Defaults.Exposed › Rapporten
De 6 fasen van DMARC-volwassenheid
Gepubliceerd 2026-07-03 · bijgewerkt 2026-07-03
Cijfers per 2026-06-29 · methodologie v7. Dit is een referentiemodel dat wordt onderbouwd door een terugkerende telling; elke editie meet dezelfde populatie opnieuw, zodat de cijfers in de tijd gevolgd kunnen worden. Alle cijfers zijn geaggregeerd — we publiceren nooit het rapportcijfer van een individueel bedrijf.
DMARC publiceren is niet hetzelfde als beschermd zijn
Over 261 miljoen gemeten domeinen publiceert 24,89% een DMARC-record — maar slechts 10,59% handhaaft er een. Anders gezegd: van de ongeveer 65 miljoen domeinen die aan de DMARC-reis begonnen, bereikte 57,5% nooit het onderdeel dat daadwerkelijk iets blokkeert. Ze publiceerden een record, wezen rapportage ergens naartoe, en liepen vast. Kleinere onafhankelijke studies vinden dezelfde vorm — een sectorrapport uit 2026 kwam uit op ~9% handhaving onder de ~938.000 onderzochte domeinen.
Adoptie is niet meer het probleem. Bescherming wel. En domeinen lopen vast om een structurele reden: de kaarten die iedereen gebruikt, houden te vroeg op. Ze eindigen te snel, en geen enkele geeft de moeilijkste stap een eigen naam.
Waar de bestaande kaarten te vroeg ophouden
De modellen waarop de sector navigeert, waren juist voor hun tijd en verdienen een eerlijke lezing:
- Het uitrolmodel in vijf fasen dat populair werd gemaakt door dmarcian (wiens oprichter mede DMARC zelf schreef) doorloopt uitrollen → monitoren → beleid aanscherpen — en behandelt het bereiken van
p=rejectals de eindbestemming. - De RFC-progressie —
p=none → quarantine → reject— bestaat uit drie handhavingsniveaus, geen volwassenheidsmodel. Ze zegt niets over voorwaarden vooraf en niets over wat erna komt. - “Crawl, walk, run” is een volksmodel: qua richting juist, maar structureel leeg.
Alle drie delen twee beperkingen. Ten eerste stoppen ze bij p=reject — alsof handhaving de finishlijn is. Dat is het niet: de standaard zelf is verdergegaan (DMARCbis — RFC 9989, 9990 en 9991 — werd in mei 2026 gepubliceerd en verving de oorspronkelijke RFC 7489), en handhaving doet niets voor transportbeveiliging of merkvertrouwen. Ten tweede — en dit is wat domeinen daadwerkelijk laat stranden — maakt geen enkele van hen “elke afzender in kaart gebracht” tot een benoemde fase. Eerlijk gezegd noemen de uitrolgidsen het werk wel: dmarcians model neemt afzenderidentificatie op als taak binnen zijn monitoringfase. Maar een taak die verstopt zit binnen een fase, wordt precies zo behandeld — als onderdeel van “monitoren” in plaats van als de aparte prestatie die het is. Rapporten zien binnenkomen voelt als vooruitgang. Dat is het nog niet. De grootste reden dat domeinen jarenlang op p=none blijven staan, is dat ze hun mail wel kunnen zien maar er niet rekenschap van hebben gegeven — dus durven ze niet te handhaven, uit angst iets echts stuk te maken.
Een bruikbaar model moet die stap zijn eigen naam en zijn eigen exitcriteria geven. Dit model doet dat. We noemen het het DMARC Adoption Maturity Model — DAMM: zes fasen, elk één stap, en een naam die je kunt citeren.
Het model
Fase 1 — Onbeschermd. Geen DMARC-record — of SPF en DKIM eronder zijn onvolledig. Iedereen kan e-mail versturen als jouw domein, en nergens controleert iets. De stap: configureer SPF én DKIM voor je primaire mail, en bevestig dat ze authenticeren en aligneren. DMARC is op beide gebouwd; je kunt deze fundering niet overslaan.
Fase 2 — Geauthenticeerd. SPF en DKIM zijn correct en aligneren voor je hoofd-mailstroom. Je legitieme mail bewijst zijn herkomst — maar niets vertelt de inboxen van de wereld wat ze moeten doen met mail die dat niet doet. De stap: publiceer een DMARC-record op p=none met een rua=-rapportageadres.
Fase 3 — Observeren. DMARC is gepubliceerd, geaggregeerde rapporten stromen binnen, en voor het eerst kun je zien wie er als jouw domein verstuurt. Er wordt niets geblokkeerd. De meeste tools noemen deze fase “zicht” — wij bewust niet, omdat rapporten zien en ze begrijpen verschillende prestaties zijn. De stap: identificeer elke legitieme bron die als jouw domein verstuurt, en zorg dat elke bron aligneert.
