Spring naar hoofdinhoud
SenderProof

Wat is DMARC?

DMARC bindt SPF en DKIM samen, bepaalt wat er gebeurt met mail die faalt, en stuurt je rapportages. Het is de laag die spoofing van jouw domein écht stopt.

Wat SPF en DKIM missen

SPF en DKIM zeggen elk iets over de techniek, maar niets over de From: die de ontvanger ziet. Een aanvaller kan een eigen domein perfect SPF/DKIM-conform inrichten en tóch jouw naam in de From: zetten. DMARC dicht dat gat met alignment: het afzender-domein in SPF/DKIM moet matchen met de zichtbare From:.

Het record

_dmarc.jouwdomein.nl  TXT  "v=DMARC1; p=reject; rua=mailto:rapporten@..."
  • p= — het beleid: none, quarantine of reject (zie de policy-gids).
  • rua= — waar de aggregate-rapporten heen gaan (dagelijkse samenvattingen per source).
  • ruf= — forensische/failure-rapporten (per individuele faal; veel providers sturen deze niet meer).
  • pct= — op welk percentage mail het beleid toegepast wordt (handig bij geleidelijk uitrollen).

Waarom rapportages het halve werk zijn

De rua-rapporten laten zien wie er allemaal namens jou mailt — inclusief vergeten CRM's, nieuwsbrieftools en schaduw-IT. Pas als je die allemaal legitiem hebt ingericht in SPF/DKIM, kun je veilig naar p=reject. Senderproof verzamelt en ontrafelt die rapporten voor je, per verzender.

Het doel: p=reject

Alleen bij p=reject ben je echt beschermd: mail die zich als jou voordoet wordt geweigerd. p=none is puur monitoren. De NL-overheidsnorm (Forum Standaardisatie, "pas toe of leg uit") vraagt expliciet om DMARC mét een handhavend beleid.