DMARCbis uitgelegd - wat er verandert en hoe je je kunt voorbereiden

DMARCbis is de langverwachte update van de oorspronkelijke DMARC-specificatie zoals vastgelegd in RFC 7489. Deze update brengt structurele wijzigingen aan in de werking van DMARC, verwijdert verouderde elementen en verduidelijkt langdurige onduidelijkheden op het gebied van domeinafstemming en beleidsafhandeling.

Hoewel deze update geen verstorende gevolgen heeft, verandert hij wel de manier waarop domeingrenzen worden bepaald, hoe beleidsregels op subdomeinen worden toegepast en hoe bepaalde tags worden geïnterpreteerd of verwijderd.

In deze handleiding wordt uitgelegd wat er verandert, wat hetzelfde blijft en wat u nu moet doen.

Wat is DMARCbis?

DMARCbis is de herziene specificatie van Domain-based Message Authentication, Reporting, and Conformance (DMARC), ontwikkeld door de IETF.

De oorspronkelijke DMARC-specificatie (RFC 7489) werd gepubliceerd als een informatief document.

DMARCbis wordt voorgesteld als een voorgestelde standaard, wat duidt op een grotere consensus en duidelijkere implementatierichtlijnen.

De update richt zich op drie gebieden:

• Onduidelijkheden wegnemen bij de beoordeling van domeinen
• Het protocol vereenvoudigen door ongebruikte tags te depreceren
• Domeineigenaren meer controle geven over de overname van beleid

Belangrijk is dat DMARCbis de v=DMARC1-instelling ongewijzigd laat, zodat bestaande records gewoon blijven werken.

Wat vervangt DMARCbis?

DMARCbis bundelt en vervangt:

RFC 7489 – de oorspronkelijke DMARC-specificatie

RFC 9091 – de DMARC-uitbreiding Public Suffix Domain (PSD)

Dit is belangrijk omdat de verwerking van PSD’s nu via de psd-tag in de kernspecificatie is geïntegreerd. Externe afhankelijkheden zoals de Public Suffix List zijn niet langer nodig. Domeingrenzen worden rechtstreeks in DNS gedefinieerd.

Wat zijn de belangrijkste wijzigingen in DMARCbis?

1. DNS-boomdoorloop vervangt de lijst met openbare suffixen

DMARCbis vervangt de Public Suffix List (PSL) door een DNS-specifieke methode die ‘DNS Tree Walk’ wordt genoemd. In plaats van gebruik te maken van een lijst van een derde partij, bepaalt het het domein van de organisatie door de DNS-structuur rechtstreeks te doorlopen.

Hoe het werkt:

Laten we dit domein eens nemen: mail.marketing.example.com

De ontvanger controleert in deze volgorde of er een DMARC-record aanwezig is:

1. mail.marketing.voorbeeld.com
2. marketing.voorbeeld.com
3. voorbeeld.com
4. com

Op elk niveau zoekt het naar een DMARC-record met een psd-tag:

• psd=n → dit is het organisatiedomein → stop
• psd=y → dit is een openbaar achtervoegsel → stop
• psd=u of ontbreekt → ga verder naar boven

Het zoeken stopt na maximaal 8 niveaus.

Deze aanpak maakt het gebruik van externe lijsten overbodig, geeft domeineigenaren zeggenschap over de grenzen van hun domein en zorgt ervoor dat het gedrag in alle systemen beter voorspelbaar is.

2. Verouderde tags: ‘pct’, ‘rf’, ‘ri’

DMARCbis verwijdert de volgende tags:

• ‘pct’ (de ‘Percentage’-tag voor handhaving op basis van percentages)
• ‘rf’ (formaat voorforensische rapporten)
• ‘ri’ (rapportage-interval)

Deze werden zelden consequent toegepast en maakten het geheel ingewikkelder zonder dat dit een duidelijk voordeel opleverde.

Opmerking over de pct-tag: Sommige organisaties gebruikten pct om DMARC-beleidsregels geleidelijk in te voeren. Door deze tag te verwijderen wordt het protocol vereenvoudigd, maar verdwijnt ook het mechanisme voor een gefaseerde invoering.

