Defaults.Exposed › Rapporten
Blind publiceren: de meeste DMARC-records vragen niet om rapporten
Gepubliceerd 2026-07-03 · bijgewerkt 2026-07-03
Cijfers per 2026-06-29 · methodologie v7. Censusgegevens over elk domein dat een parseerbaar DMARC-record publiceert, ontdubbeld per domein. De aanwezigheid van
rua=wordt gemeten over alle records, dus de exacte overlap met een afzonderlijk beleid is niet af te leiden — waar dit artikel uitspraken doet over die overlap, geeft het grenzen aan, nooit exacte kruistabellen. Alle cijfers zijn geaggregeerd — we publiceren nooit het rapportcijfer van een individueel bedrijf.
De meeste DMARC-records kijken niet mee
Van de 65 miljoen domeinen die een DMARC-record publiceren, bevat slechts 23 miljoen — 35,7% — de rua=-tag die om geaggregeerde rapporten vraagt. De overige 64,3% publiceert blind: er staat een beleid op het record, maar niemand heeft gevraagd om te horen wat er onder dat beleid gebeurt. Dat zijn 42 miljoen domeinen met een DMARC-record dat hun niets kan laten zien.
Een DMARC-record zonder rapportage is een deurbel zonder iemand thuis. Mailontvangers controleren elk bericht plichtsgetrouw ertegen — en hun bevindingen, de lijst van iedereen die als jouw domein verstuurt, gaan nergens naartoe. Het mechanisme werkt; de eigenaar luistert alleen niet.
Wat rua= eigenlijk doet
DMARC heeft twee helften. De beleidshelft (p=none, quarantine of reject) vertelt ontvangers wat ze moeten doen met mail die de authenticatie niet doorstaat. De rapportagehelft — de rua=-tag, een mailboxadres — vraagt ontvangers om je dagelijks geaggregeerde rapporten te sturen: welke servers als jouw domein verstuurden, hoeveel mail, en of die SPF en DKIM doorstond.
Die tweede helft is de volledige feedbacklus. Rapporten zijn hoe je het nieuwsbriefplatform ontdekt dat niemand documenteerde, de facturatietool die marketing aansloot, de schaduwverzender in een andere regio — voordat je gaat handhaven en ze breekt. Zonder rua= bereikt geen van die informatie je ooit. Het toevoegen kost één DNS-aanpassing: voeg rua=mailto:[email protected] (of het adres van een monitoringdienst) toe aan het bestaande record.
De kloof tussen fase 2 en 3: gepubliceerd en blind
In de zes fasen van DMARC-volwassenheid begint fase 3 — Observeren — wanneer DMARC gepubliceerd is en er geaggregeerde rapporten binnenstromen. Een record zonder rua= kwalificeert niet. Het zit in de kloof tussen fase 2 en 3 — gepubliceerd en blind — een plek die het model bewust zonder eigen getal laat.
Dit is van belang omdat elke fase erna afhankelijk is van de rapporten. Je kunt je verzenders niet identificeren (fase 4) uit rapporten die je nooit ontvangt; je kunt niet veilig handhaven (fase 5) zonder je verzenders te kennen. Een blind record is geen vroege stap op de reis — het is een parkeerhaven er net naast. En de census wijst erop dat de meeste recordhouders daar of in de buurt geparkeerd staan: 57,5% van alle DMARC-records bereikt nooit handhaving.
Erger dan nutteloos, omdat het als vooruitgang voelt
Een ontbrekend DMARC-record lijkt tenminste op wat het is: een gat. Een blind record lijkt op een vinkje. Iemand liep een compliancechecklist door, of een deliverabilitygids, of een one-line fix van een leverancier — publiceerde v=DMARC1; p=none — en de scanner werd groen. De organisatie voelt nu verder gevorderd dan de organisatie zonder record, terwijl ze functioneel op dezelfde plek staat: geen zichtbaarheid, geen handhaving, geen weg naar een van beide.
