DMARC checker: zo lees je je beleid en record in twee minuten
Je typt je domein in een DMARC checker en krijgt een resultaat terug met termen als p=none, pct=100 en rua-adres. Zonder uitleg zegt dat weinig, terwijl het antwoord op één simpele vraag geeft: staat je domein open voor spoofing, of niet. Voor iedereen die zakelijke mail verstuurt, en zeker voor koude B2B-outreach waarbij het afzenderdomein je enige geloofwaardigheid is, is dat geen technisch detail maar de basis.
- Een DMARC checker leest je DNS-record uit en vertaalt hem naar leesbare instellingen: policy, percentage en rapportage-adres.
- p=none betekent dat je alleen monitort — misbruik van je domein wordt niet tegengehouden, alleen gerapporteerd.
- p=quarantine en p=reject zijn de standen die spoofing daadwerkelijk blokkeren, en die grote mailboxproviders steeds vaker verwachten.
- Een DMARC checker is geen eenmalige actie: controleer na elke wijziging aan SPF, DKIM of verzendende diensten opnieuw.
- Voor gerichte B2B-cold-e-mail is een correct beleid een directe bescherming van je reputatie bij de ontvangende mailserver.
Wat een DMARC-record precies is
DMARC (Domain-based Message Authentication, Reporting and Conformance) is een DNS-tekstrecord dat mailservers vertelt wat ze moeten doen met mail die zich voordoet als jouw domein, maar niet slaagt voor SPF- of DKIM-controle. Het record staat op een vast adres: _dmarc.jouwdomein.nl, als TXT-record.
Een typisch record ziet er ongeveer zo uit: v=DMARC1; p=quarantine; pct=100; rua=mailto:rapporten@jouwdomein.nl. Elk onderdeel heeft een functie: v is de versie, p is het beleid (policy), pct het percentage mail waarop het beleid wordt toegepast, en rua het adres waar geaggregeerde rapporten naartoe gaan.
Zonder DMARC-record kan iedereen die jouw domeinnaam kent, in theorie mail versturen die eruitziet alsof hij van jou komt — een klassieke tactiek bij phishing en factuurfraude. Grote mailboxproviders zoals Gmail en Outlook gebruiken de afwezigheid of zwakte van dit record inmiddels als signaal bij het bepalen of mail in de inbox, in spam, of helemaal niet aankomt.
Naast v, p, pct en rua kent DMARC nog een paar minder bekende tags die het gedrag verder verfijnen. adkim en aspf bepalen hoe streng de alignment tussen het afzenderdomein en de SPF/DKIM-domeinen moet zijn (s voor strict, r voor relaxed). sp stelt een apart beleid in voor subdomeinen, en ruf is het adres voor forensische rapporten per losse mislukte mail, in plaats van de dagelijkse samenvatting via rua. Voor de meeste kleinere zakelijke domeinen zijn v, p, pct en rua voldoende om mee te beginnen; de rest wordt pas relevant bij complexere opzetten met veel subdomeinen.
Hoe je een DMARC checker gebruikt
De meeste gratis checkers werken hetzelfde: je vult je domein in, de tool doet een DNS-lookup naar _dmarc.jouwdomein.nl en toont het gevonden record, uitgesplitst in leesbare velden. Bekende gratis opties zijn MXToolbox, de DMARC-check van dmarcian, Google Admin Toolbox en tools van leveranciers als EasyDMARC of Sendmarc.
Belangrijk is niet alleen te zien dát er een record is, maar wélk beleid erin staat. Een record dat alleen v=DMARC1; p=none; bevat, bestaat wel maar beschermt niets — het is puur monitoring. Veel domeinen die 'DMARC policy not enabled' als foutmelding krijgen, hebben helemaal geen record, of een record met een tikfout waardoor de DNS-lookup faalt.
- Controleer eerst of er überhaupt een record wordt gevonden — geen resultaat betekent geen bescherming.
- Lees het p=-veld: none (alleen monitoren), quarantine (naar spam) of reject (weigeren).
- Check het pct=-veld: bij pct=50 wordt het beleid maar op de helft van de niet-geslaagde mail toegepast.
- Kijk of er een rua-adres is ingesteld — zonder dat adres krijg je geen rapporten en vlieg je blind.
- Vergelijk het record met wat SPF en DKIM voor hetzelfde domein zeggen; DMARC bouwt daarop voort.
Van p=none naar p=reject: de opbouw in fases
Direct van geen record naar p=reject springen is riskant: als je eigen SPF of DKIM nog niet overal correct is ingesteld — denk aan een marketingtool of een factuursysteem dat namens jouw domein mailt — worden ook legitieme mails geweigerd. De gangbare aanpak is stapsgewijs opbouwen, met het rua-rapport als controlemiddel op elke stap.
Begin met p=none om een paar weken te zien welke bronnen namens je domein versturen en of ze slagen voor SPF/DKIM. Zet daarna p=quarantine met een laag percentage (pct=25), verhoog dat geleidelijk naar pct=100, en stap pas over op p=reject als de rapporten laten zien dat legitieme mail consequent slaagt.
Indicatieve doorlooptijd uit de praktijk van kleinere zakelijke domeinen; bij veel verzendende bronnen duurt de opbouw doorgaans langer.
Wat de rapporten je vertellen (en wat een checker niet laat zien)
Een DMARC checker toont je het record zoals het nu in DNS staat, maar niet wat er in de praktijk met je mail gebeurt. Daarvoor zijn de rua-rapporten nodig: dagelijkse of wekelijkse XML-bestanden van grote providers met een overzicht van welke servers namens jouw domein mailden en of ze slaagden.
