E-mail is nog steeds het meest gebruikte communicatiemiddel voor bedrijven. Tegelijkertijd is het ook het meest kwetsbare kanaal. Het oorspronkelijke e-mailprotocol (SMTP) uit 1982 bevat namelijk geen enkele vorm van identiteitsverificatie. Dat betekent dat zonder de juiste beveiliging letterlijk iedereen een e-mail kan versturen die van uw domein lijkt te komen.
Dit is geen theoretisch risico. Volgens het Anti-Phishing Working Group (APWG) werden er in 2025 meer dan 4,7 miljoen phishing-aanvallen geregistreerd. Een groot deel daarvan maakte gebruik van e-mailspoofing. DMARC is het definitieve antwoord op dit probleem.
Het probleem: spoofing
Criminelen gebruiken "spoofing" om facturen te vervalsen, inloggegevens te stelen of malware te verspreiden. Ze doen zich voor als u. Ze sturen e-mails die er exact uitzien alsof ze van uw bedrijf komen, compleet met uw domeinnaam in het afzenderadres. Kijk eens naar het voorbeeld hiernaast. Ziet u het verschil tussen een echte en een neppe mail? Uw klanten ook niet.
De gevolgen zijn verstrekkend. Niet alleen lopen uw klanten en leveranciers risico, maar uw bedrijfsreputatie staat op het spel. Als klanten frauduleuze e-mails ontvangen die van uw domein lijken te komen, verliest u hun vertrouwen. En dat vertrouwen is veel moeilijker terug te winnen dan het implementeren van DMARC.
Wat is DMARC precies?
DMARC staat voor Domain-based Message Authentication, Reporting, and Conformance. Het is een e-mailauthenticatieprotocol dat voortbouwt op twee andere technologieën: SPF en DKIM. DMARC voegt een cruciaal element toe dat deze twee protocollen misten: een beleid dat ontvangende servers vertelt wat ze moeten doen met e-mails die niet door de authenticatiecontroles komen.
Denk aan DMARC als een verkeersagent die twee andere systemen coördineert:
- SPF (Sender Policy Framework): De gastenlijst. SPF definieert welke mailservers namens uw domein mogen verzenden. Het is als een deurbewaker die controleert of de bezoeker op de lijst staat.
- DKIM (DomainKeys Identified Mail): Het wassen zegel. DKIM voegt een digitale handtekening toe aan elke e-mail. Hiermee kan de ontvangende server verifiëren dat de mail onderweg niet is aangepast.
Als een e-mail faalt voor deze checks, vertelt DMARC de ontvangende server wat hij moet doen: de mail doorlaten en rapporteren, in de spamfolder stoppen, of volledig weigeren.
Hoe werkt DMARC technisch?
Wanneer een e-mail op de server van de ontvanger aankomt, doorloopt deze een reeks checks. De server kijkt eerst naar het SPF-record van het afzenddomein om te controleren of de verzendende server geautoriseerd is. Vervolgens controleert de server de DKIM-handtekening om te verifiëren dat het bericht niet is gewijzigd.
DMARC voegt hier een essentiële stap aan toe: alignment. Dit betekent dat het domein in de "From:" header van de e-mail moet overeenkomen met het domein dat SPF en DKIM gebruiken. Dit voorkomt dat aanvallers legitieme servers misbruiken om namens uw domein te mailen.
Alignment uitgelegd
Stel dat een aanvaller een SPF-record heeft voor hacker.nl en een mail stuurt met als "From:" adres u@uwbedrijf.nl. SPF slaagt voor hacker.nl, maar DMARC alignment faalt omdat het From-domein (uwbedrijf.nl) niet overeenkomt met het SPF-domein (hacker.nl). De mail wordt geweigerd.
