Wat is DMARC en hoe werkt het? Uitleg en instellen
Gepubliceerd op 3 juli 2026 8 min leestijd
DMARC beschermt je domein tegen spoofing en phishing. Lees wat DMARC is, hoe je een DMARC-record instelt en welke policy je het beste kiest.
DMARC is een DNS-instelling waarmee je voorkomt dat criminelen e-mail versturen die lijkt te komen van jouw domein. Het bouwt voort op SPF en DKIM en vertelt ontvangende mailservers wat ze moeten doen met berichten die de controle niet doorstaan: niets, in de spam plaatsen of weigeren. In dit artikel lees je wat DMARC is, hoe het samenwerkt met SPF en DKIM, hoe je een DMARC-record instelt en welke policy (none, quarantine of reject) bij jouw situatie past.
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Het is een TXT-record in je DNS dat twee dingen regelt. Ten eerste een beleid: wat moet een ontvangende server doen als een bericht dat zogenaamd van jouw domein komt de controle niet doorstaat? Ten tweede rapportage: je ontvangt overzichten van wie er e-mail verstuurt namens jouw domein.
Waar je MX-record bepaalt welke server jouw inkomende e-mail ontvangt, en SPF en DKIM aangeven wie namens jouw domein mag verzenden, voegt DMARC de sluitsteen toe. Zonder DMARC controleren ontvangers wel SPF en DKIM, maar kijken ze niet naar het afzenderadres dat de lezer echt ziet. Juist dat gat gebruiken oplichters bij phishing en spoofing.
Hoe werkt DMARC samen met SPF en DKIM?
DMARC werkt nooit alleen. Het leunt op twee bestaande technieken die je eerst op orde moet hebben.
- Een SPF-record vertelt welke servers namens jouw domein mogen verzenden. De ontvanger controleert daarbij het envelopadres (de Return-Path), niet het zichtbare afzenderadres.
- DKIM zet een digitale handtekening op je uitgaande e-mail. De ontvanger controleert die handtekening met een publieke sleutel in je DNS.
Geen van beide kijkt naar het From-adres dat je lezer in zijn mailprogramma ziet. Een spammer kan SPF en DKIM prima laten slagen voor zijn eigen domein en tegelijk jouw domein in het From-veld zetten. DMARC dicht dat gat met uitlijning.
Uitlijning: de kern van DMARC
Uitlijning (alignment) betekent dat het domein in het zichtbare From-adres moet overeenkomen met het domein dat SPF of DKIM heeft gecontroleerd. DMARC slaagt zodra minstens één van beide slaagt en is uitgelijnd met jouw From-domein. Slagen ze allebei niet, of horen ze bij een ander domein, dan grijpt je DMARC-policy in.
Er zijn twee modi. Bij relaxed (de standaard) telt ook een subdomein bij het hoofddomein als match, bijvoorbeeld mail.jouwdomein.nl bij jouwdomein.nl. Bij strict moet het domein exact gelijk zijn. Je stelt dit in met de tags aspf (voor SPF) en adkim (voor DKIM). DKIM is de sterkste pijler, omdat een DKIM-handtekening blijft kloppen als je e-mail wordt doorgestuurd, terwijl SPF dan juist breekt.
Een DMARC-record instellen
Een DMARC-record is een gewone TXT-regel in je DNS. Bij LJPc hosting beheer je het in de DNS-instellingen van je domein. Ga stap voor stap te werk.
- Zorg eerst dat SPF en DKIM werken voor al je verzendende diensten (je mailserver, maar ook nieuwsbrieftools, je boekhoudpakket of je CRM). DMARC heeft die basis nodig.
- Maak een TXT-record aan met als naam _dmarc. De volledige naam wordt dan _dmarc.jouwdomein.nl.
- Zet als waarde in elk geval de versie en een policy. Begin met een policy die niets blokkeert.
- Voeg een rua-adres toe zodat je rapporten ontvangt. Zonder dat adres zie je niet of alles goed gaat.
- Publiceer precies één DMARC-record per domein en wacht tot de wijziging is verspreid. Dat kan 24 tot 48 uur duren, afhankelijk van de TTL.
Een veilige startwaarde ziet er zo uit:
v=DMARC1; p=none; rua=mailto:dmarc@jouwdomein.nl;
Deze regel zegt: dit is een DMARC-record (v=DMARC1), onderneem voorlopig geen actie (p=none) en stuur de overzichtsrapporten naar dmarc@jouwdomein.nl. Je e-mail blijft gewoon werken, je verzamelt alleen gegevens.
De policy-opties: none, quarantine en reject
De p-tag bepaalt wat een ontvanger doet met e-mail die de DMARC-controle niet doorstaat. Er zijn drie waarden, die je in deze volgorde uitrolt.
| Policy | Wat de ontvanger doet | Wanneer je hem gebruikt |
|---|---|---|
p=none | Doet niets extra en levert de e-mail gewoon af, maar stuurt je wel rapporten. | Als startpunt, om te zien wie er namens jou verzendt. |
p=quarantine | Behandelt e-mail die de controle niet doorstaat als verdacht en levert die in de spam- of ongewenstmap af. | Als je zeker weet dat je eigen post uitgelijnd is. |
p=reject | Weigert e-mail die de controle niet doorstaat volledig, nog voor de aflevering. | Als eindstation, voor volledige bescherming tegen spoofing. |
Blijf minstens enkele weken op none staan en lees je rapporten. Stap pas over op quarantine, en later op reject, als al je legitieme afzenders slagen en uitgelijnd zijn. Zo voorkom je dat je eigen e-mail wordt tegengehouden. Sinds de vernieuwde DMARC-standaard uit 2026 (RFC 9989) is de oude pct-tag, waarmee je de policy op een percentage van de e-mail kon toepassen, vervallen. Je doorloopt de drie policy's nu stap voor stap terwijl je de rapporten in de gaten houdt.
