Defaults.Exposed

Defaults.Exposed › Rapporten

'quarentine', 'ninguno', 'non': de meest voorkomende DMARC-typefouten van internet (2026)

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens: het p=-beleidstoken van elk gepubliceerd _dmarc-record over 261 miljoen beoordeelde domeinen, ontdubbeld per domein. Zie hoe we beoordelen.

DMARC instellen is priegelig, en de data laat dat zien: 48.648 domeinen publiceerden een DMARC-record waarvan het beleid verkeerd gespeld is, in de verkeerde taal geschreven of helemaal ontbreekt — dus het doet niets. Ze deden het moeilijke deel (een record publiceren) en struikelden bij het laatste woord. Een DMARC-beleid beschermt je alleen als er precies p=quarantine of p=reject staat; alles anders, en ontvangende mailservers negeren het en het domein kan nog steeds worden nagebootst.

Hoe een DMARC-typefout eruitziet

DMARC heeft precies drie geldige beleidsregels: none (alleen monitoren), quarantine en reject. De laatste twee zijn degene die nabootsing van e-mail daadwerkelijk tegenhouden. Maar het beleid is gewoon tekst die een mens in een DNS-record typt — en over 65 miljoen DMARC-records heen, hier zijn de meest voorkomende dingen die mensen typten in plaats van een geldig beleid:

Gepubliceerd in plaats van een geldig beleidDomeinen
(no-p-token)31.553
quarentine4.806
policy4.134
quarantaine1.321
ninguno380
non351

Er duiken twee soorten fouten op. Structurele fouten — een record zonder enig p=-token, of het letterlijke woord policy of een kale p — betekenen dat de syntaxis verprutst is. Linguïstische fouten zijn menselijker: quarentine en quarantaine zijn gewoon verkeerde spellingen van “quarantine”, terwijl ninguno (Spaans voor “none”) en non (Frans) eigenaren zijn die het beleidswoord in hun eigen taal schrijven. Elk ervan is ongeldig, en elk ervan betekent hetzelfde: geen bescherming, ondanks dat er een DMARC-record aanwezig is.

Waarom dit meer uitmaakt dan het lijkt

Een verkeerd gespeld beleid is misschien wel erger dan helemaal geen DMARC, want het lijkt af. Het record bestaat; een snelle blik — of een eenvoudig compliance-vinkje — zegt “DMARC: aanwezig”. Maar ontvangers wijzen alles af dat geen geldig beleidssleutelwoord is, dus het domein blijft volledig vervalsbaar. De eigenaar gelooft dat hij beschermd is; aanvallers weten dat hij dat niet is.

Ter context: slechts 10,59% van alle domeinen bereikt een geldig handhavend beleid (27.639.358 domeinen). De 48.648 met een kapot beleid zijn een klein deel van de DMARC-records die bestaan — maar het is de meest vermijdbare fout in e-mailbeveiliging: één verkeerd getypt woord tussen een bedrijf en een werkende verdediging.

Veelgestelde vragen

Wat zijn de geldige DMARC-beleidsregels? Precies drie: p=none (alleen monitoren, geen bescherming), p=quarantine en p=reject. Alleen de laatste twee stoppen nabootsing. Alles anders — een spelfout, een andere taal of een ontbrekende p= — is ongeldig en wordt genegeerd.

Waarom zou “quarentine” of “ninguno” in een DMARC-record verschijnen? Menselijke fout. quarentine/quarantaine zijn verkeerde spellingen van “quarantine”; ninguno (Spaans) en non (Frans) zijn eigenaren die het woord in hun eigen taal schrijven. DMARC accepteert alleen de exacte Engelse sleutelwoorden, dus al deze falen stilletjes.

Is een verkeerd gespeld DMARC-beleid erger dan geen? In de praktijk wel — het biedt dezelfde nulbescherming maar lijkt op een geconfigureerde maatregel, dus het probleem blijft onopgemerkt.

Hoe weet ik of mijn DMARC-beleid geldig is? Controleer je domein (hieronder) — het leest je daadwerkelijk gepubliceerde beleid en vertelt je of het handhavend, alleen-monitoren of ongeldig is.

Controleer of je DMARC-beleid echt geldig is

Een werkend record is één verkeerd getypt woord verwijderd van een kapot record. Controleer het jouwe privé en gratis — je ziet je exacte beleid en hoe je het repareert.

Controleer je domein → · DMARC repareren → · Kan iemand je domein vervalsen? → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.