Het standpunt van PowerDMARC: gefaseerde handhaving blijft belangrijk, maar dit moet op operationeel niveau worden geregeld in plaats van via inconsistente ondersteuning door ontvangers.

3. Nieuwe tags toegevoegd: ‘psd’, ‘np’, ‘t’

‘psd’ (domein met openbaar achtervoegsel)

De tag ‘psd’ definieert expliciet het domeintype en bepaalt waar de DNS-boomdoorloop stopt:

• psd=y → domein met openbaar achtervoegsel (bijv. TLD-beheerders)
• psd=n → organisatorisch domein
• psd=u → onbekend (standaardgedrag indien weggelaten)

‘np’ (beleid inzake niet-bestaande domeinen)

De tag ‘np’ bepaalt het beleid voor niet-bestaande subdomeinen en voorkomt misbruik van ongebruikte of niet-geregistreerde subdomeinen.
Voorbeeld: np=reject
‘t’ (testmodus)

De t -tag geeft aan dat het domein zich in de testmodus bevindt.

• Dit heeft geen voorrang op het beleid (‘p’, ‘sp’, ‘np’)
• Dit is slechts een advies
• Ontvangers kunnen zelf kiezen of ze hieraan gevolg geven

Wijzigingen in het geaggregeerde rapport (RUA)

DMARCbis heeft de rapportage van geaggregeerde gegevens ondergebracht in een aparte specificatie. Hoewel dit geen invloed heeft op de huidige rapportage, duidt het wel op toekomstige veranderingen.

Belangrijkste gevolgen:

• Het rapportageformaat wordt momenteel verder uitgewerkt in een afzonderlijk IETF-ontwerp
• De XML-structuur kan worden aangepast om de consistentie te verbeteren
• De manier waarop incidenten worden gemeld, zal in de loop van de tijd steeds meer gestandaardiseerd worden

Richtlijnen voor mailinglijsten en p=reject

DMARCbis bevat duidelijkere richtlijnen voor mailinglijsten.

Gebruikers van domeinen die actief berichten plaatsen op mailinglijsten, wordt aangeraden geen gebruik te maken van `p=reject`, omdat dit ertoe leidt dat legitieme e-mails worden geweigerd, aangezien:

• Mailinglijsten passen berichten vaak aan
• Dit verstoort DKIM-handtekeningen
• Het afstemmen van SPF mislukt meestal

Als uw gebruikers deelnemen aan openbare mailinglijsten, vermijd dan een strikt afwijzingsbeleid, tenzij u de gevolgen daarvan volledig begrijpt.

Wat blijft hetzelfde in DMARCbis?

DMARCbis is achterwaarts compatibel, wat in feite betekent dat uw bestaande DMARC-record, zelfs na de officiële invoering, nog steeds naar behoren zal blijven functioneren, ook al is het niet voorzien van de moderne updates. Hieronder volgen enkele zaken die ongewijzigd blijven:

• Bestaande records met v=DMARC1 blijven gewoon werken
• De afstemmingsmechanismen voor SPF en DKIM blijven ongewijzigd
• Kernlabels zoals ‘p’, ‘sp’, ‘rua’ en ‘ruf’ blijven centraal staan

Voor en na: voorbeelden van DMARC-records

Voorheen (oud record):

Na (DMARCbis-conform):

Ontdek hoe u een DMARC-record publiceert.

Wie moet wat doen?

Hoe moet ik me voorbereiden op DMARCbis?

