Spring naar hoofdinhoud
SenderProof

Microsoft 365 / Exchange Online

Hoe je je M365-tenant correct configureert voor DMARC pass via SenderProof.

1. Schakel DKIM aan in Microsoft Defender

Ga naar security.microsoft.com/dkimv2 → selecteer je domein → klik op Enable.

Microsoft genereert dan twee DKIM-selectors (selector1 en selector2) en publiceert die in z'n eigen DNS-zone. Geen kopiëer-werk nodig.

2. Plaats onze SPF-include

Microsoft 365 levert via z'n eigen SPF-include. Plaats onze include in plaats daarvan — dan bundelen wij M365 + jouw andere vendors (Mailchimp, HubSpot, etc) in één lookup, zonder de RFC 7208 lookup-limit van 10 te overschrijden:

acme.com   TXT   "v=spf1 include:acme_com._s.senderproof-dns.eu -all"

3. Plaats de DMARC-CNAME

_dmarc.acme.com   CNAME   _dmarc.acme_com._d.senderproof-dns.eu.

Hiermee krijg je en beleid-publishing en rua-rapport-collection in één DNS-actie.

4. (Optioneel) DKIM-proxy via SenderProof

Standaard publishet M365 z'n DKIM-keys zelf. Wil je dat wij DKIM-rotation en monitoring beheren? Voeg dan twee CNAMEs toe naar onze proxy: 

selector1._domainkey.acme.com   CNAME   selector1._domainkey.acme_com._k.senderproof-dns.eu.
selector2._domainkey.acme.com   CNAME   selector2._domainkey.acme_com._k.senderproof-dns.eu.

Wij proxien naar de actuele M365-keys en alarmeren bij rotation-issues.

Veelgemaakte fouten

  • SPF dubbel — als je nog include:spf.protection.outlook.com hebt staan, haal die weg. Onze include omvat 'm al.
  • Lege DKIM in M365 — DKIM staat default op "Not enabled". Vergeet stap 1 niet.
  • DMARC p=reject vóór DKIM live is — start altijd met p=none (default in onze setup) tot rapporten >95% pass laten zien.

Zie ook DMARC-beleid: none → quarantine → reject.