E-mail is nog steeds hét communicatiemiddel voor organisaties. Maar dat maakt het ook een aantrekkelijk doelwit voor misbruik.

Via jouw domeinnaam kunnen anderen namelijk doen alsof ze jou zijn. Zonder goede bescherming kunnen kwaadwillenden phishingmails versturen uit naam van jouw organisatie zonder dat jij of de ontvanger daar iets van merkt.

DMARC is het protocol dat dit helpt voorkomen. Maar alleen als je het goed instelt. Veel organisaties hebben DMARC wél geactiveerd, maar blijven hangen op een ‘none’-policy.

Dit artikel hoort bij ons webinar: Van ‘None’ naar ‘Reject’ – in 30 minuten grip op DMARC Je kunt de opname hier terugkijken:

Wat gaan we doen?

Je doorloopt vijf stappen:

1. Controleer of je domein al een DMARC-record heeft

2. Stel monitoring in via een DMARC-tool

3. Lees en begrijp je rapportages

4. Test of jouw systemen goed ingesteld zijn

5. Schaal je DMARC-policy stapsgewijs op

Let op: dit doe je voor elk domein dat je bezit. Dus óók voor domeinen waar je niet mee mailt. Ook die kunnen worden misbruikt.

Stap 1: Controleer of je domein al een DMARC-record heeft

Gebruik de gratis test op https://internet.nl/test-mail/.
Typ je domeinnaam in (bijvoorbeeld brandaris.it) en je ziet meteen of er een DMARC-record is én welke instellingen daarbij horen.

Staat daar ‘none’ of 'quarantine'? Dan ben je aan het juiste adres met dit artikel.

Stap 2: Stel monitoring in via een DMARC-tool

Je kunt pas verantwoord opschalen als je weet wat er nu gebeurt. Daarom is het slim om DMARC-rapportages te activeren. Die laten zien wie er namens jouw domein e-mail verstuurt en of dat terecht is. 

in dit artikel gebruiken wij DMARC Manager van DMARC Advisor maar er zijn ook andere tools beschikbaar zoals Easydmarc, Valimail, Cloudflare en PostMark. Wij gebruiken DMARC Manager om zijn gebruiksvriendelijkheid en duidelijke rapportages, dit is echter persoonlijk dus voel je vrij om af te wijken, de instructie zal in hoofdlijnen altijd hetzelfde blijven.  Je kan via deze link eenvoudig een trial starten dan kunnen we ook met je meekijken.

Dat doe je door een klein stukje tekst toe te voegen aan je domeininstellingen (de DNS).

Geen zorgen: het is eenvoudiger dan het klinkt.

Wat moet er komen te staan?

Bijvoorbeeld:

_{v=DMARC1; p=none; rua=mailto:uniekestring@rua.eu.dmarcmanager.app; ruf=mailto:uniekestring@ruf.eu.dmarcmanager.app}

• v=DMARC1 = de standaardversie van DMARC
• p=none = je monitort, maar grijpt nog niet in
• rua=mailto: = hier komen de rapportages binnen

Hoe stel je dit in?

1. Ga naar je domeinbeheer (of vraag je IT-partner
2. Voeg het record toe als TXT-record bij _dmarc.jouwdomein.nl

Na een paar dagen komen de eerste inzichten binnen.

Stap 3: Lees en begrijp je rapportages

Na enkele dagen zie je:

• Welke systemen er namens jouw domein e-mail versturen
• Of ze voldoen aan de regels (SPF en DKIM)
• Of er onbekende of verdachte verzenders tussen zitten

Bekijk per verzender of het legitiem is. Herken je iets niet? Dan is het tijd om op te schonen.

Let vooral op systemen als:

• Microsoft 365 / Google Workspace
• E-mailmarketing (Mailchimp, Active Campaign)
• CRM- of facturatiesoftware (Teamleader, Hubspot, Exact Online, Yuki)
• Automatiseringstools

Stap 4: Test of jouw systemen goed ingesteld zijn

Voordat je je DMARC-policy strenger maakt, wil je zeker weten dat jouw legitieme mails goed door de controles komen. Anders loop je het risico dat je eigen e-mails straks als verdacht worden gezien.

Hoe test je dat?

Door jezelf testmails te sturen vanuit elk systeem of applicatie dat namens jouw domein e-mail verzendt. 

