Wat is DMARC? Uitleg, werking en voorbeeld DMARC-record (2026)

DMARC (Domain-based Message Authentication, Reporting & Conformance) is een open e-mailstandaard waarmee een domeineigenaar bepaalt wat ontvangende mailservers moeten doen met e-mail die zich ten onrechte als dat domein voordoet: gewoon afleveren, in de spam plaatsen of weigeren. Daarnaast levert DMARC rapportages waarmee de domeineigenaar misbruik van zijn domeinnaam kan zien.DMARC (Domain-based Message Authentication, Reporting & Conformance) is an open email standard that lets a domain owner determine what receiving mail servers should do with email that falsely poses as that domain: deliver it normally, place it in spam or reject it. DMARC also delivers reports so the domain owner can see abuse of their domain name.

Zonder DMARC kan iedereen ter wereld een e-mail versturen met uw domeinnaam als afzender. De ontvangende mailserver heeft dan geen instructie om die mail te wantrouwen. Criminelen gebruiken dit voor phishing richting uw klanten, CEO-fraude richting uw eigen medewerkers en factuurfraude richting uw leveranciers — allemaal uit naam van úw bedrijf.Without DMARC, anyone in the world can send an email with your domain name as the sender. The receiving mail server then has no instruction to distrust that mail. Criminals use this for phishing aimed at your customers, CEO fraud aimed at your own staff and invoice fraud aimed at your suppliers — all in your company's name.

Hoe werkt DMARC?How does DMARC work?

DMARC bouwt voort op twee oudere standaarden: SPF (welke servers mogen namens het domein mailen) en DKIM (een digitale handtekening per e-mail). DMARC voegt daar drie dingen aan toe:DMARC builds on two older standards: SPF (which servers may send on behalf of the domain) and DKIM (a digital signature per email). DMARC adds three things to those:

Alignment: DMARC controleert of het afzenderdomein dat de ontvanger ziet (het "From"-adres) overeenkomt met het domein dat SPF of DKIM heeft gevalideerd. Dat voorkomt dat een aanvaller met een eigen, technisch correct domein toch uw naam in beeld zet.Alignment: DMARC checks whether the sender domain the recipient sees (the "From" address) matches the domain that SPF or DKIM validated. This prevents an attacker with their own, technically correct domain from still showing your name.
Beleid (policy): de domeineigenaar publiceert in DNS wat er moet gebeuren met mail die de controle niet doorstaat.Policy: the domain owner publishes in DNS what should happen to mail that fails the check.
Rapportage: grote mailproviders zoals Google en Microsoft sturen dagelijks rapporten naar de domeineigenaar over alle e-mail die namens het domein is gezien — legitiem én vervalst.Reporting: large mail providers such as Google and Microsoft send daily reports to the domain owner about all email seen in the domain's name — both legitimate and spoofed.

De drie DMARC-beleidsniveausThe three DMARC policy levels

BeleidPolicy	BetekenisMeaning	BeschermingsniveauProtection level
`p=none`	Alleen monitoren: niets wordt geblokkeerd, u ontvangt wel rapportages.Monitoring only: nothing is blocked, but you do receive reports.	Geen bescherming — alleen inzichtNo protection — insight only
`p=quarantine`	Verdachte mail wordt als spam behandeld.Suspicious mail is treated as spam.	Gedeeltelijke beschermingPartial protection
`p=reject`	Vervalste mail wordt geweigerd en bereikt de ontvanger nooit.Spoofed mail is rejected and never reaches the recipient.	Volledige beschermingFull protection

Let op:Note: veel organisaties hebben wel een DMARC-record, maar laten het jarenlang op p=none staan. Daarmee is het domein feitelijk niet beschermd. Het doel van elk DMARC-traject is p=reject.many organisations do have a DMARC record but leave it on p=none for years. The domain is then effectively unprotected. The goal of every DMARC project is p=reject.

Hoe ziet een DMARC-record eruit?What does a DMARC record look like?

Een DMARC-record is een TXT-record in DNS op _dmarc.uwdomein.nl. Een voorbeeld:A DMARC record is a TXT record in DNS at _dmarc.yourdomain.com. An example:

v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com; pct=100; adkim=s; aspf=s

De belangrijkste onderdelen (tags):The most important parts (tags):

Tag	BetekenisMeaning
`v=DMARC1`	Versie van de standaard, altijd DMARC1.Version of the standard, always DMARC1.
`p=`	Het beleid: none, quarantine of reject.The policy: none, quarantine or reject.
`rua=`	E-mailadres waar aggregaatrapporten naartoe gaan.Email address where aggregate reports are sent.
`ruf=`	Adres voor forensische (gedetailleerde) rapporten.Address for forensic (detailed) reports.
`pct=`	Percentage van de mail waarop het beleid wordt toegepast.Percentage of mail the policy is applied to.
`sp=`	Beleid voor subdomeinen.Policy for subdomains.
`adkim=` / `aspf=`	Strikte (s) of relaxte (r) alignment voor DKIM en SPF.Strict (s) or relaxed (r) alignment for DKIM and SPF.

Wat staat er in DMARC-rapporten?What's in DMARC reports?

Aggregaatrapporten (RUA) zijn XML-bestanden die ontvangende mailproviders dagelijks versturen. Ze tonen per verzendend IP-adres hoeveel e-mail er namens uw domein is gezien en of die SPF- en DKIM-controles doorstond. Hiermee ontdekt u zowel misbruik als legitieme systemen die nog niet goed zijn ingesteld — bijvoorbeeld een nieuwsbriefpakket of het boekhoudprogramma dat facturen mailt. Het analyseren van deze rapporten is het meeste werk binnen een DMARC-traject; precies dat werk nemen wij u uit handen.Aggregate reports (RUA) are XML files that receiving mail providers send daily. They show, per sending IP address, how much email was seen in your domain's name and whether it passed SPF and DKIM checks. This reveals both abuse and legitimate systems that aren't set up correctly yet — for example a newsletter platform or the accounting software that mails invoices. Analysing these reports is the bulk of the work in a DMARC project; that is exactly the work we take off your hands.

Is DMARC verplicht?Is DMARC mandatory?

Google en Yahoo eisen sinds februari 2024 een DMARC-beleid voor iedereen die meer dan 5.000 e-mails per dag verstuurt; zonder DMARC wordt mail geweigerd of als spam behandeld.Google and Yahoo have required a DMARC policy since February 2024 for anyone sending more than 5,000 emails per day; without DMARC, mail is rejected or treated as spam.
Microsoft stelt vergelijkbare eisen voor aflevering bij Outlook.com.Microsoft sets similar requirements for delivery to Outlook.com.
De Nederlandse overheid verplicht DMARC met een handhavend beleid via de 'pas toe of leg uit'-lijst van Forum Standaardisatie.The Dutch government mandates DMARC with an enforcing policy via the 'comply or explain' list of Forum Standaardisatie.
NIS2 / cyberverzekeraars: e-mailauthenticatie geldt als basismaatregel binnen een passend beveiligingsniveau; auditors en verzekeraars vragen er expliciet naar.NIS2 / cyber insurers: email authentication counts as a basic measure within an adequate security level; auditors and insurers explicitly ask about it.
PCI DSS 4.0 noemt anti-phishing-maatregelen zoals DMARC voor organisaties die kaartbetalingen verwerken.PCI DSS 4.0 names anti-phishing measures such as DMARC for organisations that process card payments.

Veelgemaakte fouten bij DMARCCommon DMARC mistakes

Direct naar p=reject springen zonder analyse, waardoor legitieme e-mail (facturen, nieuwsbrieven) wordt geweigerd.Jumping straight to p=reject without analysis, causing legitimate email (invoices, newsletters) to be rejected.
Jarenlang op p=none blijven staan, waardoor er feitelijk geen bescherming is.Staying on p=none for years, so there is effectively no protection.
Geen rua= rapportage-adres instellen, waardoor misbruik onzichtbaar blijft.Not setting a rua= reporting address, leaving abuse invisible.
Subdomeinen vergeten (sp=), terwijl aanvallers juist die gebruiken.Forgetting subdomains (sp=), which is exactly what attackers exploit.
SPF-records die de limiet van 10 DNS-lookups overschrijden en daardoor ongeldig zijn.SPF records that exceed the limit of 10 DNS lookups and are therefore invalid.

Hoe staat uw domein ervoor?How is your domain doing?

Check gratis en binnen enkele seconden of uw DMARC, SPF en DKIM goed staan ingesteld. Geen e-mailadres nodig.Check for free, within seconds, whether your DMARC, SPF and DKIM are configured correctly. No email address required.

Doe de gratis DMARC-checkRun the free DMARC check

Verder lezenFurther reading

Wat is SPF?Welke servers mogen namens uw domein mailenWhat is SPF?Which servers may send mail on behalf of your domain Wat is DKIM?De digitale handtekening onder elke e-mailWhat is DKIM?The digital signature on every email Veelgestelde vragenAntwoorden op alle DMARC-vragenFrequently asked questionsAnswers to all your DMARC questions

Wat is DMARC?What is DMARC?