Naar hoofdinhoud
EU-webbeveiliging: in 10 stappen naar een betere rating · Deel 2

DMARC: van "none" naar "reject" — in drie stappen

46,8% van de EU-websites heeft DMARC, maar 63% stelt het beleid in op "none". Waarom dat niemand beschermt en hoe het wel moet.

· SiteGuardian

Deel 2 van de serie "EU-webbeveiliging: in 10 stappen naar een betere rating"

Het probleem

Iemand stuurt een e-mail van ceo@uw-domein.com naar uw klant. De e-mail bevat een betalingsverzoek. Die e-mail kwam niet van u.

Zonder DMARC: de ontvangende mailserver kan niet verifiëren of het afzenderdomein legitiem is. De e-mail belandt in de inbox.

Met DMARC ingesteld op reject: de mailserver controleert SPF en DKIM, stelt vast dat de e-mail niet geautoriseerd is en weigert deze. De e-mail wordt nooit afgeleverd.

46,8% van de Europese websites heeft een DMARC-record. Maar 63% daarvan stelt het beleid in op none — wat betekent: geen handhaving. Het domein blijft vervalsbaar, alsof DMARC helemaal niet geconfigureerd is.

Wat we zien in de Benchmark

Uit meer dan 700.000 Europese websites:

  • SPF: 75,7% — de meesten hebben de basis op orde
  • DKIM: 31,1% — minder dan één op drie ondertekent e-mails
  • DMARC: 46,8% — maar daarvan:
  • policy=none: 63% (alleen monitoring, blokkeert niets)
  • policy=quarantine: 17% (stuurt naar spam)
  • policy=reject: 20% (weigert direct — de enige effectieve bescherming)

En dan de configuratiefouten: quarantaine, rejet, keiner, brak, beleidsnaam — typefouten waardoor het record volledig wordt genegeerd. De DMARC-standaard is streng: één typefout in het beleidsveld en de hele configuratie wordt verworpen.

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) bouwt voort op SPF en DKIM:

  1. SPF controleert: is deze mailserver geautoriseerd om namens mijn domein te versturen?
  2. DKIM controleert: is het bericht onderweg gewijzigd?
  3. DMARC bepaalt: wat moet er gebeuren als zowel SPF als DKIM falen?

Zonder DMARC beslist elke ontvangende mailserver zelf. Met DMARC beslist u.

De drie stappen

Stap 1: stel DMARC in op none (dag 1)

Maak een TXT-record aan voor _dmarc.uw-domein.com:

v=DMARC1; p=none; rua=mailto:dmarc-reports@uw-domein.com
  • p=none — geen handhaving, alleen monitoring
  • rua=mailto:... — ontvangende servers sturen geaggregeerde rapporten hiernaartoe

De rapporten laten zien wie er e-mails verstuurt namens uw domein. Vaak ontdekt u nieuwsbrieftools, CRM-systemen of diensten van derden die u was vergeten.

Wacht 2-4 weken. Analyseer de rapporten. Zorg dat alle legitieme afzenders SPF- of DKIM-aligned zijn.

Stap 2: verhoog naar quarantine (week 3-4)

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@uw-domein.com
  • p=quarantine — niet-geauthenticeerde e-mails gaan naar de spammap
  • pct=10 — slechts 10% van de e-mails wordt zo behandeld (geleidelijke uitrol)

Monitor de rapporten. Geen klachten? Verhoog pct naar 50, dan naar 100.

Stap 3: verhoog naar reject (week 5-6)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@uw-domein.com

Nu worden vervalste e-mails ronduit geweigerd. Uw domein is beschermd.

SPF en DKIM moeten correct zijn

DMARC werkt alleen als minstens SPF of DKIM correct is geconfigureerd:

SPF: een TXT-record voor uw-domein.com met alle geautoriseerde mailservers:

v=spf1 include:_spf.google.com include:spf.brevo.com -all

De -all aan het einde is cruciaal — het zegt "weiger alle anderen". ~all (tilde) is een softfail en wordt vaak genegeerd.

DKIM: uw mailprovider genereert een sleutelpaar. De publieke sleutel wordt gepubliceerd als TXT-record onder selector._domainkey.uw-domein.com. Vraag uw provider — de meesten hebben een installatiegids.

Veelgemaakte fouten

1. Externe afzenders vergeten. Nieuwsbriefplatforms (Mailchimp, Brevo), ticketsystemen (Zendesk, Freshdesk), CRM's (HubSpot) — ze versturen allemaal e-mails namens u. Ze moeten allemaal in uw SPF-record staan of met DKIM ondertekenen.

2. Subdomeinen negeren. DMARC geldt standaard ook voor subdomeinen. Als marketing.uw-domein.com e-mails verstuurt, moet dat ook gedekt zijn. Gebruik sp=reject voor een apart subdomeinbeleid.

3. De rapporten niet lezen. DMARC-geaggregeerde rapporten in XML zijn niet mensvriendelijk. Gebruik een gratis rapportanalysetool (dmarcian, Postmark DMARC Tool) om te begrijpen wat er gebeurt.

Regelgevende context

  • NIS2 Art. 21(2)(j) vereist maatregelen voor "supply-chainbeveiliging" — dit omvat het beveiligen van e-mailcommunicatie met partners en leveranciers.
  • AVG Art. 32 vereist "passende technische maatregelen" — e-mailspoofing maakt phishing mogelijk, wat leidt tot datalekken.
  • DORA Art. 7 vereist dat de financiële sector alle ICT-risico's identificeert en classificeert — e-mailaanvallen behoren tot de meest voorkomende.

Controleer uw domein

SiteGuardian controleert SPF, DKIM, DMARC, STARTTLS en MTA-STS in één scan — en toont u niet alleen of de records bestaan, maar of ze daadwerkelijk werken:

https://siteguardian.io/scan

Volgende week in Deel 3: Content Security Policy — de meest effectieve verdediging tegen XSS, ontbrekend op 89% van de EU-websites.

Dit artikel maakt deel uit van de serie "EU-webbeveiliging: in 10 stappen naar een betere rating". Data uit de SiteGuardian EU Web Security Benchmark over meer dan 700.000 Europese websites.

Hoe scoort jouw website in vergelijking?

SiteGuardian scant je domein op zes beveiligingsdimensies — gratis, direct, zonder registratie.

Scan je website

EU-webbeveiliging: in 10 stappen naar een betere rating

Dit artikel maakt deel uit van een wekelijkse serie over best practices voor EU-webbeveiliging.

SiteGuardian

2026-04-20

RSS