DMARC-beleidsgenerator

Stel een DMARC-beleid à la carte samen en zie de DNS-record zichzelf opbouwen — of plak een record die je al hebt en lees deze terug als keuzes in gewone taal. Ze blijven beide kanten op synchroon.

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) is een kleine DNS-record die de mailboxen van de wereld vertelt wat ze moeten doen met e-mail die beweert van jouw domein afkomstig te zijn, maar dat niet kan bewijzen. In gewone taal: het is hoe je voorkomt dat oplichters overtuigende phishingmails met “you@yourcompany.com” naar je klanten sturen.

E-mail heeft geen ingebouwde manier om te verifiëren wie een bericht echt heeft verzonden — iedereen kan jouw adres op de “From”-regel typen. Twee oudere standaarden, SPF en DKIM, stellen een ontvangende mailserver in staat te controleren of een bericht daadwerkelijk afkomstig is van een server die jij hebt geautoriseerd. DMARC bindt ze samen: het laat je ontvangers vertellen wat ze moeten doen wanneer die controles falen, en vraagt ze je rapporten te mailen zodat je kunt zien wie er mail verstuurt als jouw domein.

SPF

Een openbare lijst van de mailservers die voor jouw domein mogen verzenden. De ontvanger controleert de verzendende server aan de hand van die lijst.

DKIM

Een fraudebestendige digitale handtekening die aan elk bericht wordt toegevoegd, zodat de ontvanger kan bevestigen dat het onderweg niet is vervalst of gewijzigd.

DMARC

Staat boven beide. Het bepaalt wat er gebeurt wanneer een bericht zowel SPF als DKIM niet doorstaat, en verzamelt rapporten — precies wat je hieronder configureert.

Je publiceert de record die deze tool bouwt als een TXT-record op _dmarc.yourdomain.com bij je DNS-provider. Nadat je deze hebt opgeslagen, kunnen wijzigingen er een tijdje over doen om zich over het internet te verspreiden (“DNS-propagatie”), dus rapportage begint niet meteen.

Bouw je beleid

Schakel de opties aan de linkerkant in of uit zodat ze bij jouw situatie passen. Lees de toelichting onder elke optie als je twijfelt — de DNS-record aan de rechterkant wordt onderweg bijgewerkt. Heb je al een record? Plak deze in het recordvak en de opties worden ingevuld om overeen te komen.

Beleidswizard

Kies de gewenste opties — de record wordt live bijgewerkt.

Handhaving

p

De belangrijkste: wat je andere mailproviders vraagt te doen met e-mail die de controle niet doorstaat en beweert van jou afkomstig te zijn.

Alleen monitoren. Ontvangers leveren falende mail nog steeds normaal af, maar sturen je rapporten. De veilige plek om te beginnen — je houdt het een paar weken in de gaten voordat je strenger wordt.

Toepassen op een percentage

pct

Een veiligheidsklep: laat ontvangers je beleid in het begin op slechts een deel van de mail toepassen (willekeurig gekozen), zodat een fout niet meteen iedereen treft. De meeste mensen laten dit op 100% staan.

Subdomeinbeleid

sp

Stel een aparte regel in voor subdomeinen zoals news.yourdomain.com of mail.yourdomain.com. Laat je dit uit, dan volgen ze gewoon het hoofdbeleid hierboven.

Niet-bestaande subdomeinen

np

Een strengere regel speciaal voor subdomeinen die je nooit hebt ingesteld. Oplichters zijn er dol op, omdat er geen echte mail is die je per ongeluk kunt blokkeren — weigeren is hier dus meestal veilig.

DKIM-uitlijning

adkim

Hoe nauwkeurig het domein van de DKIM-handtekening moet overeenkomen met je From-adres. Soepel telt een subdomein (mail.yourdomain.com) als een overeenkomst met yourdomain.com; strikt vereist een exacte overeenkomst. Soepel is de gebruikelijke keuze.

SPF-uitlijning

aspf

Hetzelfde idee voor SPF: hoe nauwkeurig het domein van de verzendende server moet overeenkomen met je From-adres. Soepel staat toe dat subdomeinen overeenkomen; strikt vereist een exacte overeenkomst. Soepel is de gebruikelijke keuze.

Geaggregeerde rapporten

rua

Het e-mailadres dat de dagelijkse samenvattingsrapporten ontvangt. Deze laten zien wie er mail verstuurt als jouw domein en of die de controle doorstaat — precies de reden om bij Geen te beginnen. Sterk aanbevolen.

Foutrapporten

ruf

Een adres voor gedetailleerde rapporten over individuele berichten die zijn gefaald. Handig voor het oplossen van problemen, maar de meeste providers sturen deze om privacyredenen niet meer — het is dus optioneel.

Rapportinterval

ri

Hoe vaak je de geaggregeerde rapporten zou willen ontvangen. In de praktijk sturen ontvangers ze sowieso vrijwel altijd eenmaal per dag, dus de standaardwaarde (86400 seconden = 24 uur) kun je gerust ongewijzigd laten.

DNS-record

Publiceer deze TXT-record bij je domein.

Geldig
Type
TXT
Host
_dmarc

Voeg dit toe als een nieuwe record bij je DNS-provider. “Type” en “Host” zijn de velden waar het naar vraagt — sommige providers willen alleen _dmarc in het hostveld en voegen het domein voor je toe.

Waarde

Plak hier een bestaande record en de wizard past zich daaraan aan.

Begin met één kanaal.
Voeg de rest toe wanneer je er klaar voor bent.

Een test-API-key is direct beschikbaar. Productietoegang wordt ontgrendeld zodra je een betaalmethode toevoegt en een afzender verifieert.

Aan de slagLees de docs

Gebruik je Claude Code, Cursor of Codex? Kopieer een setup-prompt en je agent installeert de Bird CLI en skills voor je. Kies de jouwe:

Cursor