Wat zijn de DMARC-vereisten? Wereldwijde regels, beleidsregels en naleving
door
Laatst bijgewerkt: 12 leestijd: 12 minuten
Belangrijkste Conclusies
- De DMARC-vereisten gelden nu ook voor bulkverzenders (5.000+ e-mails per dag) van Google en Yahoo, en worden nu volledig van kracht, inclusief permanente afwijzingen door Gmail sinds november 2025.
- Overheidsinstanties en gereguleerde sectoren over de hele wereld stellen de implementatie van DMARC verplicht ter waarborging van de e-mailbeveiliging.
- Technische vereisten zijn onder meer SPF- en/of DKIM-authenticatie en een correcte domeinafstemming.
- Organisaties moeten geleidelijk overschakelen van een beleid waarbij p=none geldt naar een beleid waarbij p=reject geldt, terwijl ze de afleverbaarheid van e-mails in de gaten houden.
- Microsoft is vanaf 5 mei 2025 begonnen met het handhaven van de SPF-, DKIM- en DMARC-vereisten voor bulkverzenders (meer dan 5.000 e-mails per dag naar Outlook.com), waarbij vanaf november 2025 alle niet-conforme berichten volledig zullen worden geweigerd.
- DMARCbis is officieel gepubliceerd als RFC 9989, 9990 en 9991 (mei 2026), waardoor DMARC is opgewaardeerd van een informatief document tot een voorgestelde standaard.
- De anti-phishingvereisten van PCI DSS v4.0, waaronder DMARC, zijn per 31 maart 2025 volledig verplicht geworden. Alle beoordelingen voor 2026 worden uitgevoerd op basis van PCI DSS v4.0.1.
DMARC-vereisten zijn niet langer louter technische aanbevelingen. Ze worden nu bepaald door een groeiende combinatie van wereldwijde regelgeving, nalevingskaders binnen de sector en regels van e-mailproviders. Overheden en overheidsinstanties in diverse regio’s hebben DMARC tot een formele vereiste gemaakt voor de bescherming van officiële domeinen, terwijl normen zoals PCI DSS e-mailauthenticatie als onderdeel van bredere beveiligingscompliance. Tegelijkertijd verwachten providers zoals Google, Yahoo en Microsoft nu sterkere authenticatie van afzenders, met name van degenen die op grote schaal e-mails versturen.
Die verandering betekent dat DMARC niet langer alleen gericht is op het voorkomen van spoofing. Het speelt nu een directe rol bij de afleverbaarheid van e-mail, merkbescherming, klantvertrouwen en naleving van regelgeving. Voor veel organisaties kan het niet voldoen aan de DMARC-vereisten leiden tot geweigerde e-mails, een verhoogd risico op phishing en nalevingstekortkomingen die moeilijker te negeren zijn.
De publicatie van DMARCbis in mei 2026 als officiële IETF-standaarden (RFC 9989, 9990 en 9991) onderstreept deze verschuiving nog eens extra. DMARC is geëvolueerd van een informatieve RFC naar een voorgestelde standaard, wat aangeeft dat de e-mailsector het nu beschouwt als fundamentele infrastructuur in plaats van als een optionele laag.
In deze handleiding worden de DMARC-vereisten vanuit dat bredere perspectief toegelicht. Er wordt ingegaan op de wereldwijde regels en voorschriften die de invoering stimuleren, de vereisten op provider-niveau waaraan afzenders moeten voldoen, en de technische basisprincipes, waaronder SPF, DKIMen afstemming, die nodig zijn om naleving te ondersteunen.
Wat zijn de DMARC-vereisten?
DMARC-vereisten hebben betrekking op de technische en beleidsnormen waaraan domeineigenaren moeten voldoen om Domain-based Message Authentication, Reporting, and Conformance correct te implementeren.
Ze zijn onderverdeeld in drie lagen: wettelijke voorschriften, eisen voor providers en de technische normen die nodig zijn om DMARC correct te implementeren.
In de kern is DMARC een e-mailauthenticatieprotocol dat voortbouwt op Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) om te verifiëren dat uitgaande berichten daadwerkelijk afkomstig zijn van het domein dat ze beweren te vertegenwoordigen.
Als een bericht niet door die authenticatiecontroles komt, geeft uw DMARC-beleid aan de ontvangende mailservers door wat ze ermee moeten doen.
