De afgelopen jaren hebben Google, Yahoo en andere grote e-mailproviders hun vereisten voor e-mailbeveiliging aanzienlijk gewijzigd. Tegenwoordig is het verifiëren van domeinen met DMARC, DKIM, SPF en MTA-STS een aanbeveling of een vereiste in verschillende branches en landen.
Zo'n drastische verandering in de aanpak van grote e-mailproviders, overheidsinstanties en regelgevende instanties is een duidelijke weerspiegeling van een wereldwijde inspanning om e-mailbeveiliging te versterken. Het doel is om de deliverability van e-mail te verbeteren, spampercentages te verlagen en op e-mail gebaseerde cyberaanvallen te verminderen die grote datalekken en reputatieschade kunnen veroorzaken.
Met deze snel evoluerende vereisten zal DMARC waarschijnlijk binnenkort een integraal onderdeel worden van verplichte cyberbeveiligingsstrategieën wereldwijd.
Belangrijkste DMARC vereisten in 2025
Wereldwijde DMARC-vereisten
- Vereisten voor bulkafzenders van Google en Yahoo
Bulkverzenders (meer dan 5.000 e-mails/dag) moeten domeinen verifiëren met TLS, DKIM en SPF en een DMARC-beleid hebben van ten minste p=none. De vereisten werden oorspronkelijk vanaf februari 2024 van kracht.
- Google & Yahoo algemene afzendervereisten
Van algemene e-mailverzenders wordt ook verwacht dat ze SPF of DKIM implementeren om legitieme e-mails te verifiëren en spam en imitatie te voorkomen.
- PCI-DSS versie 4 aanbevelingen
PCI DSS v4.0 beveelt mechanismen aan om phishing te voorkomen; goede praktijken suggereren het gebruik van DMARC, SPF en DKIM.
Regionale DMARC-vereisten
Regio | Vereiste Naam | Vereiste Beschrijving | Bron Link |
---|---|---|---|
EU-landen | GDPR (Algemene Verordening Gegevensbescherming) | Onder GDPR bent u verplicht om gegevensverwerkingsovereenkomsten (Data Processing Agreements - DPA's) af te sluiten met elke afzonderlijke cloudserviceprovider die namens uw entiteit gegevens van Europese consumenten verwerkt. | Meer lezen |
EU-landen | DORA (Wet Digitale Operationele Weerbaarheid) | De Digital Operational Resilience Act (DORA) is van toepassing op 20 verschillende soorten financiële entiteiten en externe ICT-dienstverleners en heeft als doel de regels met betrekking tot de operationele veerkracht van de financiële sector (d.w.z. banken, verzekeringsmaatschappijen, beleggingsondernemingen, etc.) te harmoniseren. DMARC kan van groot belang zijn voor financiële instellingen, omdat het bescherming biedt tegen cyberaanvallen via e-mail en indirect helpt bij het voldoen aan de DORA Act. | Meer lezen |
Canada | Configuratievereisten voor E-mail Management Services | E-mails van de overheid moeten worden geverifieerd met SPF, DKIM en DMARC. | Meer lezen |
Denemarken | Minimale technische vereisten voor overheidsinstanties | Overheidsinstellingen moeten een DMARC-beleid van p=afwijzen implementeren op alle domeinen. | Meer lezen |
Nieuw-Zeeland | Nieuw-Zeeland Informatiebeveiligingshandleiding versie 3.6 | Wijziging van DMARC- en DKIM-controleconformiteit van SHOULD naar MUST en DMARC-beleidsinstelling van p="none" naar p="reject". | Meer lezen |
Ierland | Cyberbeveiligingsbasisnormen voor de publieke sector | De Public Sector Cyber Security Baselines suggereren het gebruik van SPF, DKIM, DMARC en TLS om e-mailbeveiliging te verbeteren. Dit is echter slechts een suggestie en geen vereiste. | Meer lezen |
Nederland | "Normen "pas toe of leg uit | Het is een vereiste voor overheidsinstellingen om DMARC te implementeren, samen met DKIM, SPF, STARTTLS en DANE. Dit maakt deel uit van de "pas toe of leg uit" standaarden voor e-mailbescherming en -verificatie. | Meer lezen |
