DMARC instellen

DMARC vertelt ontvangende e-mailservers welke actie ze moeten ondernemen met berichten die vanaf uw domein worden verzonden en die de SPF- of DKIM-authenticatie niet doorstaan. De mogelijke acties zijn: het bericht weigeren, in quarantaine plaatsen of bezorgen. U kunt ook rapporten ontvangen waarmee u mogelijke authenticatieproblemen en kwaadwillige activiteiten voor berichten die vanaf uw domein worden verzonden, kunt identificeren. Stel DMARC in door een DMARC DNS TXT-record ( DMARC-record ) aan uw domein toe te voegen.

Een DMARC-record is een regel tekst die u aan uw domein toevoegt, volgens de instructies van uw domeinprovider. Hier is een voorbeeld van een DMARC-record:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Wanneer ontvangende servers e-mailberichten van uw domein ontvangen die niet voldoen aan de SPF- of DKIM-vereisten, controleren ze uw DMARC-record om te bepalen welke actie ze met de berichten moeten ondernemen: weigeren, in quarantaine plaatsen of normaal bezorgen.

Op deze pagina

Voordat je begint

  • Voordat u DMARC kunt gebruiken, moet u SPF en/of DKIM voor uw domein inschakelen. Als u SPF en/of DKIM nog niet hebt ingesteld, ga dan naar 'Help spoofing, phishing en spam voorkomen' .

    • Als u SPF en/of DKIM niet instelt voordat u DMARC inschakelt, zullen berichten die vanaf uw domein worden verzonden waarschijnlijk problemen ondervinden bij de bezorging.
    • Wacht 48 uur na het instellen van SPF en/of DKIM voordat u DMARC instelt.

  • Om te controleren of DMARC al is ingesteld voor uw domein, kunt u een van de vele gratis tools op internet gebruiken. Als DMARC al is ingesteld, dient u uw DMARC-rapporten te controleren om te verifiëren of DMARC berichten correct authenticeert en of ze naar verwachting worden afgeleverd.

  • Je hoeft niets te doen in je Google Admin-console om DMARC in te stellen. Bepaal in plaats daarvan je DMARC-record door de instructies op deze pagina te volgen. Log vervolgens in bij je domeinhost en voeg het DMARC-record toe volgens de DMARC-instructies van je domeinhost.

Stap 1: Stel een groep of mailbox in voor rapporten.

Het aantal DMARC-rapporten dat u per e-mail ontvangt, kan variëren en is afhankelijk van hoeveel e-mail uw domein verzendt en naar hoeveel domeinen u verzendt. U kunt dagelijks veel rapporten ontvangen. Grote organisaties kunnen er honderden of zelfs duizenden per dag ontvangen. Google raadt aan een groep of een speciale mailbox aan te maken voor het ontvangen en beheren van DMARC-rapporten .

Belangrijk: Het e-mailadres voor rapporten bevindt zich doorgaans in hetzelfde domein als het domein waarop uw DMARC-record is gehost. Als het e-mailadres een ander domein heeft, moet u een DNS-record toevoegen op dat andere domein. Zie Rapporten verzenden naar een e-mailadres in een ander domein op de pagina DMARC-rapporten.

Stap 2: Zorg ervoor dat e-mail van derden is geverifieerd.

Als u een externe dienst gebruikt om namens uw organisatie e-mail te verzenden, moet u ervoor zorgen dat berichten die door externe diensten worden verzonden, worden geverifieerd en de SPF- en DKIM-controles doorstaan.

  • Neem contact op met uw externe provider om te controleren of SPF en DKIM correct zijn ingesteld.
  • Zorg ervoor dat het domein van de afzender in de envelop van de provider overeenkomt met uw domein. Voeg het IP-adres van de verzendende mailservers van de provider toe aan het SPF-record voor uw domein.
  • Stuur uitgaande e-mail van de provider via Google door met behulp van de SMTP-relay-service-instelling .

Stap 3: Bepaal uw DMARC-record

Uw DMARC-beleid wordt gedefinieerd in een regel met tekstwaarden, een zogenaamd DMARC- record. Dit record definieert:

  • Hoe streng moet DMARC berichten controleren?
  • Aanbevolen acties voor de ontvangende server wanneer deze berichten ontvangt die niet voldoen aan de authenticatievereisten.

Voorbeeld van een DMARC-record (vervang example.com door uw domein):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s .

De tags v en p moeten als eerste worden vermeld. Andere tags kunnen in willekeurige volgorde worden vermeld.

Wanneer u DMARC gaat gebruiken, raden we aan de beleidsoptie ( p ) in te stellen op ' geen' . Naarmate u leert hoe berichten van uw domein worden geverifieerd door ontvangende servers, kunt u uw beleid bijwerken. Na verloop van tijd kunt u het beleid voor de ontvanger wijzigen naar 'quarantaine' (of ' weigeren '). Zie Aanbevolen DMARC-implementatie .