Een domein voldoet aan de DMARC-vereisten wanneer:
- SPF en DKIM zijn correct geconfigureerd voor het verzendende domein
- Er is een geldig DMARC DNS TXT-record gepubliceerd
- Ten minste één van SPF of DKIM is geldig en komt overeen met het domein in de From-header
- DMARC-rapporten worden nauwlettend in de gaten gehouden
Wat is veranderd, is de inzet. DMARC-vereisten worden nu in tal van landen en regelgevingskaders wereldwijd verplicht gesteld of afgedwongen. Ze worden ook afgedwongen door Google, Yahoo, Microsoften PCI DSS, en niet-naleving heeft directe gevolgen voor de afleverbaarheid van e-mail, het vertrouwen in het merk en de status ten opzichte van de regelgeving.
Soorten DMARC-vereisten
De DMARC-vereisten kunnen in drie categorieën worden onderverdeeld:
- Wettelijke vereisten: Verplichtingen van overheden en toezichthoudende instanties zoals CISA (VS), NCSC (VK) en NIS2 (EU), die van organisaties verlangen dat zij DMARC implementeren en handhaven als onderdeel van bredere cyberbeveiligingsnormen.
- Vereisten voor aanbieders: Handhavingsregels van e-mailproviders zoals Google, Yahoo en Microsoft, met name voor bulkverzenders, waarbij authenticatie en naleving van het beleid direct van invloed zijn op de afleverbaarheid van e-mail.
- Technische vereisten: De basisconfiguratie die nodig is om DMARC correct te implementeren, inclusief SPF, DKIM, DMARC-beleidsregels en de juiste domeinafstemming.
Inzicht in hoe deze lagen samenwerken, is essentieel om volledige DMARC-conformiteit te bereiken en te handhaven.
Dit is waarom meer dan 10.000 klanten vertrouwen op het platform van PowerDMARC
- Aanzienlijke daling van het aantal spoofing-pogingen en ongewenste e-mails dankzij AI-gestuurde dreigingsinformatie
- Snellere onboarding + geautomatiseerd authenticatiebeheer waarmee IT-teams uren tijd besparen
- Realtime informatie over bedreigingen en PGP-versleutelde rapportage over verschillende domeinen heen
- Betere bezorgingspercentages voor e-mails dankzij strikte handhaving van DMARC onder deskundige begeleiding
De eerste 15 dagen zijn gratis
Start gratis proefperiodeWereldwijde DMARC-vereisten per regio
DMARC is inmiddels in tal van landen en regelgevingskaders verplicht gesteld of wordt afgedwongen, waardoor het een basisvereiste is geworden voor een veilige e-mailinfrastructuur. Hieronder volgt een overzicht van de huidige belangrijkste voorschriften.
| Regio | Status van het mandaat | Handhavingsinstantie | Minimumbeleid |
|---|---|---|---|
| Verenigde Staten | Verplicht (federaal) | CISA/DHS | p=afwijzen |
| Verenigd Koninkrijk | Verplicht (publieke sector) | NCSC | p=afwijzen |
| Europese Unie | Verplicht (kritieke sectoren) | NIS2/nationale autoriteiten | p = minimum voor quarantaine |
| Australië | Verplicht (overheid) | ACSC | p=afwijzen |
| Canada | Verplicht (federaal) | Raad van Financiën | p=afwijzen |
| Saoedi-Arabië | Verplicht (overheid + telecommunicatie) | CITC/NCA | p=quarantine |
| VAE | Verplicht (overheid) | TDRA | p=geen minimum |
| India | Verplicht (commercieel) | TRAI | p=afwijzen |
| Nieuw-Zeeland | Een echte aanrader | NCSC NZ | p = afwijzen (aanbevolen) |
Verenigde Staten
De Amerikaanse federale overheid was een van de eersten die DMARC op nationaal niveau verplicht stelde. In 2017 vaardigde het Ministerie van Binnenlandse Veiligheid Binding Operational Directive 18-01 (BOD 18-01)uit, waarin alle federale uitvoerende instanties werden verplicht om binnen een jaar DMARC te implementeren met een minimumbeleid van p=reject.
Het CISA (Cybersecurity and Infrastructure Security Agency) blijft toezicht houden op deze normen en deze handhaven, en de richtlijn blijft van kracht voor alle .gov-domeinen. BOD 18-01 heeft een wereldwijd precedent geschapen dat sindsdien door andere overheden is gevolgd.
Verenigd Koninkrijk
Het Britse National Cyber Security Centre (NCSC) stelt de implementatie van DMARC verplicht voor alle centrale overheidsinstanties en organisaties in de publieke sector. Het NCSC beveelt een minimumbeleid van p=reject aan en publiceert actieve richtlijnen waarin organisaties worden verplicht om dit beleid te handhaven.
