomeinen van dezelfde parent-domain mogen). Standaard zijn beide relaxed. Als je subdomeinen gebruikt, is relaxed often praktischer. In je DMARC-record kun je aspf=strict en adkim=strict toevoegen, maar doe dit alleen als je precies weet wat je doet.

Google zegt dat ik DMARC heb, maar mijn e-mails gaan nog steeds naar spam. Waarom?

DMARC is één stukje van de puzzel. Zelfs met SPF+DKIM+DMARC kunnen e-mails naar spam gaan als: (1) je domein-reputatie laag is (veel spamklachten in het verleden), (2) je bericht zware spam-signalen heeft (te veel links, opvallende woorden), (3) je nog geen one-click-unsubscribe hebt (RFC 8058, Google eist dit sinds 2024), of (4) je IP-adres geblokkeerd is. Test je e-mail met check.live-direct-marketing.online om te zien waar het vastloopt.

Gerelateerde artikelen
Found this useful? Share it
AB
Over de auteur
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Controleer je afleverbaarheid bij 20+ providers

Gmail, Outlook, Yahoo, GMX, ProtonMail en meer. Echte inbox-screenshots, SPF/DKIM/DMARC, spamfilter-oordelen. Gratis, zonder registratie.

Start gratis test →

Onbeperkt testen · 20+ seed-mailboxen · Live resultaten · Geen account nodig