DMARC-recordtagdefinities en -waarden

Tag Beschrijving en waarden
v

(Vereist) DMARC-versie. Moet DMARC1 zijn.

P (Vereist) Geeft de ontvangende mailserver instructies over wat te doen met berichten die de authenticatie niet doorstaan.
  • none — Onderneem geen actie op het bericht en bezorg het aan de beoogde ontvanger. Registreer berichten in een dagelijks rapport. Het rapport wordt verzonden naar het e-mailadres dat is opgegeven met de optie 'rua' in het record.
  • quarantine— Markeer de berichten als spam en verplaats ze naar de spammap van de ontvanger. Ontvangers kunnen de spamberichten bekijken om legitieme berichten te herkennen.
  • reject— Het bericht afwijzen. Met deze optie stuurt de ontvangende server meestal een bouncebericht terug naar de verzendende server.

BIMI-opmerking: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantaine of afwijzen . BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op geen .

pct

De pct- tag is optioneel, maar Google raadt aan deze op te nemen in uw DMARC-record bij de implementatie van DMARC, zodat u kunt bepalen op welk percentage van de e-mails uw DMARC-beleid van toepassing is.

Hiermee wordt het percentage niet-geauthenticeerde berichten gespecificeerd dat onderworpen is aan het DMARC-beleid. Wanneer u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van uw berichten. Naarmate meer berichten van uw domein de authenticatie met de ontvangende servers doorstaan, kunt u uw record bijwerken met een hoger percentage, totdat u 100 procent bereikt.

Het moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet in het record gebruikt, is uw DMARC-beleid van toepassing op 100% van de berichten die vanaf uw domein worden verzonden.

BIMI-opmerking: Als uw domein BIMI gebruikt, moet uw DMARC-beleid een pct- waarde van 100 hebben. BIMI ondersteunt geen DMARC-beleid met een pct- waarde lager dan 100.

rua

De rua- tag is optioneel, maar Google raadt aan deze altijd in uw DMARC-record op te nemen.

Stuur DMARC-rapporten naar een e-mailadres. Het e-mailadres moet mailto: bevatten.
Bijvoorbeeld: mailto:dmarc-reports@example.com (vervang example.com door uw domein).

  • Om DMARC-rapporten naar meerdere e-mailadressen te verzenden, scheidt u elk e-mailadres met een komma en voegt u het voorvoegsel mailto: toe vóór elk adres. Bijvoorbeeld: mailto:dmarc-reports@example.com , mailto:dmarc-admin@example.com (vervang example.com door uw domein).
  • Deze optie kan mogelijk leiden tot een grote hoeveelheid e-mails met rapporten. We raden af ​​om uw eigen e-mailadres te gebruiken. Overweeg in plaats daarvan een aparte mailbox, een groep of een externe dienst die gespecialiseerd is in DMARC-rapporten.
  • Om DMARC-rapporten te verzenden naar een e-mailadres in een ander domein dan het domein waarin uw DMARC-record is opgeslagen, voegt u een TXT-record toe aan de DNS van het e-maildomein. Zie Rapporten verzenden naar een e-mailadres in een ander domein op de pagina DMARC-rapporten voor meer informatie.
ruf

(Niet ondersteund) Gmail ondersteunt de ruf- tag niet, die wordt gebruikt om foutmeldingen te verzenden. Foutmeldingen worden ook wel forensische rapporten genoemd.

sp (Optioneel) Hiermee stelt u het beleid in voor berichten van subdomeinen van uw primaire domein. Gebruik deze optie als u een ander DMARC-beleid wilt gebruiken voor uw subdomeinen.
  • none Onderneem geen actie op het bericht en bezorg het aan de beoogde ontvanger. Registreer berichten in een dagelijks rapport. Het rapport wordt verzonden naar het e-mailadres dat is opgegeven met de rua -optie in het beleid.
  • quarantine Markeer de berichten als spam en verplaats ze naar de spammap van de ontvanger. Ontvangers kunnen de spamberichten bekijken om legitieme berichten te herkennen.
  • reject Het bericht afwijzen. Met deze optie moet de ontvangende server een bouncebericht terugsturen naar de verzendende server.