De Britse regering biedt ook een Mail Check-dienst aan om overheidsinstanties te helpen bij het controleren en verbeteren van hun e-mailverificatie.
Europese Unie
De NIS2-richtlijn, die in oktober 2024 in alle EU-lidstaten van kracht werd, stelt bindende cyberbeveiligingseisen vast voor sectoren met kritieke infrastructuur, waaronder energie, financiën, gezondheidszorg en digitale infrastructuur.
Beveiligingsmaatregelen voor e-mail, waaronder DMARC, worden aangemerkt als technische basismaatregelen die organisaties moeten implementeren om aan te tonen dat ze aan de voorschriften voldoen.
Hoewel DMARC niet in elke bepaling van NIS2 expliciet wordt genoemd, zijn toezichthoudende autoriteiten in verschillende lidstaten begonnen ernaar te verwijzen als een vereiste controlemaatregel tijdens audits.
Australië
Het Australian Cyber Security Centre (ACSC), dat opereert onder het Australian Signals Directorate, stelt DMARC verplicht voor domeinen van de Australische overheid en beveelt het ten zeerste aan voor alle organisaties in de particuliere sector.
De De Strategieën om cyberbeveiligingsincidenten te beperken noemt noemt e-mailverificatie als een prioritaire controlemaatregel, en van overheidsinstanties wordt verwacht dat ze deze handhaving nastreven.
Canada
Het Secretariaat van de Treasury Board van Canada eist dat DMARC wordt geïmplementeerd bij alle federale overheidsinstellingen als onderdeel van zijn richtlijnen voor e-mailbeveiliging. Van Canadese federale domeinen wordt verwacht dat zij DMARC-beleidsregels publiceren en handhaven in overeenstemming met internationale normen.
Andere lopende opdrachten
| Regio | Bestuursorgaan | Vereiste |
|---|---|---|
| Saoedi-Arabië | CITC/NCA | DMARC is verplicht voor overheidsinstanties en erkende telecomaanbieders |
| VAE | Reguleringsautoriteit voor telecommunicatie en digitale overheid | DMARC verplicht voor overheidsinstanties |
| India | TRAI | DMARC is verplicht voor commerciële e-mailverzenders en bedrijven |
| Nieuw-Zeeland | GCSB/NCSC Nieuw-Zeeland | DMARC wordt aanbevolen en verplicht gesteld voor overheidsinstanties |
| Nederland | NCSC-NL | DMARC is verplicht voor de centrale overheid en wordt afgedwongen via internet.nl |
DMARC-vereisten van Google, Yahoo en Microsoft
Naast wettelijke voorschriften hanteren e-mailproviders DMARC nu als voorwaarde voor het bezorgen van e-mails in de inbox, met name voor bulkverzenders. Als uw organisatie als bulkverzender wordt aangemerkt, zijn deze vereisten nu op u van toepassing.
Wat wordt beschouwd als een bulkverzender?
Verzenders van bulk-e-mails worden gedefinieerd als verzenders die meer dan 5.000 e-mails per dag naar Gmail-accounts versturen. Yahoo hanteert vergelijkbare drempels. Microsoft gebruikt zijn eigen criteria voor het classificeren van bulk-e-mails, maar past gelijkwaardige authenticatienormen toe.
De vereisten in één oogopslag
| Aanbieder | Minimaal DMARC-beleid | Overige vereisten |
|---|---|---|
| p=geen | SPF, DKIM, zichtbare afmeldlink, spamprocent onder de 0,3% | |
| Yahoo | p=geen | SPF, DKIM, uitschrijven met één klik voor ontvangen berichten |
| Microsoft | p=geen | SPF-, DKIM- en PTR-records |
Alle details worden behandeld in de update over de e-mailverificatievereisten van Google en Yahoo , en u kunt de richtlijnen voor afzenders van Google raadplegen voor de huidige specificaties.
Tijdschema voor de handhaving
Vanaf mei 2026 is de handhaving bij alle drie de grote aanbieders volledig van kracht:
- Google/Gmail: In februari 2024 zijn tijdelijke uitstelmaatregelen (421-fouten) ingevoerd. In november 2025 zijn deze overgegaan in permanente afwijzingen (550-fouten). Bulkverzenders die niet aan de regels voldoen, krijgen nu permanente afwijzingen.
- Yahoo: hanteert dezelfde authenticatievereisten als Gmail, met een vergelijkbare handhaving.