Saoedi-Arabië | Gids voor de implementatie van essentiële cyberbeveiligingscontroles (ECC) | Saoedi-Arabische organisaties wordt aangeraden DKIM, SPF en DMARC te gebruiken als geavanceerde phishingbeschermingstechnieken om frauduleuze berichten uit te filteren. | Meer lezen |
UK | Cyberbeveiligingsbeleidshandboek overheid Principe | In maart 2024 heeft het Cyber Security-beleid van de overheid het minimale Cyber Security-beleid vervangen. In deze update zijn MTA-STS en TLS-RPT verplaatst van 'aanbevolen' naar 'verplicht' en is een verwijzing naar PTR-records toegevoegd. | Meer lezen |
Verenigde Staten | Bindende Operationele Richtlijn 18-01 | De bindende Operationele Richtlijn 18-01 vereist dat alle federale instanties STARTTLS, SPF, DKIM en een DMARC-beleid van p=reject gebruiken. | Meer lezen |
Verenigde Staten | HIPAA (Health Insurance Portability and Accountability Act) | Onder de Health Insurance Portability and Accountability Act van 1996 (HIPAA) bepaalt de HIPAA Privacy Rule nationale normen voor de beveiliging van bepaalde gevoelige gezondheidsgerelateerde informatie. DMARC kan een essentieel hulpmiddel zijn om naleving van de HIPAA-voorschriften te garanderen. | Meer lezen |
Australië | Informatiebeveiligingshandleiding van de ASD (Australian Signals Directorate) | Adviseert SPF, DKIM en DMARC te gebruiken om e-mailbedreigingen op afstand te houden. | Meer lezen |
Australië | Informatiebeveiligingshandleiding van de ASD (Australian Signals Directorate) | Adviseert SPF, DKIM en DMARC te gebruiken om e-mailbedreigingen op afstand te houden. | Meer lezen |
Australië | Valse e-mails bestrijden | Geeft aanbevelingen voor beveiligingsprofessionals en beheerders van e-mailservers over het implementeren van protocollen voor e-mailverificatie zoals SPF, DKIM en DMARC om spoofing te minimaliseren. | Meer lezen |
Australië | Strategieën om cyberbeveiligingsincidenten te beperken | Details van strategieën voor het beperken van cyberrisico's door het Australian Signals Directorate (ASD). | Meer lezen |
België | Bescherming en preventie van ransomware met DMARC, SPF en DKIM | Richtlijnen verstrekt door het Centre for Cyber Security Belgium. | Meer lezen |
Tsjechië | De wet inzake cyberveiligheid - Implementatierichtlijnen | Domeinen die elektronische mail versturen, moeten een DMARC-record hebben, dat voldoet aan specifieke parameters die worden genoemd in RFC 7489. | Meer lezen |
Finland | Uw Microsoft 365-services beschermen | Het nationale cyberbeveiligingscentrum van het Finse transport- en communicatieagentschap Traficom schetst beschermende strategieën voor Exchange Online-servers. | Meer lezen |
Frankrijk | Richtlijn voor een gezond informatiesysteem | Suggesties voor het implementeren van verificatiemechanismen en het correct configureren van openbare DNS-records met betrekking tot e-mailinfrastructuur (MX, SPF, DKIM, DMARC). | Meer lezen |
Frankrijk | Overzicht cyberbedreigingen 2021 | Een overzicht van cyberbedreigingen en mogelijke beperkingstechnieken gepubliceerd door Agence Nationale De La Sécurité des Systèmes D'Information. | Meer lezen |
Duitsland | Aanbevelingen voor actie voor providers van internetdiensten | BSI-publicaties over cyberbeveiliging, waaronder e-mailbeveiliging en verificatie. | Meer lezen |
India | Cyberbeveiligingsraamwerk in banken | Volgens Level I Compliance van de Reserve Bank of India moeten financiële instellingen passende beveiligingsmaatregelen treffen om e-mailbedreigingen te voorkomen. | Meer lezen |