Als u deze optie niet in het record gebruikt, erven subdomeinen het DMARC-beleid dat is ingesteld voor het bovenliggende domein.

adkim (Optioneel) Hiermee stelt u het uitlijningsbeleid voor DKIM in. Dit beleid definieert hoe strikt de berichtinformatie moet overeenkomen met de DKIM-handtekeningen. Lees verderop op deze pagina hoe uitlijning werkt .
  • s Strikte uitlijning. De domeinnaam van de afzender moet exact overeenkomen met de corresponderende d= domeinnaam in de DKIM-mailheaders.
  • r Ontspannen uitlijning (standaard). Maakt gedeeltelijke overeenkomsten mogelijk. Elk geldig subdomein van het d= domain in de DKIM-mailheaders wordt geaccepteerd.
aspf (Optioneel) Hiermee stelt u het uitlijningsbeleid voor SPF in. Dit beleid bepaalt hoe strikt de berichtinformatie moet overeenkomen met de SPF-handtekeningen. Lees verderop op deze pagina hoe uitlijning werkt .
  • s Strikte uitlijning. De From:-header van het bericht moet exact overeenkomen met de domeinnaam in de SMTP MAIL FROM-opdracht.
  • r Ontspannen uitlijning (standaard). Deelovereenkomsten zijn toegestaan. Elk geldig subdomein van de domeinnaam wordt geaccepteerd.

DMARC-afstemming

DMARC accepteert of weigert een bericht op basis van hoe goed het domein in de ' From:' -header overeenkomt met het verzendende domein dat is opgegeven door SPF of DKIM. Dit wordt uitlijning genoemd.

Je kunt kiezen uit twee uitlijningsmodi: strikt of relaxed. Je stelt de uitlijningsmodus voor SPF en DKIM in het DMARC-record in met behulp van de DMARC-recordtags aspf en adkim .

Authenticatiemethode Strikte uitlijning Ontspannen houding
SPF Een exacte overeenkomst tussen het domein in het Envelope-Sender-adres (ook wel Return-Path of bounce-adres genoemd) en het domein in het From: -adres in de header. Het domein in het From: -adres van de header moet overeenkomen met, of een subdomein zijn van, het domein in het Envelope-Sender-adres (ook wel Return-Path- of bounce-adres genoemd).
DKIM Een exacte overeenkomst tussen het relevante DKIM-domein en het domein in het From: -adres van de header. Het domein in het From: -adres van de header moet overeenkomen met, of een subdomein zijn van, het domein dat is opgegeven in de d= -tag van de DKIM-handtekening.

In bepaalde gevallen raadt Google aan om over te schakelen naar strikte uitlijning voor extra bescherming tegen spoofing:

  • E-mailberichten voor uw domein worden verzonden vanaf een subdomein waarover u geen controle heeft.
  • Je hebt subdomeinen die door een andere entiteit worden beheerd.

Om DMARC te doorstaan, moet een bericht aan ten minste één van deze controles voldoen:

  • SPF-authenticatie en SPF-afstemming
  • DKIM-authenticatie en DKIM-afstemming

Een bericht voldoet niet aan de DMARC-controle als het aan beide volgende voorwaarden niet voldoet:

  • SPF (of SPF-afstemming)
  • DKIM (of DKIM-uitlijning)

Stap 4: Voeg uw DMARC-record toe aan uw domein.

Belangrijk: Raadpleeg de DMARC-helpdocumentatie van uw domeinhost voor deze stap. De stappen voor het toevoegen van een DMARC-record variëren, afhankelijk van de domeinhost.

Voeg uw record toe of werk het bij.

Belangrijk: Zorg ervoor dat u DKIM en SPF instelt voordat u DMARC instelt. DKIM en SPF moeten berichten minimaal 48 uur lang authenticeren voordat u DMARC inschakelt.

  1. Zorg dat u het tekstbestand of de regel voor uw DMARC-record bij de hand hebt.
  2. Log in bij je domeinhost, meestal de plek waar je je domeinnaam hebt gekocht. Weet je niet wie je domeinhost is? Raadpleeg dan de pagina 'Je domeinregistrar identificeren' .
  3. Ga naar de pagina waar u de DNS TXT-records voor uw domein kunt bijwerken. Raadpleeg de documentatie van uw domein voor hulp bij het vinden van deze pagina.

  4. Voeg deze informatie toe aan het TXT-record of werk het bij (raadpleeg de documentatie voor uw domein):

    Veldnaam In te voeren waarde
    Type Het bestandstype is TXT .
    Host (Naam, Hostnaam, Alias) Deze waarde moet _dmarc.example.com zijn (vervang example.com door uw domeinnaam).
    Waarde De tekenreeks waaruit het TXT-record bestaat. Bijvoorbeeld: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s . Zie ' Uw DMARC-record bepalen' (eerder op deze pagina) voor meer informatie.
    Let op : sommige domeinhosts voegen de domeinnaam automatisch toe. Nadat u het TXT-record hebt toegevoegd of bijgewerkt, controleert u de domeinnaam in het DMARC-record om er zeker van te zijn dat deze correct is opgemaakt.
  5. Sla je wijzigingen op.
  6. Als u DMARC voor meer dan één domein instelt, volgt u deze stappen voor elk domein. Elk domein kan een ander beleid en andere rapportageopties hebben, zoals gedefinieerd in het DMARC-record.
  7. Om te controleren of DMARC is ingesteld voor uw domein, kunt u een van de vele gratis tools op internet gebruiken.


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.