- Microsoft/Outlook: Vereisten bekendgemaakt in mei 2025. Waarschuwingen vanaf augustus 2025. Volledige afwijzing (foutcode 550 5.7.515) van kracht sinds november 2025.
Raadpleeg voor gedetailleerde richtlijnen van Microsoft inzake naleving: De DMARC-vereisten van Microsoft voor Outlook
Het niet naleven hiervan kan de afleverbaarheid bij klanten met Gmail, Yahoo en Outlook-accounts . Organisaties die niet aan deze vereisten voldoen, krijgen te maken met zowel tijdelijke als permanente afwijzing van e-mails, waardoor het essentieel is om op deze voorschriften te anticiperen.
DMARCbis: de nieuwe DMARC-standaard (RFC 9989, 9990, 9991)
Op 21 mei 2026 heeft de IETF de DMARCbis-specificaties officieel gepubliceerd in de vorm van drie nieuwe RFC’s, ter vervanging van de oorspronkelijke DMARC-specificatie (RFC 7489):
- RFC 9989: De kernspecificatie van DMARCbis, met bijgewerkte regels voor DMARC-afstemming, beleidsafhandeling en domeinverificatie.
- RFC 9990: Bijgewerkte normen voor geaggregeerde rapportage ter verbetering van de interoperabiliteit en duidelijkheid.
- RFC 9991: Bijgewerkte normen voor het melden van storingen met verbeterde beveiligingsrichtlijnen.
De belangrijkste verandering is dat DMARC is opgewaardeerd van een informatieve RFC naar een voorgestelde standaard. Dit betekent dat het protocol nu officieel wordt erkend als internetstandaard, met strengere eisen voor de implementatie ervan in het hele e-mailecosysteem.
Wat DMARCbis betekent voor uw naleving
- Door strengere afstemmingsvereisten is het nog belangrijker om ervoor te zorgen dat SPF en DKIM correct zijn afgestemd op het domein in de From-header.
- Verbeterde rapportagestandaarden bieden meer inzicht in mislukte authenticatiepogingen, waardoor het eenvoudiger wordt om problemen op te sporen en op te lossen.
- De bijgewerkte standaard maakt gebruik van een algoritme voor het doorlopen van de DNS-boom in plaats van de Public Suffix List, waardoor de nauwkeurigheid bij het opzoeken van domeinen wordt verbeterd.
- Organisaties die al aan de bestaande DMARC-vereisten voldoen, bevinden zich in een gunstige positie; DMARCbis is een verfijning van het kernprotocol en vervangt dit niet.
Meer informatie: DMARCbis uitgelegd – Wat verandert er en hoe kunt u zich voorbereiden?
DMARC-vereisten voor naleving van de PCI DSS
Voor organisaties die met betaalkaartgegevens werken, is DMARC een wettelijke verplichting.
De Payment Card Industry Security Standards Council (PCI SSC) heeft DMARC verplicht gesteld als onderdeel van de PCI-gegevensbeveiligingsnorm. Deze verplichting is ingesteld omdat e-mailfraude, het misbruiken van domeinnamen en het misbruiken van zakelijke e-mailadressen tot de belangrijkste aanvalsmethoden behoren waarmee organisaties in het betalingsverkeer worden aangevallen.
Per 31 maart 2025 zijn alle 51 „toekomstgerichte“ vereisten uit PCI DSS v4.0 volledig verplicht geworden, met inbegrip van paragraaf 5.4.1, waarin geautomatiseerde anti-phishingmechanismen zoals DMARC, SPF en DKIM worden voorgeschreven. Alle PCI DSS-beoordelingen die in 2026 worden uitgevoerd, worden getoetst aan PCI DSS v4.0.1, zonder enige overgangsperiode voor deze maatregelen.
Wat niet-naleving betekent voor betalingsinstellingen:
- Verlies van het recht om betaalkaarttransacties te verwerken
- Blootstelling aan aanvallen waarbij zich iemand voordoet als een merk, gericht op klanten en partners
- Verhoogde kwetsbaarheid voor e-mailfraude en phishingberichten
- Mogelijke boetes variërend van 5.000 tot 100.000 dollar per maand dat de voorschriften niet worden nageleefd
Naast PCI DSS wordt DMARC steeds vaker in andere regelgevingskaders genoemd als een basismaatregel voor e-mailbeveiliging. Organisaties die onderworpen zijn aan federale nalevingsvereisten, moeten ook nagaan hoe DMARC past binnen hun bredere verplichtingen.