Die rapporten zijn in ruwe vorm lastig te lezen; de meeste checker-leveranciers bieden daarom ook een dashboard dat de XML omzet naar een overzicht per bron. Voor een klein zakelijk domein met één of twee verzendende diensten is dat vaak niet eens nodig — een paar keer handmatig een gratis check draaien volstaat om zeker te weten dat het beleid staat zoals bedoeld.
Stel dat het rapport laat zien dat naast je eigen mailserver ook een factureringsdienst als factuur@jouwdomein.nl verstuurt, maar zonder geldige DKIM-handtekening: dan blokkeert p=reject straks ook je eigen facturen. De oplossing is die dienst toevoegen aan je SPF-record en, indien mogelijk, DKIM voor die dienst te activeren, vóórdat je het beleid verscherpt.
Veelgemaakte fouten bij het lezen van een DMARC checker
De meest voorkomende fout is stoppen bij het zien van 'record gevonden' zonder naar het beleid te kijken. Een record met p=none is technisch aanwezig, maar biedt geen enkele bescherming tegen misbruik van je domeinnaam — het is de startpositie, niet het eindpunt.
Een tweede fout is DMARC instellen zonder eerst SPF en DKIM overal kloppend te hebben. DMARC slaagt alleen als minimaal één van de twee onderliggende checks slaagt én overeenkomt met het afzenderdomein (alignment); een DMARC-record los daarvan instellen lost niets op.
Een derde fout is het rua-adres leeg laten of naar een mailbox laten wijzen die niemand leest. Zonder rapporten weet je nooit of een aanscherping naar quarantine of reject legitieme mail raakt, en ontdek je problemen pas als klanten of prospects klagen dat je mail niet aankomt.
Een vierde, minder voor de hand liggende fout is een subdomein vergeten. Verstuur je bijvoorbeeld ook vanaf mail.jouwdomein.nl of nieuwsbrief.jouwdomein.nl, dan geldt het hoofdrecord daar niet automatisch voor tenzij het sp=-veld dat expliciet regelt of er een los _dmarc-record op het subdomein staat. Een gratis checker die alleen het hoofddomein controleert, laat dat gat onopgemerkt.
Waarom dit meetelt bij gerichte B2B-outreach
Bij adresgerichte cold e-mail — kleine volumes, persoonlijke aanpak, specifieke besluitvormers bij specifieke bedrijven — is het afzenderdomein je enige stempel van geloofwaardigheid. Een prospect die jouw domein googelt en een zwak of ontbrekend DMARC-beleid ziet, heeft daar zelf weinig aan; maar mailboxproviders wél, en die bepalen of je bericht de inbox haalt.
Bij LDM controleren we het DMARC-beleid van een verzenddomein altijd vóór de eerste campagne, samen met SPF en DKIM, en adviseren we een langzame opbouw naar p=quarantine of p=reject in plaats van een directe knal — precies om te voorkomen dat een fout in de configuratie je eigen legitieme mail blokkeert op het moment dat je juist wil opschalen.
- Check bij elke nieuwe verzendende tool (CRM, factuursysteem, marketingplatform) of die is opgenomen in SPF en/of DKIM ondertekent.
- Laat p=none nooit langer dan een paar weken staan zonder concreet plan om op te schalen.
- Bewaar en lees de rua-rapporten, ook als een gratis checker zegt dat het record 'goed' is.
- Test na elke wijziging opnieuw met een gratis DMARC checker om te bevestigen dat DNS is bijgewerkt.
Veelgestelde vragen
Wat is het verschil tussen p=none, p=quarantine en p=reject?
p=none monitort alleen en laat alle mail door, ongeacht of SPF of DKIM slaagt. p=quarantine stuurt niet-geslaagde mail naar spam, en p=reject weigert die volledig bij de ontvangende server. De meeste organisaties bouwen stapsgewijs op van none naar reject.
Waarom krijg ik de melding 'DMARC policy not enabled'?
Die melding betekent meestal dat er helemaal geen _dmarc-TXT-record gevonden wordt in je DNS, of dat het record een syntaxfout bevat waardoor de checker het niet kan parsen. Controleer of het record exact op _dmarc.jouwdomein.nl staat en met v=DMARC1 begint.
Is een gratis DMARC checker voldoende, of heb ik een betaald abonnement nodig?
Voor het incidenteel controleren van het record volstaat een gratis checker ruimschoots. Een betaald platform wordt vooral nuttig als je doorlopend rua-rapporten van meerdere providers overzichtelijk wil monitoren, bijvoorbeeld bij veel verzendende diensten of meerdere domeinen.
Kan een verkeerd DMARC-beleid mijn eigen mail blokkeren?
Ja. Als je op p=reject zet terwijl een legitieme bron — bijvoorbeeld een factuur- of CRM-tool — nog niet correct is opgenomen in SPF of DKIM, wordt die mail net zo goed geweigerd als mail van een spoofer. Daarom is een geleidelijke opbouw met pct= en het lezen van rapporten belangrijk.
Hoe vaak moet ik mijn DMARC-record controleren?
Controleer opnieuw na elke wijziging in verzendende diensten, na het instellen van een nieuwe marketing- of salestool, en sowieso elke paar maanden als vaste check, ook als er niets lijkt te zijn veranderd.
Wil je dit toepassen in je outreach?
We laten zien hoe dit werkt voor jouw segment en product — vóór de start.
Neem contact op