De drie beleidsopties
DMARC biedt drie niveaus van beleid die bepalen wat er met niet-geauthenticeerde e-mails moet gebeuren:
p=none (monitoring)
De e-mail wordt gewoon afgeleverd, maar u ontvangt rapportages over welke e-mails slagen en falen. Dit is de startpositie om inzicht te krijgen in uw e-mailverkeer zonder risico op blokkering van legitieme mail.
p=quarantine (spamfolder)
E-mails die niet door de checks komen, worden naar de spamfolder van de ontvanger gestuurd. Dit is een tussenoplossing waarmee u begint met bescherming terwijl u monitort of er geen false positives optreden.
p=reject (volledig blokkeren)
Niet-geauthenticeerde e-mails worden volledig geweigerd door de ontvangende server. Dit is het hoogste beschermingsniveau en het ultieme doel van elke DMARC-implementatie. Uw domein is nu volledig beschermd tegen spoofing.
Pro Tip
Begin altijd met p=none. Hiermee blokkeert u nog niets, maar krijgt u wel inzicht in wie er namens u mailt via de rapportages. Na 4-6 weken monitoring kunt u veilig opschalen naar quarantine en uiteindelijk reject.
DMARC rapportages begrijpen
Een van de krachtigste functies van DMARC zijn de rapportages. Er zijn twee soorten rapporten die u ontvangt:
- Aggregate Reports (RUA): Dagelijkse XML-rapporten met statistieken over alle e-mails die namens uw domein zijn verstuurd. U ziet welke servers mailen, hoeveel mails slagen en falen, en welke bronnen ongeautoriseerd zijn.
- Forensic Reports (RUF): Gedetailleerde rapporten per individuele e-mail die faalt. Deze bevatten meer informatie over de specifieke fout, maar worden door privacy-redenen niet door alle providers verstuurd.
De aggregate reports zijn het meest waardevol. Ze geven u een compleet overzicht van uw e-mail ecosysteem. Vaak ontdekt u in deze rapportages systemen die namens u mailen waarvan u het bestaan niet eens wist: een oud CRM, een marketing-platform, of een ticketsysteem.
Implementatie in 5 stappen
Inventarisatie
Breng alle systemen in kaart die namens uw domein e-mails versturen. Denk aan uw mailserver, CRM, marketing-automation, facturatiesoftware, ticketsysteem en eventuele SaaS-diensten.
SPF configureren
Publiceer een SPF-record in uw DNS dat alle geïdentificeerde verzendservers bevat. Let op de limiet van 10 DNS-lookups. Gebruik ~all als softfail mechanism.
DKIM inschakelen
Activeer DKIM-ondertekening op elke verzendende server. Genereer een 2048-bit sleutelpaar en publiceer de publieke sleutel als TXT-record in uw DNS.
DMARC publiceren met p=none
Start met een monitoring-beleid. Publiceer v=DMARC1; p=none; rua=mailto:dmarc@uwbedrijf.nl in uw DNS. Analyseer de rapportages gedurende 4-6 weken.
Opschalen naar p=reject
Zodra alle legitieme bronnen geïdentificeerd en geconfigureerd zijn, schaal geleidelijk op: eerst naar p=quarantine, dan naar p=reject. Uw domein is nu volledig beschermd.
Veelgemaakte fouten bij DMARC
In onze jarenlange ervaring met DMARC-implementaties zien we steeds dezelfde fouten terugkomen:
- Direct beginnen met p=reject: Zonder monitoring-fase loopt u het risico legitieme e-mails te blokkeren. Begin altijd met p=none.
- SPF-record met te veel lookups: Meer dan 10 DNS-lookups resulteert in een PermError. Uw SPF-record wordt dan volledig genegeerd.
- DKIM niet inschakelen: Sommige organisaties vertrouwen alleen op SPF. Maar DKIM is essentieel voor DMARC alignment bij doorgestuurde e-mails.
- Rapportages negeren: DMARC-rapportages zijn goud waard. Ze onthullen ongeautoriseerde bronnen en configuratiefouten. Besteed tijd aan het analyseren ervan.
- Subdomeinen vergeten: Vergeet niet een DMARC-beleid toe te passen op subdomeinen. Aanvallers gebruiken vaak subdomeinen om beperkingen te omzeilen.
Hulp nodig bij uw DMARC-implementatie?
Wij begeleiden u van monitoring tot volledige bescherming. Gemiddeld bereiken onze klanten p=reject binnen 8 weken.
Gratis adviesgesprek