Gerelateerd: PCI DSS-e-mailcompliance: uw DMARC-strategie voor 4.0
Wat gebeurt er als u niet aan de DMARC-vereisten voldoet?
De risico’s van het niet voldoen aan de DMARC-vereisten zijn concreet, direct en in sommige gevallen zeer moeilijk ongedaan te maken.
Gevolgen voor de afleverbaarheid
| Scenario | Impact |
|---|---|
| Geen DMARC record | Domein kan vrijelijk worden vervalst, er wordt geen beleid gehandhaafd |
| Niet voldoen aan de vereisten van Google/Yahoo | E-mails die op grote schaal worden gefilterd, uitgesteld of geweigerd |
| Hoge spampercentages | Langdurige schade aan de reputatie van het domein als afzender |
| Geen SPF- of DKIM-afstemming | Legitieme e-mails slagen niet voor de authenticatie en worden geblokkeerd |
Gevolgen voor de reputatie
Zonder een DMARC-beleid kan uw domein vrijelijk worden gebruikt om phishingberichten en kwaadaardige berichten te versturen die lijken alsof ze rechtstreeks van uw organisatie afkomstig zijn.
Bedrijven die niet aan de DMARC-vereisten voldoen, krijgen vaak te maken met identiteitsfraude en oplichting, waarvan ze moeilijk kunnen herstellen, vooral wanneer klanten al frauduleuze berichten hebben ontvangen die afkomstig lijken te zijn van een vertrouwd domein.
Volgens recente branchegegevens was het aantal domeinen met een geldige DMARC-implementatie begin 2026 gestegen tot meer dan 937.000, maar slechts ongeveer 412.000 daarvan hebben een beleid met handhavingsmaatregelen (quarantaine of afwijzing). Door deze kloof zijn er honderdduizenden domeinen met DMARC-records die hen in de praktijk niet beschermen tegen spoofing.
Gevolgen op regelgevingsgebied
Voor organisaties die onderworpen zijn aan PCI DSS, kan het niet implementeren van DMARC leiden tot het verlies van het recht om betalingen te verwerken. Dit is een vastgelegd gevolg van niet-naleving volgens de huidige norm.
De belangrijkste vereisten: SPF en DKIM
DMARC werkt niet zonder SPF en DKIM. Deze twee e-mailverificatiemethoden vormen de basis waarop DMARC is gebouwd, en beide moeten correct zijn geconfigureerd voordat u een DMARC-record publiceert.
Het wordt aanbevolen om SPF en DKIM ten minste 48 uur voordat u DMARC implementeert in te schakelen, zodat u de tijd heeft om te controleren of beide mechanismen correct functioneren voordat u een beleid invoert dat ingrijpt bij fouten.
Beleidsraamwerk voor afzenders (SPF)
SPF is een DNS TXT-record waarin alle IP-adressen staan vermeld die bevoegd zijn om e-mail te verzenden namens uw domein. Wanneer een ontvangende server een inkomende e-mail ontvangt, controleert deze of het verzendende IP-adres voorkomt in uw SPF-record.
Twee veelvoorkomende problemen met SPF waar je op moet letten:
- SPF-lookups die niet slagen: Records met te veel DNS-lookups verstoren de authenticatie zonder dat dit wordt gemeld en zijn een van de meest voorkomende oorzaken van onverwachte storingen. Meer informatie over SPF-ongeldige lookups en hoe u deze kunt oplossen.
- Complexe verzendinfrastructuren: Organisaties die veel geautoriseerde afzenders beheren, kunnen gebruikmaken van SPF-macro's om hun SPF-records te schalen zonder opzoeklimieten.
Als uw SPF-record de in RFC 7208 vastgelegde limiet van 10 DNS-lookups overschrijdt, wordt er een PermError, wat DMARC als een fout beschouwt. Organisaties met complexe verzendconfiguraties zouden SPF-flattening of PowerSPF om binnen de limiet te blijven.
DomainKeys Identified Mail (DKIM)
DKIM voegt een cryptografische digitale handtekening toe aan uitgaande berichten, waardoor ontvangende servers kunnen controleren of de berichttekst en de headers tijdens het verzenden niet zijn gewijzigd.