Wat je doet:

1. Stuur een testmail naar jezelf (bijv. je werkadres)
2. Bekijk de e-mailheader van dat bericht
3. Controleer of SPF, DKIM en DMARC op “pass” staan

Hoe open je de e-mailheader?

In Outlook op Windows:

• Open het testmailtje
• Klik op Bestand > Eigenschappen
• De headers staan onderaan bij “Internetheaders”

In Outlook op het web (OWA):

• Open het testmailtje
• Klik op de drie puntjes (•••) rechtsboven in het bericht
• Kies “Bericht weergeven” of “View message details”

In Outlook op macOS:

• Open het testmailtje
• Klik op Beeld (of View) > Bericht > Alle headers
• Je ziet nu de volledige header bovenaan het bericht

In Apple Mail (macOS):

• Open het testmailtje
• Ga naar Weergave > Bericht > Alle headers of Ruwe bronversie
• Of gebruik de sneltoets Shift + Command + H
• De header verschijnt in een apart venster

In Gmail (Google Workspace):

• Open het testmailtje
• Klik op de drie puntjes (⁝) rechtsboven in het bericht (naast de beantwoordknop)
• Kies “Origineel weergeven” (Show original)
• Je ziet nu de volledige e-mailheader én een samenvatting van de authenticatieresultaten
• Extra handig: Gmail laat SPF, DKIM en DMARC vaak al direct zien in de samenvatting bovenaan dat geeft je meteen een eerste indruk.

Gebruik de gratis Message Header Analyzer tool van Microsoft: https://mha.azurewebsites.net

Tip: er is ook een handige Outlook-add-in waarmee je met één klik de header kunt bekijken. Zoek in de Microsoft AppSource naar “Message Header Analyzer”.

Waar let je op?

De tool laat je per protocol zien wat het resultaat is:

• SPF: moet op pass staan
• DKIM: ook pass
• DMARC: geeft de eindscore, op basis van SPF en/of DKIM

Let op: het is voldoende als óf SPF óf DKIM slaagt én DMARC daar netjes aan “aligned” is.

Zie je een “fail” of “temperror”? Dan moet er iets worden aangepast voordat je opschaalt.

Stap 5: Schaal je DMARC-policy stapsgewijs op

Als je weet dat je eigen systemen goed ingesteld zijn én je rapportages stabiel zijn, kun je beginnen met het opvoeren van je DMARC-policy.

Maar let op: doe dit altijd stapsgewijs.

Begin met quarantine

In plaats van verdachte e-mails meteen te weigeren, laat je ze in de spamfolder landen. Zo krijg je wel controle, maar veroorzaak je nog geen harde blokkades.

Bijvoorbeeld:

_{v=DMARC1; p=quarantine; pct=25; rua=mailto:...}

• p=quarantine: verdachte e-mails gaan naar spam
• pct=25: 25% van de verdachte e-mails wordt behandeld volgens je polic
• rua: rapporten worden nog steeds verzameld

Begin met 25%, bekijk de effecten, en schaal op naar 50%, 75% en uiteindelijk 100%.

Blijf je rapportages volgen

Controleer of er nog verdachte verzenders zijn. Gaat er legitieme e-mail naar spam? Dan moet je eerst SPF of DKIM voor dat systeem goedzetten.

Als je rapportages laten zien dat je boven de 98% van je mailstromen goed geauthenticeerd hebt (SPF en/of DKIM in orde én aligned), dan kun je over te stappen naar reject.

Pas dan ga je naar reject

v=DMARC1; p=reject; pct=100; rua=mailto:...

Nu worden verdachte e-mails daadwerkelijk geweigerd en niet meer afgeleverd.

Let op: bij voorkeur blijf je ook met rua de rapportages ontvangen, zodat je kunt blijven monitoren ook ná het instellen van reject.

Samengevat

DMARC biedt grip op je e-maildomein. Maar alleen als je meer doet dan alleen ‘meekijken’.

Door monitoring slim op te zetten en stap voor stap op te schalen, voorkom je phishing namens jouw organisatie zonder dat legitieme e-mails vastlopen. Heb je hulp nodig bij het lezen van je rapporten, het aanpassen van je DNS of het analyseren van foutmeldingen? Laat het ons weten. We denken graag mee eenmalig of structureel.

En wil je de webinar-opname terugkijken? LINK
Wil je een trial starten van de tool die wij graag gebruiken? LINK