Het is belangrijk om op te merken dat er weliswaar geen onmiddellijke aanpassingen nodig zijn, maar dat vroegtijdige aanpassing toekomstige risico’s beperkt. Om u voor te bereiden op DMARCbis kunt u onze korte checklist hieronder gebruiken:

Maak kennis met DMARCbis via PowerDMARC

PowerDMARC is volledig voorbereid om de overgang naar DMARCbis te ondersteunen. Naarmate de specificatie zich verder ontwikkelt, zorgen wij ervoor dat uw configuratie zonder onderbrekingen aan de vereisten blijft voldoen. Zo kunnen wij u helpen:

• DMARCbis-compatibele recordgenerator: Onze generator ondersteunt al de nieuwe tags np, psd en t, en markeert verouderde tags zoals pct, rf en ri voor verwijdering, zodat u niet hoeft te gissen welke tags u moet behouden of verwijderen.
• Hosted DMARC met automatische updates: als u gebruikmaakt van onze Hosted DMARC-service, werken wij uw record bij zodra de specificatie definitief is. Wanneer DMARCbis de status „Last Call“ verlaat en de status „Proposed Standard“ krijgt, wordt uw configuratie automatisch aangepast.
• Centraal overzicht over alle domeinen: krijg in realtime inzicht in wat goed werkt en wat niet, met waarschuwingen voor verouderde tags, aanbevelingen van experts en tooltips.
• Beoordeling van het beleid voor subdomeinen en niet-bestaande domeinen: DMARCbis introduceert de status ‘np’ voor niet-bestaande subdomeinen. Ons platform helpt u subdomeinen effectief te controleren en te beheren, zodat u kwetsbaarheden wegneemt die aanvallers zouden kunnen misbruiken.
• Deskundige ondersteuning bij het interpreteren en doorvoeren van nieuwe wijzigingen: ons ondersteuningsteam staat 24 uur per dag, 7 dagen per week voor u klaar om u te helpen de wijzigingen te interpreteren en uw migratie te plannen. Voor snelle hulp bij veelvoorkomende problemen kunt u ook gebruikmaken van onze ingebouwde DMARC AI-assistent.

Slotgedachten

DMARCbis zorgt voor meer duidelijkheid, vereenvoudigt de implementatie en geeft domeineigenaren meer controle over de manier waarop het beleid wordt toegepast. Hoewel de wijzigingen niet urgent zijn, zijn ze wel belangrijk, en organisaties zouden bij het evalueren van hun authenticatieproces rekening moeten houden met de komende updates. Door u nu voor te bereiden, zorgt u ervoor dat uw e-mailauthenticatie stabiel en voorspelbaar blijft en aansluit bij de volgende versie van de standaard.

Het goede nieuws: u hoeft de overstap naar DMARCbis niet alleen te maken! Ons team van experts staat klaar om u te helpen moeiteloos uw weg te vinden in de veranderingen binnen de sector en de vereisten voor e-mailverzenders, zonder dat u daarvoor technische kennis nodig hebt. Neem vandaag nog contact met ons op om aan de slag te gaan!

Veelgestelde Vragen

Is DMARCbis al gepubliceerd?

Nee. Het bevindt zich momenteel in de IETF Last Call-fase en zal naar verwachting een voorgestelde standaard worden.

Is DMARCbis achterwaarts compatibel?

Ja, DMARCbis is achterwaarts compatibel, wat betekent dat bestaande DMARC-records gewoon blijven werken. Er is dus geen reden om je te haasten met het aanpassen ervan of in paniek te raken.

Moet ik mijn DMARC-record nu bijwerken?

Het is op dit moment niet nodig om je DMARC-record meteen bij te werken. Het wordt echter wel aangeraden om verouderde tags te verwijderen om te zorgen dat alles in de toekomst nog steeds klopt.

Heeft DMARCbis invloed op SPF of DKIM?

DMARCbis heeft geen invloed op SPF- of DKIM-authenticatie, aangezien het alleen de manier verandert waarop DMARC de afstemming en het beleid beoordeelt.

• Over
• Laatste berichten

Yunes Tarada

Expert domein- en e-mailbeveiliging bij PowerDMARC

Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)

• DMARCbis uitgelegd – Wat verandert er en hoe kunt u zich voorbereiden - 16 april 2026
• Het formaat van het SOA-serienummer is ongeldig: oorzaken en oplossingen - 13 april 2026
• Veilige e-mails versturen in Gmail: stap-voor-stap handleiding - 7 april 2026