Om aan de DKIM-vereisten binnen DMARC te voldoen, moet het domein in de From-header overeenkomen met het domein dat is opgegeven in de d=-tag van de DKIM-handtekening. Een technisch geldige DKIM-handtekening die niet overeenkomt met het From-domein, zal nog steeds niet voldoen aan de DMARC-vereisten.
| Verificatiemethode | Wat er wordt gecontroleerd | Blijft het intact bij doorsturen? |
|---|---|---|
| SPF | Toegestaan IP-adres voor het verzendende domein | Geen |
| DKIM | Cryptografische handtekening op de berichttekst | Ja |
Stapsgewijze handleiding voor het instellen van DMARC
Zodra SPF en DKIM zijn geconfigureerd en de controle doorstaan, kunt u uw DMARC-record publiceren. Het is van cruciaal belang dat deze configuratie correct is, omdat fouten in uw record ertoe kunnen leiden dat uw domein onbeschermd blijft of dat legitieme e-mails de authenticatie niet doorstaan.
Stapsgewijze installatie
- Controleer of SPF en DKIM zijn ingeschakeld en dat ze al minstens 48 uur actief zijn
- Maak uw DNS TXT-record aan op _dmarc.uwdomein.com
- Begin met een beleid waarbij p=none om gegevens te verzamelen zonder de levering te beïnvloeden
- Voeg rapportageadressen toe zodat DMARC-rapporten onmiddellijk binnenkomen
- Controleer het record met behulp van een DMARC-opzoektool na publicatie
Structuur van het DMARC-record
Elke DMARC-string begint met v=DMARC1. Een eenvoudig startrecord ziet er als volgt uit:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
| Een label | Doel | Vereist? |
|---|---|---|
| v=DMARC1 | Versietag, moet als eerste worden vermeld | Ja |
| p= | Beleid: geen, in quarantaine plaatsen of afwijzen | Ja |
| rua= | E-mailadres voor geaggregeerde rapporten | Aanbevolen |
| ruf= | E-mailadres voor forensische rapporten | Aanbevolen |
| sp= | Beleid inzake subdomeinen | Optioneel |
| pct= | Het beleid inzake het percentage berichten is van toepassing op | Optioneel |
Aanvullende DNS-vereisten
Naast het DMARC-record zelf moeten e-mailverzenders ervoor zorgen dat de DNS PTR-records.
Ontvangende servers gebruiken PTR-records om te controleren of het IP-adres van waaruit een bericht wordt verzonden, overeenkomt met het verzendende domein. Ontbrekende of niet-overeenkomende PTR-records zijn een veelvoorkomende, maar vaak over het hoofd geziene oorzaak van authenticatiefouten.
Voor de implementatie van DMARC moeten ook voor elk verzendend domein afzonderlijk SPF- en DKIM-records worden ingesteld. Organisaties die meerdere domeinen beheren voor verschillende regio’s, producten of bedrijfsonderdelen, moeten op elk domein correct geconfigureerde authenticatierecords hebben.
Uitleg over DMARC-beleidsniveaus
Uw DMARC-beleid bepaalt wat er gebeurt wanneer een e-mail de authenticatiecontroles niet doorstaat. Het selecteren van het juiste beleid in elke fase van uw uitrol is wat het verschil maakt tussen een soepele implementatie en een implementatie die onbedoeld legitieme e-mail blokkeert.
| Beleid | Wat het doet | Wanneer moet je het gebruiken? |
|---|---|---|
| p=geen | Bezorgt alle post, genereert alleen rapporten | Om te beginnen: afzenders controleren |
| p=quarantine | Verplaatst mislukte e-mails naar de spamfolder | Nadat alle legitieme afzenders zijn geverifieerd |
| p=afwijzen | Blokkeert e-mail volledig | Volledige DMARC-handhavingsfase |
De aanbevolen aanpak voor de uitrol
- Begin met p=none om een controle uit te voeren zonder dat dit invloed heeft op de afleverbaarheid van e-mails. Zo beschik je over de gegevens om alle legitieme afzenders te identificeren voordat je de regels gaat handhaven.
- Schakel over naar p=quarantaine zodra alle legitieme afzenders zijn geverifieerd en consequent de controle doorstaan.
- Schakel over naar p=reject voor volledige bescherming tegen domeinspoofing en frauduleuze berichten.
Overhaast afwijzen zonder de controlefase te voltooien is een van de meest voorkomende manieren waarop organisaties per ongeluk hun eigen legitieme e-mail blokkeren.
Voor een gedetailleerd overzicht van waarom de overgang naar handhaving in 2026 van belang is, zie: Waarom is DMARC belangrijk in 2026?
