DMARC (Domain-based Message Authentication, Reporting & Conformance) is een open e-mailstandaard waarmee een domeineigenaar bepaalt wat ontvangende mailservers moeten doen met e-mail die zich ten onrechte als dat domein voordoet: gewoon afleveren, in de spam plaatsen of weigeren. Daarnaast levert DMARC rapportages waarmee de domeineigenaar misbruik van zijn domeinnaam kan zien.
Zonder DMARC kan iedereen ter wereld een e-mail versturen met uw domeinnaam als afzender. De ontvangende mailserver heeft dan geen instructie om die mail te wantrouwen. Criminelen gebruiken dit voor phishing richting uw klanten, CEO-fraude richting uw eigen medewerkers en factuurfraude richting uw leveranciers — allemaal uit naam van úw bedrijf.
Hoe werkt DMARC?
DMARC bouwt voort op twee oudere standaarden: SPF (welke servers mogen namens het domein mailen) en DKIM (een digitale handtekening per e-mail). DMARC voegt daar drie dingen aan toe:
- Alignment: DMARC controleert of het afzenderdomein dat de ontvanger ziet (het "From"-adres) overeenkomt met het domein dat SPF of DKIM heeft gevalideerd. Dat voorkomt dat een aanvaller met een eigen, technisch correct domein toch uw naam in beeld zet.
- Beleid (policy): de domeineigenaar publiceert in DNS wat er moet gebeuren met mail die de controle niet doorstaat.
- Rapportage: grote mailproviders zoals Google en Microsoft sturen dagelijks rapporten naar de domeineigenaar over alle e-mail die namens het domein is gezien — legitiem én vervalst.
De drie DMARC-beleidsniveaus
| Beleid | Betekenis | Beschermingsniveau |
|---|---|---|
p=none | Alleen monitoren: niets wordt geblokkeerd, u ontvangt wel rapportages. | Geen bescherming — alleen inzicht |
p=quarantine | Verdachte mail wordt als spam behandeld. | Gedeeltelijke bescherming |
p=reject | Vervalste mail wordt geweigerd en bereikt de ontvanger nooit. | Volledige bescherming |
p=none staan. Daarmee is het domein feitelijk niet beschermd. Het doel van elk DMARC-traject is p=reject.Hoe ziet een DMARC-record eruit?
Een DMARC-record is een TXT-record in DNS op _dmarc.uwdomein.nl. Een voorbeeld:
De belangrijkste onderdelen (tags):
| Tag | Betekenis |
|---|---|
v=DMARC1 | Versie van de standaard, altijd DMARC1. |
p= | Het beleid: none, quarantine of reject. |
rua= | E-mailadres waar aggregaatrapporten naartoe gaan. |
ruf= | Adres voor forensische (gedetailleerde) rapporten. |
pct= | Percentage van de mail waarop het beleid wordt toegepast. |
sp= | Beleid voor subdomeinen. |
adkim= / aspf= | Strikte (s) of relaxte (r) alignment voor DKIM en SPF. |
Wat staat er in DMARC-rapporten?
Aggregaatrapporten (RUA) zijn XML-bestanden die ontvangende mailproviders dagelijks versturen. Ze tonen per verzendend IP-adres hoeveel e-mail er namens uw domein is gezien en of die SPF- en DKIM-controles doorstond. Hiermee ontdekt u zowel misbruik als legitieme systemen die nog niet goed zijn ingesteld — bijvoorbeeld een nieuwsbriefpakket of het boekhoudprogramma dat facturen mailt. Het analyseren van deze rapporten is het meeste werk binnen een DMARC-traject; precies dat werk nemen wij u uit handen.
Is DMARC verplicht?
- Google en Yahoo eisen sinds februari 2024 een DMARC-beleid voor iedereen die meer dan 5.000 e-mails per dag verstuurt; zonder DMARC wordt mail geweigerd of als spam behandeld.
- Microsoft stelt vergelijkbare eisen voor aflevering bij Outlook.com.
- De Nederlandse overheid verplicht DMARC met een handhavend beleid via de 'pas toe of leg uit'-lijst van Forum Standaardisatie.
- NIS2 / cyberverzekeraars: e-mailauthenticatie geldt als basismaatregel binnen een passend beveiligingsniveau; auditors en verzekeraars vragen er expliciet naar.
- PCI DSS 4.0 noemt anti-phishing-maatregelen zoals DMARC voor organisaties die kaartbetalingen verwerken.
Veelgemaakte fouten bij DMARC
- Direct naar
p=rejectspringen zonder analyse, waardoor legitieme e-mail (facturen, nieuwsbrieven) wordt geweigerd. - Jarenlang op
p=noneblijven staan, waardoor er feitelijk geen bescherming is. - Geen
rua=rapportage-adres instellen, waardoor misbruik onzichtbaar blijft. - Subdomeinen vergeten (
sp=), terwijl aanvallers juist die gebruiken. - SPF-records die de limiet van 10 DNS-lookups overschrijden en daardoor ongeldig zijn.
Hoe staat uw domein ervoor?
Check gratis en binnen enkele seconden of uw DMARC, SPF en DKIM goed staan ingesteld. Geen e-mailadres nodig.
Doe de gratis DMARC-check