Noorwegen | Basismaatregelen voor e-mailbeveiliging | Bevat aanbevelingen voor het implementeren van DMARC om de beveiliging van e-mail te verbeteren. | Meer lezen |
Filipijnen | DICT over cyberbeveiligingsmaatregelen tegen WannaCry Ransomware | Adviseert om sterke spamfilters in te schakelen en inkomende e-mail te verifiëren met behulp van technologieën als SPF, DMARC en DKIM om e-mail spoofing te voorkomen. | Meer lezen |
Polen | Wet ter bestrijding van misbruik van elektronische communicatie - nieuwe verplichtingen voor e-mailproviders en overheidsinstellingen | Sinds 25 september 2023 zijn openbare entiteiten in Polen verplicht om SPF, DKIM en DMARC te implementeren om e-mailafzenders te authenticeren en spoofing en smishing tegen te gaan. | Meer lezen |
Portugal | Technische aanbeveling 01/2019 en 01/2020 | Om de beveiliging van e-mail binnen organisaties te verbeteren, wordt aanbevolen om de SPF-, DKIM- en DMARC-standaarden te implementeren. De volgende vier acties: het configureren van SPF, DKIM, DMARC en MX records in het DNS van het domein, helpen ontvangers te informeren dat e-mails niet afkomstig mogen zijn van een "geparkeerd" domein en moeten worden verwijderd als ze dat wel doen. Deze maatregelen moeten in de aangegeven volgorde worden toegepast voor optimale effectiviteit. | Lees meer (2019) Lees meer (2020) |
Schotland | Cyberbestendigheidskader voor de Schotse publieke sector V1.2 | Aanbeveling voor het implementeren van DMARC naast DKIM- en SPF-records en het activeren van spam- en malwarefiltering. Toepassing van afgedwongen DMARC-beleid op inkomende e-mails is ook een uitgebreide best practice. | Meer lezen |
Singapore | Afspeelboek voor zakelijke e-mailcompromittering (BEC) | In de publicatie wordt uiteengezet dat organisaties DMARC kunnen gebruiken om schadelijke e-mails te blokkeren en domein-spoofing en phishingpogingen tot een minimum te beperken zodat ze de inbox van de ontvanger niet bereiken. | Meer lezen |
Waarom DMARC-compliance belangrijk is in 2025
De voordelen van het gebruik van DMARC-records:
- DMARC beschermt u en uw bedrijf tegen e-mail phishing, domein spoofinge-mailimitatie en BEC (Business Email Compromittering) bedreigingen.
- De reputatie van e-mailafzenders wordt verbeterd door Handhaving van DMARC.
- DMARC verhoogt de deliverability van je e-mail geleidelijk met 10%.
- Door DMARC op je domeinserver te implementeren, kun je ervoor zorgen dat je e-mails nooit als spam worden gemarkeerd, waardoor het aantal geopende e-mails toeneemt.
Bovendien kunnen bedrijven eenvoudig bijhouden wie zakelijke e-mails vanaf hun domein mag versturen. Zo kunt u oneerlijke praktijken voorkomen. Hoe? Alle ontvangende e-mailservers zullen inkomende e-mails verifiëren om de legitimiteit ervan te bevestigen voordat ze worden afgeleverd bij de inbox van ontvangers zodra u het DMARC-record van uw domein publiceert in de DNS-invoer.
Uitdagingen om te voldoen aan de DMARC-eisen van 2025
Bedrijven van alle groottes kunnen te maken krijgen met verschillende uitdagingen wanneer ze in 2025 aan de DMARC-eisen moeten voldoen:
1. Complexiteit van handmatige instelling
Protocollen implementeren zoals DMARC, SPF en DKIM kan technisch uitdagend zijn, wat leidt tot terughoudendheid en vaak verkeerde configuraties. Dankzij moderne, geautomatiseerde oplossingen van DMARC-serviceproviders is dit probleem echter enorm verbeterd. Bedrijven van alle groottes kunnen nu kiezen uit een reeks aanbieders die voldoen aan hun behoeften, zodat ze het gedoe en de complexiteit van handmatige inspanningen kunnen vermijden.
