Technical Reference · 2026 Edition

DMARC instellen: Van p=none naar p=reject (Handleiding 2026)

De complete stapsgewijze handleiding voor het instellen van DMARC in 2026. Ga van p=none monitoring via p=quarantine naar p=reject enforcement — de vereiste voor BIMI-logoweergave in Gmail en Apple Mail.

Last updated min read

DMARC. Stap voor stap.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) is de onmisbare vereiste voor BIMI. Een domein met p=none zal nooit een logo weergeven in Gmail of Apple Mail, ongeacht hoe perfect het SVG-bestand is geconfigureerd. Deze handleiding behandelt het volledige traject van initiële implementatie tot volledige handhaving.

Vereisten

Bevestig voordat je een DMARC-record aanmaakt dat het volgende al aanwezig is:

  1. SPF-record — Een TXT-record op je apex-domein dat specificeert welke mailservers geautoriseerd zijn om namens jou te verzenden. Voorbeeld: v=spf1 include:_spf.google.com -all
  2. DKIM-record — Een publieke sleutel gepubliceerd in DNS die ontvangende servers gebruiken om je e-mailhandtekeningen te verifiëren. Je e-mailprovider genereert deze.
  3. DNS-toegang — Schrijftoegang tot de DNS-zone van je domein (Cloudflare, Route 53, GoDaddy, of het configuratiepaneel van je registrar).

DMARC vereist dat minimaal SPF of DKIM correct is geconfigureerd en uitgelijnd is met het From:-domein voordat het functioneert.

Stap 1: Maak een Monitoring-record aan (p=none)

Begin met een alleen-monitoring beleid. Dit registreert authenticatiefouten zonder de e-mailbezorging te beïnvloeden.

text
_dmarc.jouwdomein.com  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"

Tag-referentie:

| Tag | Vereist | Beschrijving | |---|---|---| | v=DMARC1 | Ja | Protocolversie. Moet als eerste staan. | | p=none | Ja | Beleid: alleen monitoren, geen actie ondernomen. | | rua=mailto: | Aanbevolen | E-mailadres voor geaggregeerde rapporten. | | pct=100 | Optioneel | Percentage van e-mail onderworpen aan beleid (standaard: 100). |

Publiceer dit record en wacht 48–72 uur op DNS-propagatie.

Stap 2: Lees je geaggregeerde rapporten

Geaggregeerde rapporten (RUA) komen aan als XML-bijlagen, doorgaans eenmaal per dag per verzendbron. Ze tonen:

  • Welke IP-adressen e-mail verzonden die claimde van jouw domein te zijn
  • Of SPF en DKIM slaagden of faalden
  • Hoeveel berichten er van elke bron werden verzonden

Waar je op moet letten: Elke legitieme verzenddienst (je ESP, CRM, ticketsysteem, marketingplatform) die faalt op SPF- of DKIM-uitlijning moet worden opgelost voordat je naar handhaving overgaat. Overgaan naar p=reject met onopgeloste uitlijningsfouten zal legitieme e-mail blokkeren.

Veelvoorkomende bronnen die aparte DKIM/SPF-configuratie vereisen: Mailchimp, Salesforce, HubSpot, Zendesk, SendGrid, Google Workspace, Microsoft 365.

Stap 3: Ga naar p=quarantine

Zodra alle legitieme verzendbronnen authenticatie passeren, werk het beleid bij om gefaalde berichten in quarantaine te plaatsen:

text
_dmarc.jouwdomein.com  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"

Begin met pct=25 om het quarantainebeleid toe te passen op slechts 25% van de falende berichten. Monitor gedurende een tot twee weken. Als er geen legitieme e-mail in quarantaine wordt geplaatst, verhoog dan naar pct=100.

Stap 4: Ga naar p=reject

Volledige handhaving. Niet-geauthenticeerde berichten worden direct afgewezen en nooit bezorgd.

text
_dmarc.jouwdomein.com  IN  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"

Dit is de minimale vereiste voor BIMI. Gmail en Apple Mail zullen je BIMI-record niet verwerken tenzij je domein p=quarantine of p=reject heeft met pct=100. Een beleid van p=none is onzichtbaar voor BIMI — het logo zal nooit verschijnen, ongeacht hoe correct de rest van de configuratie is.

Waarom p=none BIMI blokkeert

De BIMI-specificatie vereist dat mailboxproviders verifiëren dat het verzendende domein een afgedwongen DMARC-beleid heeft voordat het logo wordt weergegeven. De rationale: een logo is een vertrouwenssignaal. Een logo weergeven voor een domein dat geen anti-spoofing controles heeft afgedwongen zou aanvallers in staat stellen geverifieerde logo's te tonen op phishing-e-mails. p=none biedt geen handhaving, dus weigeren providers het BIMI-record te honoreren.

Uitlijning: het detail dat de meeste handleidingen overslaan

DMARC slaagt alleen wanneer het geauthenticeerde domein uitgelijnd is met het From:-headerdomein. Er zijn twee uitlijningsmodi:

  • Ontspannen (standaard): Het organisatiedomein moet overeenkomen. mail.voorbeeld.com lijnt uit met voorbeeld.com.
  • Strikt: Het exacte domein moet overeenkomen. mail.voorbeeld.com lijnt niet uit met voorbeeld.com.

Gebruik voor BIMI ontspannen uitlijning (adkim=r; aspf=r) tenzij je een specifieke reden hebt voor strikt. Strikte uitlijning veroorzaakt fouten voor subdomeinen en externe verzenddiensten.

Complete record-referentie

text
_dmarc.jouwdomein.com  IN  TXT  "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"

| Tag | Waarde | Betekenis | |---|---|---| | p=reject | Afwijzen | Blokkeer niet-geauthenticeerde e-mail | | sp=reject | Afwijzen | Pas hetzelfde beleid toe op subdomeinen | | adkim=s | Strikt | DKIM-uitlijning moet exact zijn | | aspf=s | Strikt | SPF-uitlijning moet exact zijn | | rua= | E-mail | Bestemming voor geaggregeerde rapporten | | pct=100 | 100% | Toepassen op alle e-mail |

Volgende stappen

Zodra je domein p=reject bereikt:

  1. Genereer je BIMI SVG — Gebruik makeBIMI™ om een W3C SVG Tiny P/S compliant logobestand te produceren. Gratis, geen account vereist.
  2. Voer een DMARC-audit uit — De makeBIMI Domain Audit tool verifieert je DMARC-, SPF- en BIMI-recordstatus in realtime.
  3. Verkrijg een certificaat — Voor Gmail-logoweergave is een VMC of CMC vereist. veriBIMI℠ begeleidt het volledige certificaatproces, inclusief DMARC-handhaving beheer, SVG-voorbereiding en CA-aanvraag.