Belangrijke DMARC-tags
Een DMARC-record bestaat uit tags, gescheiden door puntkomma's. Deze kom je het vaakst tegen.
| Tag | Betekenis |
|---|---|
v | De versie. Altijd v=DMARC1, en dit moet de eerste tag zijn. Verplicht. |
p | De policy voor je domein: none, quarantine of reject. |
rua | Adres voor de dagelijkse overzichtsrapporten (aggregate), bijvoorbeeld mailto:dmarc@jouwdomein.nl. |
ruf | Adres voor gedetailleerde foutrapporten per bericht. Wordt lang niet overal ondersteund. |
sp | Een aparte policy voor subdomeinen. Zonder deze tag geldt p ook voor je subdomeinen. |
adkim / aspf | De uitlijningsmodus voor DKIM en SPF: r voor relaxed (standaard) of s voor strict. |
t | Testmodus (t=y). Nieuw in RFC 9989. Hiermee test je een strengere policy zonder die al toe te passen. |
DMARC-rapporten: zo weet je of het werkt
Rapporten zijn het nuttigste onderdeel van DMARC. Ontvangers als Google en Microsoft sturen dagelijks een aggregate-rapport naar je rua-adres. Daarin staat welke servers e-mail verstuurden namens jouw domein en of SPF en DKIM slaagden en uitgelijnd waren.
Die rapporten zijn XML-bestanden die lastig met de hand te lezen zijn. Gebruik een DMARC-rapportagedienst of -tool die de gegevens voor je omzet in een overzicht. Zo ontdek je legitieme afzenders die je nog moet regelen, en zie je meteen of iemand jouw domein misbruikt.
Veelvoorkomende problemen oplossen
| Probleem | Oorzaak en oplossing |
|---|---|
| Er wordt geen DMARC-record gevonden | De naam moet exact _dmarc zijn en de waarde moet met v=DMARC1 beginnen. Controleer op typefouten. |
| DMARC lijkt genegeerd te worden | Er staan meerdere DMARC-records op _dmarc. Er mag er maar één zijn, verwijder de rest. |
| Eigen e-mail komt in de spam na quarantine | Een verzendende dienst is niet uitgelijnd. Zet DKIM aan voor die dienst en stap tijdelijk terug naar none. |
| Doorgestuurde e-mail faalt op SPF | Bij doorsturen breekt SPF. Vertrouw op DKIM-uitlijning, die overleeft doorsturen wel. |
| Legitieme post geblokkeerd na reject | Je bent te snel naar reject gegaan. Ga terug naar none of quarantine tot alle afzenders slagen. |
Met een goed ingesteld DMARC-record bescherm je je domein tegen misbruik en verbeter je de aflevering van je eigen e-mail. Bouw rustig op van none naar reject en houd je rapporten in de gaten. Kom je er niet uit? Neem contact op met support.
Veelgestelde vragen
Wat is het verschil tussen DMARC, SPF en DKIM?
SPF bepaalt welke servers namens jouw domein mogen verzenden en DKIM zet een digitale handtekening op je e-mail. DMARC bindt die twee aan het zichtbare afzenderadres en voegt een beleid en rapportage toe. SPF en DKIM zijn de controles, DMARC bepaalt wat er gebeurt als ze falen.
Heb ik SPF en DKIM nodig voordat ik DMARC instel?
Ja. DMARC steunt volledig op SPF en DKIM. Voor een geslaagde DMARC-controle moet minstens één van beide slagen en uitgelijnd zijn met je From-domein. Regel dus eerst SPF en DKIM, en zet daarna pas DMARC aan.
Welke DMARC-policy moet ik kiezen?
Begin altijd met p=none. Zo verzamel je rapporten zonder dat er e-mail wordt tegengehouden. Ga naar p=quarantine en uiteindelijk p=reject zodra je zeker weet dat al je legitieme afzenders slagen. Reject geeft de beste bescherming tegen spoofing.
Waar plaats ik het DMARC-record?
In je DNS, als TXT-record met de naam _dmarc, zodat de volledige naam _dmarc.jouwdomein.nl wordt. Bij LJPc hosting doe je dit in de DNS-instellingen van je domein. Publiceer maximaal één DMARC-record per domein.
Hoe lang duurt het voordat DMARC werkt?
Het record zelf is meestal binnen enkele minuten actief, en uiterlijk na 24 tot 48 uur, afhankelijk van de TTL. Voor een betrouwbaar beeld laat je de policy daarna nog enkele weken op none staan, zodat je genoeg rapporten verzamelt voordat je verscherpt.
Is DMARC verplicht?
Voor grote afzenders wel. Google en Yahoo (sinds 2024), en Microsoft (sinds mei 2025), eisen SPF, DKIM en DMARC van wie veel e-mail naar hun gebruikers stuurt. Ook voor kleinere domeinen is DMARC sterk aan te raden, omdat het spoofing van jouw domein voorkomt.