2. Wegversperringen monitoren
DMARC configureren om aan de vereisten te voldoen, houdt niet op bij het instellen van het protocol. Uw reis begint daar! Om de best mogelijke resultaten uit je DMARC-implementatie te halen, moet je de resultaten controleren met rapporten. Ruwe DMARC-rapporten kunnen moeilijk te ontcijferen zijn, maar een DMARC rapportanalyser ze menselijk leesbaar en gemakkelijk te controleren, terwijl ze bruikbare inzichten bieden!
3. Afzenders van derden beheren
Het is belangrijk om alle services van derden te identificeren die e-mails verzenden namens het domein. U moet ervoor zorgen dat deze services e-mails correct verifiëren met aangepaste DKIM-handtekeningen. Hoewel het een uitdaging kan zijn om dit handmatig te doen, beheerde DMARC-services een enorm verschil maken.
4. Bezorgbaarheid van e-mails
Overgaan van een DMARC-beleid van p=none naar p=reject vereist zorgvuldige controle. Organisaties zijn vaak bang om legitieme e-mails te blokkeren. Om een consistente deliverability te garanderen, wordt aanbevolen DMARC geleidelijk af te dwingen en tegelijkertijd je e-mailkanalen via rapporten te controleren.
5. Gebrek aan deskundigheid
Veel IT-teams hebben geen grondige kennis van DMARC, SPF en DKIM. Organisaties kunnen hun medewerkers aanmoedigen om te kiezen voor gratis DMARC-trainingen cursussen om hun kennis op te bouwen. Als alternatief kan het uitbesteden aan een DMARC-beheerprovider met een panel van experts de tijd en moeite die gemoeid zijn met het trainen en bijscholen van bestaande werknemers verminderen.
Hoe PowerDMARC helpt bij de naleving van 2025
PowerDMARC is een one-stop e-mailverificatieplatform om te voldoen aan de DMARC-vereisten. PowerDMARC biedt:
- Geautomatiseerde controle op naleving voor veranderende DMARC-regelgeving.
- Richtlijnen voor beleidshandhaving om veilig van p=none naar p=reject te gaan.
- Informatie over bedreigingen in realtime om phishing-pogingen te detecteren voordat ze plaatsvinden.
- Vertrouwd door Fortune 100-organisaties en MSP's in meer dan 90 landen.
- Uitgebreide SPF & DKIM afstemming Om ervoor te zorgen dat afzenders van derden correct worden geverifieerd.
- Geavanceerde rapportage en analyse Volledig inzicht in mislukte e-mailverificatie met gedetailleerde DMARC-rapporten.
- BIMI & MTA-STS ondersteuning om het merkvertrouwen en de e-mailbeveiliging te versterken met extra verificatielagen.
- Geautomatiseerde SPF optimalisatie om SPF lookup mislukkingen te helpen voorkomen met SPF macro's.
Laatste woorden
2025 markeert een keerpunt voor DMARC-handhaving en organisaties moeten nu actie ondernemen om e-mailverstoringen en beveiligingsrisico's te voorkomen. Met het strengere beleid van grote e-mailproviders is compliance niet langer optioneel. Is uw domein DMARC-compliant? Controleer uw compliance status vandaag nog en neem de nodige stappen om uw e-mailkanalen te beschermen.
Wacht niet tot het te laat is! Neem om te beginnen vandaag nog contact op met PowerDMARC voor een gratis DMARC test en ervoor te zorgen dat u volledig voldoet aan de DMARC-vereisten van 2025!
- DMARC fout-positieven: Oorzaken, oplossingen en preventiegids - 13 juni 2025
- Nieuw-Zeelandse overheid verplicht DMARC onder nieuw veilig e-mailraamwerk - 9 juni 2025
- Wat is e-mail spoofing? - 29 mei 2025