Fase 4 — Zicht. Elke legitieme afzender is geïdentificeerd en aligneert — het nieuwsbriefplatform, het facturatiesysteem, de CRM, het ding dat marketing afgelopen voorjaar aanmeldde. Je kent je mail. Er breekt niets legitiems als je gaat handhaven. Dit is de fase die de oude kaarten overslaan, en de muur die de meeste domeinen nooit beklimmen. De stap: verhoog het beleid — p=none → p=quarantine (de t=y-testmodus van DMARCbis helpt hierbij) → p=reject.
Fase 5 — Gehandhaafd. p=quarantine of p=reject is live, met subdomeinen gedekt door een expliciet sp=-beleid. Mail die authenticatie faalt, wordt nu daadwerkelijk in quarantaine geplaatst of geweigerd bij deelnemende ontvangers — waaronder elke grote mailboxaanbieder — zodat directe spoofing van precies jouw domein niet langer aankomt waar DMARC wordt gecontroleerd. De stap: voeg de hardingslaag toe — de np= en tree-walk-dekking van DMARCbis, MTA-STS en TLS-RPT voor transport, BIMI als merkweergave voor jou van belang is.
Fase 6 — Gehard & volgehouden. Handhaving plus de moderne stack: dekking van niet-bestaande subdomeinen (np=) uit DMARCbis, MTA-STS en TLS-RPT die mail onderweg beveiligen, BIMI waar het zijn waarde verdient — en, cruciaal, doorlopende monitoring op afwijkingen en nieuwe afzenders. Dit is geen badge; het is een discipline. Er verschijnen nieuwe afzenders, aanbieders wijzigen IP-adressen, configuraties verrotten. De stap: blijf hier.
De geen-mail-baan. Gemeten over de volledige domeininventaris — dode domeinen inbegrepen — draait 51,5% van de domeinen helemaal geen maildienst, en voor hen krimpt de reis tot één stap. Een domein dat nooit verstuurt, zou onmiddellijk SPF
-allen DMARCp=rejectmoeten publiceren: er is geen legitieme mail te beschermen, dus is er niets te observeren en geen muur te beklimmen. Geparkeerde en slapende merkdomeinen gaan met één DNS-wijziging rechtstreeks naar Gehandhaafd — en daarmee sluit je een van de meest voorkomende impersonatievectoren die er zijn.
De muur: fase 3 → 4
Elke andere overgang in dit model is een DNS-wijziging. Deze is onderzoekswerk — en het is hier waar de maanden sneuvelen.
Van Observeren naar Zicht komen betekent elke verzendende bron in je rapporten toewijzen aan een echt systeem: welke ESP, welke CRM, welke mailrelay van welk regiokantoor, welke SaaS-tool iemand in 2023 koppelde en vergat. Het betekent de schaduw-IT-afzenders vinden die niemand documenteerde. Het betekent alignment repareren ESP voor ESP, want elk platform heeft zijn eigen manier om namens jou te authenticeren — sommige standaard verkeerd.
De muur overslaan is hoe DMARC zijn enge reputatie kreeg. Handhaven vanaf Observeren — zonder Zicht — en je zult iets echts blokkeren: een factuurrun, een wachtwoordherstelstroom, de nieuwsbrief van de CEO. Dan volgt de paniekerige terugdraai naar p=none, de interne post-mortem, en de les die iedereen verkeerd leert: “we probeerden DMARC en het brak onze e-mail.” De meeste DMARC-horrorverhalen zijn precies dit — handhaving die een fase te vroeg werd geprobeerd. De muur is geen reden om bij fase 3 te stoppen. Het is de reden dat fase 4 bestaat.
Dit is ook de fase waarin eigenaren het vaakst hulp inschakelen — een IT-leverancier of een DMARC-monitoringdienst kan het afzenderidentificatiewerk doen; de fasen blijven hoe dan ook hetzelfde.
Het onderdeel dat iedereen vergeet: fase 5 → 6
p=reject bereiken stopt directe spoofing van jouw domein in de From:-regel, bij de ontvangers die dat controleren. Dat is noodzakelijk — en het is niet voldoende. Het is ook de moeite waard om te benoemen wat handhaving nooit dekte: gelijkende domeinen (jouwb3drijf.com) en impersonatie van de weergavenaam vallen volledig buiten het bereik van DMARC, dus handhaving sluit de deur van het exacte domein en laat de aangrenzende deuren over aan waakzaamheid en andere maatregelen.
Handhaving doet niets voor transport: zonder MTA-STS en TLS-RPT kan mail naar jouw domein onderweg nog steeds gedowngraded of onderschept worden. Het doet niets voor merkherkenning: BIMI — je logo, getoond bij de inbox — is een vertrouwenssignaal, geen beveiligingsmaatregel, en het is eerlijk om het als zodanig te behandelen (het vereist ook een betaald certificaat, en daarom staat het als laatste, niet als eerste). En kaal p=reject dateert van vóór DMARCbis: de np=-tag en tree-walk van de nieuwe RFC’s dichten het gat van niet-bestaande subdomeinen dat oudere uitrollen open laten.
