DMARC instellen: Van p=none naar p=reject (Handleiding 2026)
De complete stapsgewijze handleiding voor het instellen van DMARC in 2026. Ga van p=none monitoring via p=quarantine naar p=reject enforcement — de vereiste voor BIMI-logoweergave in Gmail en Apple Mail.
DMARC. Stap voor stap.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) is de onmisbare vereiste voor BIMI. Een domein met p=none zal nooit een logo weergeven in Gmail of Apple Mail, ongeacht hoe perfect het SVG-bestand is geconfigureerd. Deze handleiding behandelt het volledige traject van initiële implementatie tot volledige handhaving.
Vereisten
Bevestig voordat je een DMARC-record aanmaakt dat het volgende al aanwezig is:
- SPF-record — Een TXT-record op je apex-domein dat specificeert welke mailservers geautoriseerd zijn om namens jou te verzenden. Voorbeeld:
v=spf1 include:_spf.google.com -all - DKIM-record — Een publieke sleutel gepubliceerd in DNS die ontvangende servers gebruiken om je e-mailhandtekeningen te verifiëren. Je e-mailprovider genereert deze.
- DNS-toegang — Schrijftoegang tot de DNS-zone van je domein (Cloudflare, Route 53, GoDaddy, of het configuratiepaneel van je registrar).
DMARC vereist dat minimaal SPF of DKIM correct is geconfigureerd en uitgelijnd is met het From:-domein voordat het functioneert.
Stap 1: Maak een Monitoring-record aan (p=none)
Begin met een alleen-monitoring beleid. Dit registreert authenticatiefouten zonder de e-mailbezorging te beïnvloeden.
_dmarc.jouwdomein.com IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"
Tag-referentie:
| Tag | Vereist | Beschrijving |
|---|---|---|
| v=DMARC1 | Ja | Protocolversie. Moet als eerste staan. |
| p=none | Ja | Beleid: alleen monitoren, geen actie ondernomen. |
| rua=mailto: | Aanbevolen | E-mailadres voor geaggregeerde rapporten. |
| pct=100 | Optioneel | Percentage van e-mail onderworpen aan beleid (standaard: 100). |
Publiceer dit record en wacht 48–72 uur op DNS-propagatie.
Stap 2: Lees je geaggregeerde rapporten
Geaggregeerde rapporten (RUA) komen aan als XML-bijlagen, doorgaans eenmaal per dag per verzendbron. Ze tonen:
- Welke IP-adressen e-mail verzonden die claimde van jouw domein te zijn
- Of SPF en DKIM slaagden of faalden
- Hoeveel berichten er van elke bron werden verzonden
Waar je op moet letten: Elke legitieme verzenddienst (je ESP, CRM, ticketsysteem, marketingplatform) die faalt op SPF- of DKIM-uitlijning moet worden opgelost voordat je naar handhaving overgaat. Overgaan naar p=reject met onopgeloste uitlijningsfouten zal legitieme e-mail blokkeren.
Veelvoorkomende bronnen die aparte DKIM/SPF-configuratie vereisen: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.
Stap 3: Ga naar p=quarantine
Zodra alle legitieme verzendbronnen authenticatie passeren, werk het beleid bij om gefaalde berichten in quarantaine te plaatsen:
_dmarc.jouwdomein.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"
Begin met pct=25 om het quarantainebeleid toe te passen op slechts 25% van de falende berichten. Monitor gedurende een tot twee weken. Als er geen legitieme e-mail in quarantaine wordt geplaatst, verhoog dan naar pct=100.
Stap 4: Ga naar p=reject
Volledige handhaving. Niet-geauthenticeerde berichten worden direct afgewezen en nooit bezorgd.
_dmarc.jouwdomein.com IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"
Dit is de minimale vereiste voor BIMI. Gmail en Apple Mail zullen je BIMI-record niet verwerken tenzij je domein p=quarantine of p=reject heeft met pct=100. Een beleid van p=none is onzichtbaar voor BIMI — het logo zal nooit verschijnen, ongeacht hoe correct de rest van de configuratie is.
Waarom p=none BIMI blokkeert
De BIMI-specificatie vereist dat mailboxproviders verifiëren dat het verzendende domein een afgedwongen DMARC-beleid heeft voordat het logo wordt weergegeven. De rationale: een logo is een vertrouwenssignaal. Een logo weergeven voor een domein dat geen anti-spoofing controles heeft afgedwongen zou aanvallers in staat stellen geverifieerde logo's te tonen op phishing-e-mails. p=none biedt geen handhaving, dus weigeren providers het BIMI-record te honoreren.
Uitlijning: het detail dat de meeste handleidingen overslaan
DMARC slaagt alleen wanneer het geauthenticeerde domein uitgelijnd is met het From:-headerdomein. Er zijn twee uitlijningsmodi:
- Ontspannen (standaard): Het organisatiedomein moet overeenkomen.
mail.voorbeeld.comlijnt uit metvoorbeeld.com. - Strikt: Het exacte domein moet overeenkomen.
mail.voorbeeld.comlijnt niet uit metvoorbeeld.com.
Gebruik voor BIMI ontspannen uitlijning (adkim=r; aspf=r) tenzij je een specifieke reden hebt voor strikt. Strikte uitlijning veroorzaakt fouten voor subdomeinen en externe verzenddiensten.
Complete record-referentie
_dmarc.jouwdomein.com IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"
| Tag | Waarde | Betekenis |
|---|---|---|
| p=reject | Afwijzen | Blokkeer niet-geauthenticeerde e-mail |
| sp=reject | Afwijzen | Pas hetzelfde beleid toe op subdomeinen |
| adkim=s | Strikt | DKIM-uitlijning moet exact zijn |
| aspf=s | Strikt | SPF-uitlijning moet exact zijn |
| rua= | E-mail | Bestemming voor geaggregeerde rapporten |
| pct=100 | 100% | Toepassen op alle e-mail |
Volgende stappen
Zodra je domein p=reject bereikt:
- Genereer je BIMI SVG — Gebruik makeBIMI™ om een W3C SVG Tiny P/S compliant logobestand te produceren. Gratis, geen account vereist.
- Voer een DMARC-audit uit — De makeBIMI Domain Audit tool verifieert je DMARC-, SPF- en BIMI-recordstatus in realtime.
- Verkrijg een certificaat — Voor Gmail-logoweergave is een VMC of CMC vereist. veriBIMI℠ begeleidt het volledige certificaatproces, inclusief DMARC-handhaving beheer, SVG-voorbereiding en CA-aanvraag.