DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een e-mailauthenticatieprotocol dat voortbouwt op twee eerdere standaarden: SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail). Waar SPF de verzendende server verifieert en DKIM de berichtintegriteit controleert, verbindt DMARC beide door domeineigenaren een DNS-record te laten publiceren dat ontvangende mailservers instrueert wat te doen wanneer een bericht een of beide controles niet doorstaat. DMARC introduceert ook een rapportagemechanisme dat XML-rapporten terugstuurt naar domeineigenaren, zodat zij ongeautoriseerd gebruik van hun domein in e-mailheaders kunnen monitoren.

E-mail blijft het primaire kanaal voor het delen van publicatielinks, het bezorgen van leadnotificaties en het verzenden van transactionele berichten. Zonder DMARC kunnen aanvallers je domeinnaam vervalsen in het "Van"-veld van phishing-e-mails, waardoor frauduleuze berichten lijken te komen van jouw organisatie. Dit schaadt het merkvertrouwen en brengt je contacten in gevaar. Een correct geconfigureerd DMARC-beleid instrueert ontvangende servers om niet-geauthenticeerde berichten in quarantaine te plaatsen of af te wijzen, waardoor vervalste e-mails worden geblokkeerd voordat ze de inbox bereiken. Voor uitgevers die [flipbook](/glossary/flipbook)-links per e-mail verspreiden, verbetert DMARC ook de bezorgbaarheid — mailboxproviders zoals Gmail en Outlook geven voorrang aan domeinen met geldige DMARC-records.

FlipLink's e-mailinfrastructuur is ontworpen om standaard DMARC-validatie te doorstaan. Wanneer FlipLink leadnotificaties, publicatie-deellinks of berichten via [e-mailtemplates](/features/email-templates) verstuurt, voldoen die e-mails aan zowel SPF- als DKIM-vereisten. Als je een aangepast verzenddomein gebruikt, publiceer je een DMARC-record in je DNS dat je beleid en een rapportageadres definieert. FlipLink's verzendpraktijken zijn in overeenstemming met je DMARC-beleid, zodat legitieme e-mails de validatie doorstaan terwijl frauduleuze door ontvangende servers worden onderschept. Dit betekent dat je flipbook-deel-e-mails, leadalerts en geautomatiseerde notificaties betrouwbaar bij ontvangers aankomen zonder als spam te worden gemarkeerd of afgewezen.

Een DMARC-record is een TXT-vermelding in de DNS van je domein. De belangrijkste tags zijn: `v=DMARC1` (versie), `p=` (beleid: none, quarantine of reject), `rua=` (adres voor geaggregeerde rapporten), `ruf=` (adres voor forensische rapporten), `pct=` (percentage berichten waarop het beleid van toepassing is) en `adkim=`/`aspf=` (uitlijningsmodus, strict of relaxed). Uitlijning is het cruciale concept — DMARC controleert of het domein in de "Van"-header overeenkomt met het domein dat is geauthenticeerd door SPF (de envelope-afzender) en DKIM (het ondertekeningsdomein). Relaxed uitlijning staat toe dat subdomeinen overeenkomen met het organisatiedomein, terwijl strict uitlijning een exacte overeenkomst vereist. De meeste uitgevers beginnen met relaxed uitlijning om te voorkomen dat legitieme e-mails van subdomeinen of externe verzenders zoals FlipLink worden geblokkeerd.

1. **Verifieer eerst SPF** — bevestig dat je een geldig SPF-record hebt dat alle geautoriseerde verzendservers omvat (je e-mailprovider, FlipLink, eventuele marketingtools). 2. **Stel DKIM-ondertekening in** — configureer DKIM-sleutels in je DNS en zorg ervoor dat je e-mailprovider uitgaande berichten ondertekent. 3. **Begin met p=none** — publiceer een DMARC-record met `p=none` om te beginnen met het verzamelen van rapporten zonder de bezorging te beïnvloeden: `v=DMARC1; p=none; rua=mailto:dmarc-reports@jouwdomein.nl` 4. **Analyseer rapporten gedurende twee tot vier weken** — gebruik de geaggregeerde rapporten om alle legitieme verzenders te identificeren en ongeautoriseerd gebruik van je domein te ontdekken. 5. **Ga over naar p=quarantine** — zodra je er zeker van bent dat alle legitieme verzenders de authenticatie doorstaan, wijzig het beleid naar quarantine om falende berichten naar spam te routeren. 6. **Ga verder naar p=reject** — nadat je hebt bevestigd dat geen legitieme e-mail in quarantaine wordt geplaatst, stel het beleid in op reject voor maximale bescherming. 7. **Blijf monitoren** — blijf periodiek DMARC-rapporten bekijken om nieuwe verzenders of configuratieafwijkingen op te vangen.

**Kan ik DMARC instellen zonder SPF en DKIM?** Technisch kun je een DMARC-record publiceren zonder deze, maar het heeft geen praktisch effect. DMARC vertrouwt op SPF- en DKIM-resultaten voor zijn slagen/falen-bepaling. Zonder ten minste een van beide zal elk bericht de DMARC-controles niet doorstaan. **Zal DMARC mijn e-mailbezorging verstoren?** Niet als je de geleidelijke aanpak volgt. Beginnen met `p=none` stelt je in staat te observeren welke e-mails slagen en falen zonder iets te blokkeren. Ga pas over naar quarantine of reject nadat je hebt bevestigd dat alle legitieme e-mailbronnen correct zijn geauthenticeerd. **Hoe lang duurt het voordat DMARC van kracht wordt?** DNS-wijzigingen verspreiden zich doorgaans binnen enkele uren, hoewel sommige providers tot 48 uur nodig kunnen hebben. Eenmaal verspreid, beginnen ontvangende servers onmiddellijk je beleid toe te passen en geaggregeerde rapporten arriveren binnen 24 uur.

DMARC voltooit de e-mailauthenticatiestack door domeineigenaren controle te geven over wat er gebeurt wanneer SPF- of DKIM-controles falen — het beschermt je merk tegen spoofing, verbetert de e-mailbezorgbaarheid en biedt inzicht in wie namens jou e-mails verstuurt.