DMARC Instellen 2026 — Stap voor stap handleiding
E-mailspoofing is een van de meest voorkomende aanvalsmethoden. Aanvallers versturen e-mails die lijken te komen van uw domein — naar uw klanten, medewerkers of partners. DMARC voorkomt dit. In deze handleiding leert u hoe u DMARC, SPF en DKIM correct instelt.
→ Controleer uw DMARC/SPF/DKIM gratisWat zijn SPF, DKIM en DMARC?
| Protocol | Wat het doet | Hoe |
|---|---|---|
| SPF | Geeft aan welke servers e-mail mogen versturen voor uw domein | DNS TXT record |
| DKIM | Ondertekent e-mails met een cryptografische sleutel | DNS TXT record + configuratie bij e-mailprovider |
| DMARC | Bepaalt wat er gebeurt met e-mails die SPF/DKIM niet halen | DNS TXT record op _dmarc.uwdomein.nl |
DMARC werkt alleen goed als SPF én DKIM correct zijn geconfigureerd. Begin altijd met stap 1 en 2 voordat u DMARC instelt.
Stap 1: SPF record instellen
1Ga naar uw DNS-beheer (Strato, TransIP, Cloudflare, etc.)
Voeg een TXT record toe voor uw domein (bijv. uwdomein.nl):
v=spf1 include:_spf.google.com ~all
Pas include: aan op uw e-mailprovider:
- Google Workspace:
include:_spf.google.com - Microsoft 365:
include:spf.protection.outlook.com - Strato:
include:strato.de - Mailchimp:
include:servers.mcsv.net
Stap 2: DKIM configureren
2DKIM wordt geconfigureerd in uw e-mailprovider. De provider genereert een sleutelpaar en u voegt de publieke sleutel toe aan uw DNS.
Bij Google Workspace: Admin Console → Apps → Google Workspace → Gmail → E-mailverificatie → DKIM genereren
Het te plaatsen DNS record ziet er zo uit:
Naam: google._domainkey.uwdomein.nl
Type: TXT
Waarde: v=DKIM1; k=rsa; p=MIIBIjANBgkq...
Stap 3: DMARC record aanmaken
3Voeg een TXT record toe voor _dmarc.uwdomein.nl:
Begin altijd met "none" (monitoring mode):
v=DMARC1; p=none; rua=mailto:dmarc@uwdomein.nl
Na 2-4 weken monitoring kunt u overgaan op quarantine of reject:
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@uwdomein.nl
v=DMARC1; p=reject; rua=mailto:dmarc@uwdomein.nl
DMARC policy uitleg
| Policy | Wat er gebeurt | Wanneer gebruiken |
|---|---|---|
none | Alleen monitoring, geen actie | Begin altijd hiermee |
quarantine | Verdachte e-mails naar spam | Na succesvolle monitoring |
reject | Verdachte e-mails geweigerd | Eindstand, maximale bescherming |
Uw configuratie controleren
GDPRcheck.nl controleert uw SPF, DKIM en DMARC records automatisch en geeft concrete aanbevelingen als er iets ontbreekt of fout is.
→ Controleer uw e-mailbeveiliging gratisVeelgestelde vragen
Wat als ik meerdere e-mailproviders gebruik?
Voeg alle providers toe in uw SPF record met meerdere include: statements. Houd de 10 DNS-opzoekingen limiet in de gaten.
Hoe lang duurt het voor DNS-wijzigingen actief zijn?
De meeste DNS-wijzigingen zijn binnen 15 minuten tot 1 uur actief. Maximaal 24-48 uur bij trage DNS-propagatie.
Is DMARC verplicht vanuit de AVG?
Niet expliciet, maar DMARC valt onder de beveiligingsverplichting van AVG artikel 32. De Autoriteit Persoonsgegevens verwacht passende technische maatregelen.