Het gevolg is stil en cumulatief. Blinde records falen niet luidruchtig; ze genereren gewoon nooit het bewijs dat de volgende stap zou rechtvaardigen. Jaren later zegt het record nog steeds p=none, kan niemand zeggen welke verzenders legitiem zijn, en voelt handhaven riskanter dan ooit — juist omdat er nooit rapporten zijn verzameld.
Wat de census wel en niet kan zeggen
Omdat de aanwezigheid van rua= wordt gemeten over alle 65 miljoen records — niet per beleid gekruistabelleerd — is het exacte aantal p=none-records dat óók blind is, niet af te leiden uit deze marginalen. De grenzen zijn desondanks scherp. 37 miljoen records (57,4% van de recordhouders) staan op p=none; slechts 23 miljoen records in de hele census vragen om rapporten. Dus hoogstens 23 miljoen van die p=none-records kunnen rapporten ontvangen — en minstens 14 miljoen ervan doen dat zeker niet, zelfs als elk rapportageadres in de census bij een p=none-domein hoorde. Hoe de overlap ook werkelijk uitvalt, miljoenen domeinen zitten in “monitoringmodus” met de monitor uitgetrokken.
De one-edit fix
Als je DMARC-record geen rua=-tag heeft, is de oplossing één DNS-wijziging en die is veilig op elk beleidsniveau:
- Kies een rapportagebestemming — een mailbox die je daadwerkelijk verwerkt, of een gratis/betaalde DMARC-monitoringdienst die de XML omzet in iets leesbaars.
- Voeg die toe aan het record:
v=DMARC1; p=none; rua=mailto:[email protected]. Als de bestemming een ander domein is, moet dat domein toestemming geven om jouw rapporten te ontvangen (een klein extra DNS-record aan zijn kant). - Wacht een paar dagen en lees dan. Rapporten komen dagelijks binnen van grote ontvangers. Wat ze laten zien — elke bron die als jouw domein verstuurt — is de kaart voor de rest van de reis.
Dan houdt het record op meubilair te zijn en wordt het een instrument. (DMARC herstellen →.)
Veelgestelde vragen
Wat is een DMARC-rua-rapport? Een geaggregeerd XML-rapport dat deelnemende mailontvangers (doorgaans dagelijks) sturen naar het adres in de rua=-tag van je record, met een samenvatting van welke bronnen mail als jouw domein verstuurden en of die de SPF- en DKIM-uitlijning doorstond. Het bevat geen berichtinhoud — alleen verzendinfrastructuur en aantallen geslaagd/mislukt.
Is DMARC zonder rua waardeloos? Niet waardeloos — een handhavend beleid blokkeert spoofing ook zonder. Maar op p=none blokkeert een record zonder rua= niets en toont het je niets — de enige overgebleven taak is het aanvinken van het minimumvereiste-vakje van de mailboxproviders. En zelfs handhavende domeinen zonder rapportage verliezen de driftdetectie die handhaving veilig houdt naarmate nieuwe verzenders opduiken. p=none is geen bescherming hoe dan ook — zonder rapporten is het niet eens voorbereiding.
Kan rua= naar elke mailbox wijzen? Ja, ook naar een op een ander domein — de meeste monitoringdiensten werken precies zo. Het ontvangende domein publiceert een klein verificatierecord dat jouw rapporten toestaat. Wat telt, is dat er iets de XML daadwerkelijk verwerkt; een mailbox die niemand leest, is blindheid met extra stappen.
Onthullen geaggregeerde rapporten privégegevens? Nee. rua-geaggregeerde rapporten bevatten statistieken over verzendbron en authenticatie, niet de berichtinhoud of ontvangerslijsten. (De aparte ruf=-foutrapporten kunnen berichtfragmenten bevatten, wat de reden is dat veel ontvangers ze niet meer sturen — rua is degene die telt.)
Controleer of je record meekijkt
Een DMARC-record dat niet om rapporten vraagt, is een van de makkelijkste bevindingen om op de hele reis op te lossen — één DNS-aanpassing verandert blind in Observeren. Je kunt het privé en gratis controleren, en zien welke van de 34 checks je doorstaat en hoe je de rest oplost.
Controleer je domein → · De 6 fasen van DMARC-volwassenheid → · De DMARC-pijler → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.