Een domein op p=reject zonder het bovenstaande is beschermd tegen de meest voorkomende aanval en onvoorbereid op de rest. Dat is een reëel onderscheid, en het verdient een eigen fase.
Je fase is meetbaar
Dit model is niet zomaar een diagram — de fase van een domein is berekenbaar, en dat is wat het onderscheidt van een poster aan de muur.
Fasen 3 tot en met 6 kunnen worden afgeleid uit de eigen DMARC-rapportagegegevens van een domein plus zijn gepubliceerde records: welk beleid live is, of rapporten stromen, en of elke waargenomen afzender aligneert. Fasen 1 en 2 worden beoordeeld met een live DNS-check, omdat er nog geen rapporten bestaan. Eén eerlijke beperking in beide richtingen: fase 4 wordt bevestigd door bewijs over de tijd — “elke waargenomen afzender aligneert over voldoende rapportagedagen” is een sterke benadering, maar geen enkel rapport kan de afzender onthullen die je nog niet gekoppeld hebt. En de hardingslaag van fase 6 — MTA-STS, TLS-RPT, BIMI — is onzichtbaar in DMARC-rapporten; er is een DNS-check nodig om die te zien. Een domein kan er in zijn rapporten “af” uitzien en toch een verborgen gat tussen fase 5 en 6 dragen. Dit is het model waartegen onze eigen rapportage-analyse meet, inclusief alle blokkades.
Een uitgewerkt voorbeeld
Een middelgroot bedrijf draait Microsoft 365 achter een mailfilter-gateway. SPF eindigt op -all, DKIM is geconfigureerd, DMARC is gepubliceerd op p=none, en rapporten stromen naar een monitoringtool. Op de oude kaarten lijkt dit bijna af. Op deze kaart is het fase 3 — Observeren: de moeilijke setup is compleet, en het domein is precies bij de muur vastgelopen — zichtbaar, niet beschermd. De meest waardevolle stap is 3 → 4 → 5: bevestig dat de (waarschijnlijk weinige) legitieme afzenders allemaal aligneren, en verhoog dan het beleid in fasen. Voor een domein in deze vorm is dat meestal weken van aandacht, geen maanden — de muur is het hoogst voor wie hem nooit in kaart brengt.
Vind je fase
De vraag die met pensioen mag, is “hebben we DMARC?” — 24,89% van de domeinen kan ja zeggen, terwijl 57,5% daarvan spoofbaar blijft. De betere vraag is “in welke fase zitten we, en wat is de ene stap naar de volgende?” Elk domein op het internet zit vandaag in precies één van deze zes fasen. Weten in welke verandert een angst in een to-dolijst.
Veelgestelde vragen
Wat is DAMM? Het DMARC Adoption Maturity Model — het model in zes fasen op deze pagina: Onbeschermd, Geauthenticeerd, Observeren, Zicht, Gehandhaafd, Gehard. De fase van een domein is meetbaar aan zijn DNS en zijn DMARC-rapportagegegevens, en dat is wat het onderscheidt van een poster aan de muur.
Is p=none publiceren dan waardeloos? Nee — het is fase 3, en fase 3 is dragend: rapportage is hoe je elke afzender vindt voordat je gaat handhaven. Het wordt pas een probleem wanneer het als eindbestemming wordt behandeld. Zie waarom p=none geen bescherming is.
Kan ik direct doorspringen naar p=reject? Als je domein geen mail verstuurt — ja, vandaag nog, en dat zou je moeten doen. Als het wel mail verstuurt — nee: handhaven zonder Zicht (fase 4) is hoe legitieme mail stukgaat en terugdraaiingen ontstaan. De fasen zijn het veilige pad, geen ceremonie.
Heb ik BIMI nodig om “af” te zijn? Nee. BIMI is de merkweergavelaag van fase 6 en het meest optionele element in het model — MTA-STS, TLS-RPT en de np=-dekking van DMARCbis zijn de onderdelen die een domein wezenlijk harden. Als de certificaatkosten voor jou niet gerechtvaardigd zijn, sla het over en houd de rest van fase 6 vast.
Waar passen SPF en DKIM in? Onder alles — ze zijn fasen 1 → 2, en SPF zonder DMARC beschermt minder dan de meeste eigenaren aannemen. Sinds 2024 hebben grote ontvangers ook ronduit authenticatie geëist van bulkafzenders.
Controleer waar je eigen domein staat
Deze fasen zijn populatiepatronen — jouw domein zit in precies één ervan, en de volgende stap is kenbaar. Je kunt privé en gratis controleren, en zien welke van de 34 checks je doorstaat en hoe je de checks die je niet doorstaat kunt repareren.
Controleer je domein → · Hoe we het internet een cijfer gaven → · De DMARC-pijler → · Alleen geaggregeerde data. Data opgeslagen en verwerkt in de EU.