Hoe u DMARC op grote schaal kunt monitoren en beheren
Het voldoen aan de DMARC-vereisten is een voortdurend proces. Consequent toezicht, duidelijke rapportage en de juiste infrastructuur maken het verschil tussen organisaties die aan de vereisten blijven voldoen en organisaties die weer kwetsbaar worden.
Inzicht in uw DMARC-rapporten
DMARC biedt inzicht in welke servers namens u e-mail versturen en welk percentage van die berichten de authenticatie doorstaat of niet doorstaat. Deze gegevens worden via twee soorten rapporten verstrekt:
| Type rapport | Frequentie | Wat het laat zien |
|---|---|---|
| Totaal (RUA) | Dagelijks | Overzicht van alle verzendbronnen, slagings- en mislukkingspercentages, IP-adressen |
| Forensisch (RUF) | Bijna in realtime | Details over individuele authenticatiefouten |
De DMARC-rapportagetool zet ruwe XML-rapportgegevens om in overzichtelijke, bruikbare dashboards. Het helpt u de resultaten voor al uw verzenddomeinen te monitoren zonder dat u complexe bestanden handmatig hoeft te parseren.
Beheer van externe afzenders
Een van de meest voorkomende uitdagingen bij de implementatie is het identificeren en verifiëren van alle externe afzenders die namens u e-mails versturen.
Marketingplatforms, CRM-systemen, helpdesktools en andere diensten versturen allemaal uitgaande berichten via uw domein, en elk bericht moet op de juiste manier worden geverifieerd voordat u het veilig naar de quarantaine kunt verplaatsen of kunt weigeren.
DMARC-beheerde diensten helpen organisaties deze afzenders te identificeren, zorgen ervoor dat alle e-mailkanalen correct worden geauthenticeerd en verminderen de tijd en middelen die nodig zijn om volledige compliance te bereiken.
Schaalbaarheid over meerdere domeinen
Organisaties beheren steeds vaker meerdere domeinen, waardoor gecentraliseerd beheer onmisbaar is geworden. Het handmatig bijhouden van DMARC-records voor talrijke domeinen is foutgevoelig en vergt veel middelen.
Gehoste DMARC-oplossingen stellen organisaties in staat om records centraal te beheren, beleidswijzigingen gelijktijdig door te voeren in alle domeinen en vanuit één interface inzicht te houden in hun volledige e-mailinfrastructuur.
Voor MSP’s en MSSP’s die op grote schaal klantdomeinen beheren, biedt het multi-tenant platform biedt white-label dashboards, PSA-integratie en ondersteuning voor 11 talen.
Interne expertise opbouwen
Voor teams die naast het gebruik van beheerde tools ook interne kennis willen opbouwen, helpen de PowerDMARC-trainingen helpen bij het ontwikkelen van de expertise die nodig is om e-mailauthenticatie op termijn effectief te beheren.
Bovendien helpen ze teams om verkeerde configuraties te voorkomen, die de meest voorkomende oorzaak zijn van mislukte authenticatiepogingen.
Wat volledige handhaving mogelijk maakt
Zodra de status p=reject wordt bereikt, maakt DMARC de weg vrij voor BIMI (Brand Indicators for Message Identification), waarmee uw merklogo direct in de inbox van de ontvanger wordt weergegeven.
BIMI is een van de meest zichtbare voordelen van een correct doorlopen DMARC-implementatietraject en fungeert als een sterk vertrouwenssignaal voor afzenders met grote verzendvolumes.
Voor organisaties die hun e-mailinfrastructuur verder willen beveiligen, dwingt MTA-STS dwingt TLS-versleuteling af voor inkomende e-mail, waardoor een extra beschermingslaag wordt toegevoegd bovenop wat DMARC biedt.
Voldoe aan de DMARC-vereisten met PowerDMARC
De DMARC-vereisten worden alleen maar strenger. Google, Yahoo, Microsoft en PCI DSS hebben allemaal een duidelijke grens getrokken, en organisaties die hier niet aan voldoen, ondervinden nu al de gevolgen in de vorm van geweigerde e-mails, een aangetaste reputatie van de afzender en blootgestelde domeinen.
Om volledig aan de DMARC-normen te voldoen, moet elke afzender worden geverifieerd, moeten rapporten correct worden geïnterpreteerd, moeten meerdere domeinen worden beheerd en moeten de verschillende beleidsfasen worden doorlopen zonder dat legitieme e-mail hierdoor wordt verstoord. Dat is een hele klus om handmatig te doen.
PowerDMARC vereenvoudigt het hele proces, van uw eerste DNS TXT-record tot de handhaving van de p=reject-regel en nog veel meer.
