DMARC bouwt voort op SPF en DKIM en bepaalt wat ontvangers doen met e-mail die de authenticatie niet doorstaat. Voor een Microsoft 365-domein stelt u DMARC in als een TXT-record en bouwt u het beleid veilig op van monitoren naar handhaven. In dit artikel leest u hoe u DMARC voor Microsoft 365 instelt.
Probleem
E-mail vanaf uw Microsoft 365-domein kan worden vervalst (spoofing), en u heeft geen zicht op wie namens uw domein verzendt. Zonder DMARC ontbreekt zowel het beleid voor afwijzing als de rapportage over verzendende bronnen.
Oorzaak
SPF en DKIM authenticeren e-mail, maar zonder DMARC is er geen instructie aan ontvangers wat te doen wanneer die controles falen. Vervalste e-mail kan dan alsnog worden afgeleverd.
Ook ontbreekt zonder DMARC de rapportage die laat zien welke bronnen namens uw domein verzenden en of zij SPF en DKIM doorstaan.
Een veelgemaakte fout is direct een streng beleid (p=reject) instellen zonder eerst te monitoren, waardoor legitieme e-mail onbedoeld wordt geblokkeerd.
Oplossing
Zorg eerst dat SPF en DKIM voor uw Microsoft 365-domein correct zijn ingesteld.
Plaats een DMARC TXT-record op _dmarc.uwdomein.nl, beginnend in de monitorstand (p=none) met een rapportageadres.
Analyseer de rapporten, corrigeer legitieme bronnen en verhoog het beleid stapsgewijs naar quarantine en uiteindelijk reject.
Stappenplan
- Controleer dat SPF en DKIM voor het domein werken.
- Stel een DMARC TXT-record op met p=none en een rua-adres.
- Plaats het record op _dmarc.uwdomein.nl.
- Wacht op propagatie en verzamel de rapporten.
- Analyseer welke bronnen namens uw domein verzenden.
- Corrigeer legitieme bronnen die nog falen.
- Verhoog het beleid naar p=quarantine.
- Verhoog uiteindelijk naar p=reject zodra alles klopt.
Voorbeeld DMARC-record (opbouw)
Een DMARC-record begint in de monitorstand en wordt stapsgewijs strenger. Onderstaand de opbouw.
Voorbeeld:
Start: v=DMARC1; p=none; rua=mailto:dmarc@uwdomein.nl Midden: v=DMARC1; p=quarantine; rua=mailto:dmarc@uwdomein.nl Eind: v=DMARC1; p=reject; rua=mailto:dmarc@uwdomein.nl
Veilige opbouw van het DMARC-beleid
De kern van een goede DMARC-uitrol is geleidelijkheid. U begint met p=none, waarbij niets wordt geblokkeerd maar u wel rapporten ontvangt. Op basis daarvan ziet u welke legitieme diensten namens uw domein verzenden, zoals Microsoft 365 zelf, nieuwsbriefdiensten of CRM-systemen.
Pas wanneer al die legitieme bronnen correct door SPF of DKIM komen en zijn uitgelijnd, verhoogt u het beleid naar quarantine en daarna reject. Zo voorkomt u dat eigen e-mail in de spam belandt of wordt geweigerd tijdens de uitrol.
DMARC vereist alignment: het domein dat SPF of DKIM gebruikt, moet overeenkomen met het zichtbare afzenderdomein. In Microsoft 365 is dit doorgaans in orde wanneer SPF en DKIM correct voor uw eigen domein zijn ingesteld.
- Begin met p=none en rapportage
- Verhoog pas na correctie van legitieme bronnen
- DMARC vereist SPF- of DKIM-alignment
Veelgemaakte fouten
- Direct p=reject instellen zonder eerst te monitoren.
- DMARC instellen terwijl SPF of DKIM nog niet correct werkt.
- Geen rua-adres opnemen, waardoor er geen rapporten komen.
- Legitieme bronnen niet corrigeren voordat u handhaaft.
- Het record op de verkeerde naam plaatsen in plaats van _dmarc.
- Aannemen dat p=none al bescherming biedt; het monitort alleen.
Controle na afloop
- Controleer dat het DMARC-record op _dmarc.uwdomein.nl resolvt.
- Controleer dat er rapporten binnenkomen op het rua-adres.
- Controleer per bron of SPF en DKIM slagen en zijn uitgelijnd.
- Controleer na elke beleidsverhoging de impact in de rapporten.
Praktische tips
- Stel SPF en DKIM eerst correct in voordat u DMARC verhoogt.
- Blijf voldoende lang in de monitorstand.
- Gebruik een rapportagetool om de XML leesbaar te maken.
- Verhoog het beleid pas als alle legitieme bronnen slagen.
Veelgestelde vragen
Moet ik DMARC apart instellen naast SPF en DKIM?
Ja. SPF en DKIM authenticeren e-mail; DMARC bepaalt wat ontvangers doen bij een mislukte controle en levert rapportage. De drie vullen elkaar aan.
Kan ik direct p=reject gebruiken?
Dat wordt afgeraden. Begin met p=none om te monitoren, corrigeer legitieme bronnen en verhoog daarna stapsgewijs naar reject.
Waar plaats ik het DMARC-record?
Als TXT-record op de naam _dmarc.uwdomein.nl in het DNS van uw domein.
Samenvatting
DMARC voor Microsoft 365 stelt u in als TXT-record op _dmarc.uwdomein.nl, nadat SPF en DKIM correct werken. Begin met p=none en rapportage, analyseer welke bronnen namens uw domein verzenden, corrigeer legitieme bronnen en verhoog het beleid stapsgewijs naar quarantine en reject. Zo beschermt u tegen spoofing zonder eigen e-mail te blokkeren.
Gerelateerde artikelen
- DMARC instellen: beleid en rapportage voor e-mail
- DMARC-rapporten uitlezen: inzicht in wie namens uw domein verzendt
- DKIM inschakelen in Microsoft 365
Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren