Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

DMARC

Technologie

Domain-based Message Authentication, Reporting and Conformance. Techniek om valse e-mails of SPAM tegen te gaan. DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren over wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance en is een e-mailauthenticatieprotocol dat organisaties beschermt tegen e-mailspoofing en phishing. Het protocol bouwt voort op twee bestaande technieken, SPF en DKIM, en voegt daar een beleidslaag aan toe. Met DMARC bepaal je als domeinhouder wat er moet gebeuren met e-mails die niet door de authenticatiecontroles komen. Denk aan e-mails die claimen afkomstig te zijn van jouw domein, maar dat niet zijn. Zonder DMARC kunnen aanvallers vrijwel ongehinderd e-mails versturen die eruitzien alsof ze van jouw organisatie komen, met alle risico's van dien voor klanten, partners en medewerkers.

Het protocol is ontwikkeld door een coalitie van grote techbedrijven en e-mailproviders en wordt inmiddels breed ondersteund. Sinds 2024 vereisen grote e-mailproviders zoals Google, Yahoo en Microsoft dat bulkverzenders DMARC correct hebben ingesteld. Organisaties die niet aan deze eis voldoen, lopen het risico dat hun e-mails in spamfilters belanden of volledig worden geweigerd. DMARC is daarmee niet langer optioneel, maar een fundamenteel onderdeel van e-mailbeveiliging en deliverability.

Hoe werkt DMARC?

DMARC werkt door een DNS-record toe te voegen aan het domein van de verzender. In dit record staat het beleid dat ontvangende mailservers moeten toepassen wanneer een e-mail niet slaagt voor de SPF- of DKIM-controle. Het protocol controleert of het "From"-adres in de e-mailheader overeenkomt met het domein dat is gevalideerd door SPF of DKIM. Dit heet "alignment" en is de kern van wat DMARC toevoegt aan de bestaande authenticatieprotocollen.

Je configureert DMARC met drie mogelijke beleidswaarden. De waarde "none" zorgt ervoor dat e-mails gewoon worden afgeleverd, maar je ontvangt wel rapportages over authenticatieresultaten. De waarde "quarantine" stuurt niet-geauthenticeerde e-mails naar de spammap. De strengste instelling "reject" weigert niet-geauthenticeerde e-mails volledig. De meeste organisaties beginnen met "none" om inzicht te krijgen in hun e-mailstromen en schakelen vervolgens stapsgewijs over naar "quarantine" en uiteindelijk "reject".

Daarnaast genereert DMARC twee typen rapportages. Aggregate reports (RUA) geven een dagelijks overzicht van alle authenticatieresultaten per verzendende bron. Forensic reports (RUF) bevatten gedetailleerde informatie over individuele e-mails die niet door de controle kwamen. Deze rapportages zijn essentieel om te begrijpen wie e-mail verstuurt namens jouw domein en waar eventuele configuratieproblemen zitten.

Wanneer heb je DMARC nodig?

Elke organisatie die e-mail verstuurt via een eigen domein heeft DMARC nodig. Dat geldt voor bedrijven van elke omvang, van zzp'er tot multinational. Als je klanten e-mailt, nieuwsbrieven verstuurt of facturen via e-mail deelt, loop je zonder DMARC het risico dat criminelen jouw domein misbruiken voor phishing-aanvallen. Slachtoffers van zulke aanvallen associeren de fraude met jouw merk, wat leidt tot reputatieschade en verlies van vertrouwen.

Specifiek voor Nederlandse organisaties is DMARC ook relevant in het kader van compliancevereisten. De Rijksoverheid hanteert het "pas toe of leg uit"-principe voor open standaarden, en DMARC staat op de lijst van verplichte standaarden voor overheidsorganisaties. Ook de NIS2-richtlijn stelt eisen aan de beveiliging van communicatiekanalen, waar e-mailauthenticatie een logisch onderdeel van vormt. Financiele instellingen en zorginstellingen implementeren DMARC steeds vaker als onderdeel van hun informatiebeveiligingsbeleid.

Daarnaast is DMARC cruciaal voor e-mail deliverability. Sinds februari 2024 vereisen Google en Yahoo DMARC voor afzenders die meer dan 5.000 e-mails per dag versturen. Microsoft volgde in mei 2025 met vergelijkbare eisen voor Outlook-gebruikers. Zonder correct geconfigureerd DMARC komen je e-mails simpelweg niet meer aan bij een groot deel van je ontvangers.

Voordelen en beperkingen van DMARC

Het grootste voordeel van DMARC is bescherming tegen domein-spoofing. Aanvallers kunnen jouw domeinnaam niet meer misbruiken in het "From"-veld van phishing-e-mails als je een reject-beleid hebt ingesteld. Dit beschermt niet alleen jouw organisatie, maar ook iedereen die e-mails ontvangt die claimen van jouw domein te komen. De rapportagefunctie geeft je daarnaast volledig inzicht in wie e-mail verstuurt namens jouw domein, inclusief legitieme diensten die je mogelijk was vergeten.

Een beperking is dat DMARC alleen beschermt tegen exact domain spoofing. Een aanvaller kan nog steeds een lookalike-domein registreren, zoals "jouwbedrijf-nl.com" in plaats van "jouwbedrijf.nl", en daar e-mails vanuit versturen. DMARC vangt dat niet af. Daarnaast is de implementatie niet triviaal: organisaties met meerdere e-maildiensten, marketingtools en externe verzendpartijen moeten al deze bronnen correct autoriseren via SPF en DKIM voordat ze naar een reject-beleid kunnen overschakelen. Een te snelle overstap naar reject kan ertoe leiden dat legitieme e-mails worden geblokkeerd.

Volgens het Valimail 2026 State of DMARC Report heeft wereldwijd nog steeds een aanzienlijk deel van de domeinen geen DMARC-record of staat het beleid op "none", waardoor de bescherming feitelijk niet actief is. Volledige implementatie tot aan enforcement blijft voor veel organisaties een uitdaging, met name omdat het afstemmen van alle verzendende bronnen een doorlopend proces is.

DMARC implementeren in de praktijk

Een succesvolle DMARC-implementatie verloopt in fases. Start met het publiceren van een DMARC-record met beleid "none" en een rapportage-adres. Analyseer de inkomende rapportages gedurende vier tot zes weken om alle legitieme verzendende bronnen in kaart te brengen. Denk hierbij aan je e-mailserver, marketingtools zoals Mailchimp of HubSpot, CRM-systemen, boekhoudsoftware en andere diensten die e-mail versturen namens jouw domein. Zorg dat elke bron correct is geconfigureerd met SPF en DKIM.

Zodra alle legitieme bronnen zijn geidentificeerd en correct geconfigureerd, schakel je over naar "quarantine". Monitor de rapportages opnieuw om te controleren dat geen legitieme e-mails worden afgewezen. Na een stabiele periode stap je over naar "reject". Dit hele traject duurt doorgaans drie tot zes maanden, afhankelijk van de complexiteit van je e-mailinfrastructuur. Gebruik tools zoals MXToolbox, Postmark of dmarcian om het proces te ondersteunen en de rapportages leesbaar te maken.

Veelgestelde vragen over DMARC

Wat is het verschil tussen DMARC, SPF en DKIM?

SPF controleert of een mailserver geautoriseerd is om e-mail te versturen namens een domein. DKIM voegt een digitale handtekening toe aan e-mails om de inhoud te verifieren. DMARC combineert de resultaten van beide en voegt beleidsregels toe die bepalen wat er gebeurt met e-mails die niet slagen voor de controles.

Hoe lang duurt het om DMARC te implementeren?

De technische configuratie van een basis DMARC-record kost slechts minuten. Het volledige implementatietraject, van monitoring via "none" naar enforcement via "reject", duurt doorgaans drie tot zes maanden. In die periode breng je alle verzendende bronnen in kaart en los je authenticatieproblemen op.

Is DMARC verplicht voor Nederlandse organisaties?

Voor overheidsorganisaties is DMARC een verplichte open standaard op de "pas toe of leg uit"-lijst. Voor private organisaties is het niet wettelijk verplicht, maar grote e-mailproviders vereisen het wel. Zonder DMARC worden je e-mails mogelijk niet afgeleverd bij Gmail, Yahoo en Outlook.

Wat kost DMARC-implementatie?

Het instellen van een DMARC DNS-record is gratis. De kosten zitten in monitoring en beheer. Gratis tools zoals MXToolbox bieden basismonitoring. Professionele DMARC-monitoringdiensten kosten tussen de 100 en 500 euro per maand, afhankelijk van het aantal domeinen en de complexiteit van je e-mailinfrastructuur.

Kan DMARC alle phishing-aanvallen voorkomen?

Nee. DMARC voorkomt dat aanvallers jouw exacte domein gebruiken in het "From"-veld. Het beschermt niet tegen lookalike-domeinen, display name spoofing of phishing via gehackte legitieme accounts. DMARC is een essentieel onderdeel van e-mailbeveiliging, maar geen complete oplossing op zichzelf.

Vergelijk aanbieders van e-mailbeveiliging op E-mailbeveiliging op IBgidsNL.