Met gehoste DMARC, geautomatiseerde rapportage, beheerde diensten en een platform dat is ontworpen voor inzicht op grote schaal, biedt PowerDMARC u alles wat u nodig hebt om aan de huidige eisen te voldoen en voorop te blijven lopen op wat er nog komen gaat.
Ga vandaag nog aan de slag met PowerDMARC vandaag nog.
FAQs
1. Wat zijn de vereisten voor DMARC?
DMARC vereist dat SPF of DKIM (bij voorkeur beide) wordt geconfigureerd en afgestemd op uw domein. U moet een DMARC-beleid in DNS publiceren dat begint met p=none, en rapportageadressen instellen om authenticatierapporten te ontvangen.
2. Is DMARC nu verplicht?
Vanaf februari 2024 is DMARC verplicht voor bulkverzenders (5.000+ e-mails per dag) naar Gmail en Yahoo, en vanaf mei 2025 ook voor Microsoft Outlook.com. Ook overheidsinstanties in veel landen stellen DMARC verplicht. Hoewel het niet overal verplicht is, wordt het sterk aanbevolen voor alle organisaties die e-mail versturen.
3. Is DKIM een vereiste voor DMARC?
DMARC vereist dat ofwel SPF ofwel DKIM voldoet aan de afstemmingscriteria, maar beide worden aanbevolen. Hoewel je DMARC technisch gezien met alleen SPF kunt implementeren, raden grote e-mailproviders zoals Google, Yahoo en Microsoft DKIM voor bulkverzenders, waardoor beide in de praktijk noodzakelijk zijn.
4. Sinds wanneer is DMARC verplicht?
De DMARC-vereisten werden in 2017 ingevoerd door Amerikaanse federale instanties (BOD 18-01). Google en Yahoo hebben in februari 2024 vereisten voor bulkverzenders geïmplementeerd. Microsoft volgde met handhaving vanaf mei 2025. PCI DSS v4.0 maakte DMARC-gerelateerde anti-phishingmaatregelen verplicht vanaf 31 maart 2025. Verschillende landen hebben tussen 2020 en 2025 DMARC-vereisten geïmplementeerd, en de handhaving breidt zich wereldwijd steeds verder uit.
5. Hoe lang duurt de implementatie van DMARC?
De implementatie van DMARC duurt doorgaans 4 tot 12 weken, afhankelijk van de complexiteit. De eerste configuratie kan binnen enkele dagen worden uitgevoerd, maar voor een goede monitoring, analyse en geleidelijke handhaving van het beleid zijn enkele weken nodig om ervoor te zorgen dat de afleverbaarheid van e-mail niet in het gedrang komt.
6. Wat gebeurt er als ik DMARC niet implementeer?
Zonder DMARC, bulkmails naar Gmail, Yahoo en Microsoft worden mogelijk geweigerd of als spam gemarkeerd. Uw domein blijft kwetsbaar voor spoofing-aanvallen en u kunt te maken krijgen met nalevingsproblemen in gereguleerde sectoren. De afleverbaarheid van e-mail en de reputatie van de afzender zullen hier waarschijnlijk onder lijden.
7. Wat is DMARCbis en verandert dit de DMARC-vereisten?
DMARCbis is de bijgewerkte DMARC-specificatie die in mei 2026 is gepubliceerd als RFC 9989, 9990 en 9991, ter vervanging van de oorspronkelijke RFC 7489. Hiermee wordt DMARC opgewaardeerd tot een voorgestelde standaard, worden de afstemmingsregels aangescherpt en wordt de rapportage verbeterd. Hoewel dit niets verandert aan de fundamentele vereiste om DMARC te implementeren, geeft het wel aan dat de e-mailsector DMARC nu als formele infrastructuur beschouwt. Organisaties die al voldoen aan de bestaande vereisten, zijn goed gepositioneerd voor DMARCbis.
8. Verplicht Microsoft nu DMARC voor bulkverzenders?
Ja. Vanaf 5 mei 2025 eist Microsoft dat alle domeinen die dagelijks meer dan 5.000 e-mails versturen naar Outlook.com, Hotmail.com en Live.com, voldoen aan de SPF-, DKIM- en DMARC-vereisten (met minimaal p=none). De volledige afwijzingsregeling is sinds november 2025 van kracht. E-mails die niet aan deze vereisten voldoen, krijgen foutcode 550 5.7.515.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.
Laatste berichten van Ahona Rudra (Bekijk alle berichten)
