Tool

DMARC record generator

Bouw een geldig DMARC-record met het juiste gefaseerde uitrolpad. Van monitoren naar handhaven, zonder je mailstroom te verstoren.

Gefaseerd uitrolpad

Rapportage-URL instellen

p=none tot p=reject

Kopieer direct

Domein (optioneel)Wordt gebruikt in de rapportage-adressen van het gefaseerd-uitrol blok hieronder.

Policy p=Wat moet de ontvanger doen met mail die DMARC niet doorstaat?

Aggregate-rapportage rua=E-mailadres voor de dagelijkse XML-rapporten. Sterk aanbevolen — zonder dit ben je blind.

Jouw DMARC-record

v=DMARC1; p=none; fo=1

DNS-publicatie

Host / Naam: _dmarc.voorbeeld.nl
Type: TXT
Waarde: het record hierboven
TTL: 3600 (1 uur)

Controleer het resultaat na publicatie met de SPF/DKIM/DMARC checker →

Aanbevolen gefaseerde uitrol

Begin bij stap 1 en wacht minimaal een week per stap. Controleer de rapporten op je rua-adres voordat je verder gaat.

1Monitorenp=none

Geen actie op gefaalde mail. Je ontvangt rapporten zonder dat er iets geblokkeerd wordt.

v=DMARC1; p=none; rua=mailto:dmarc@voorbeeld.nl; adkim=r; aspf=r; pct=100

2Gefaseerd quarantinep=quarantine pct=25

25% van gefaalde mail gaat naar spam. Zo test je de impact voordat je vol doordrukhaalt.

v=DMARC1; p=quarantine; rua=mailto:dmarc@voorbeeld.nl; pct=25

3Volledig afdwingenp=reject

Alle gefaalde mail wordt geweigerd. Gebruik dit pas als je zeker bent dat je authenticatie klopt.

v=DMARC1; p=reject; rua=mailto:dmarc@voorbeeld.nl; pct=100

Achtergrond

Alles over DMARC-records

Wat doet DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) bouwt voort op SPF en DKIM. Het geeft mailservers instructies wat ze moeten doen als een bericht die checks niet doorstaat: niets, naar spam sturen of weigeren.

Waarom gefaseerd?

Als je direct op p=reject begint loop je het risico dat legitieme e-mail wordt geweigerd, bijvoorbeeld via forwarding of aliassen. Begin met p=none, bekijk een paar weken de aggregate-rapporten en schakel dan over naar p=quarantine of p=reject.

DMARC-rapporten lezen

Aggregate-rapporten (rua=) zijn XML-bestanden die je per dag ontvangt van grote mailproviders. Tools zoals MXToolbox DMARC Analyzer maken ze leesbaar: je ziet per IP-adres hoeveel mails er zijn verstuurd en hoe de authenticatie uitpakte.

Alignment: relaxed vs strict

Bij relaxed alignment (standaard) mag het signing-domein van DKIM een subdomein zijn van het From-domein. Bij strict moet het exact overeenkomen. Gebruik relaxed tenzij je een specifieke beveiligingsreden hebt voor strict.

Na het aanmaken van je DMARC-record:

DMARC controleren na publicatie Nog geen SPF? Genereer het eerst E-mail tester

Automatische authenticatie met Wesender. We configureren SPF, DKIM en DMARC automatisch als je je domein verifieert.

Gratis beginnen Controleer je huidige DMARC →