Defaults.Exposed › Oplossingen › Guides
DMARC van p=none naar p=reject zonder legitieme e-mail te verliezen: de gefaseerde uitrol (2026)
Gepubliceerd 2026-07-08
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.
Breng DMARC in vier fases van p=none naar p=reject: monitor rua-rapporten gedurende 2–4 weken, repareer elke legitieme afzender, voer p=quarantine op met pct, en ga dan naar reject — spring nooit rechtstreeks naar reject. 70.368.600 van de 261.086.232 beoordeelde domeinen zitten vast op zachte SPF zonder DMARC-handhaving, volgens de Defaults.Exposed-census.
Dit is het operationele draaiboek: een fasetabel met exitcriteria, het record per fase, de pct-subtiliteit uit RFC 7489 die verandert wat “50%” bij reject betekent, en de sp=-tag voor subdomeinen. Beslist u nog of u gaat handhaven, lees dan eerst de 6 fases van DMARC-volwassenheid — dat is het raamwerk; en zijn de beleidsniveaus zelf nieuw voor u, dan is wat p=none, p=quarantine en p=reject werkelijk betekenen de inleiding. Deze pagina is het doen.
Waarom kunt u niet rechtstreeks naar p=reject springen?
Omdat p=reject elke ontvangende server die het beleid respecteert opdraagt mail te bouncen die voor DMARC faalt — en tot u uw rapporten hebt bekeken, weet u niet wat er faalt. Vrijwel elk domein dat monitoring aanzet, ontdekt legitieme afzenders die het was vergeten: het CRM, de factuurtool, een contactformulier. Spring op dag één naar reject en die mail belandt niet in spam; hij verdwijnt al op SMTP-niveau. Een verloren factuurrun leert een organisatie DMARC te vrezen, en het record wordt permanent teruggedraaid naar p=none — van de 261.086.232 beoordeelde domeinen staan er 37.312.637 precies daar geparkeerd, en slechts 10,59% (27.640.987) bereikt ooit een gehandhaafd beleid.
De andere reden is alignment. DMARC slaagt alleen als SPF of DKIM slaagt én alignt met het zichtbare From-domein — SPF tegen het Return-Path-domein (RFC5321.MailFrom), DKIM tegen de d= van de handtekening. Externe afzenders slagen voor SPF meestal op hun domein, niet het uwe; daarom draait de repareer-elke-bron-fase vooral om het aanzetten van DKIM met eigen domein per leverancier — uitgewerkt in DMARC faalt maar SPF en DKIM slagen.
Wat zijn de vier uitrolfases?
| Fase | Beleidsrecord | pct | Wat er met falende mail gebeurt | Exitcriteria |
|---|---|---|---|---|
| 1. Monitoren | p=none; rua=mailto:… | — | Normaal bezorgd; u ontvangt geaggregeerde rapporten | 2–4 weken rapporten; elke afzender erin geïdentificeerd als legitiem of niet |
| 2. Bronnen repareren | p=none (ongewijzigd) | — | Nog steeds normaal bezorgd | Elke legitieme bron slaagt aligned voor DMARC (DKIM met eigen domein per afzender); resterende fails zijn uitsluitend onbekend/gespooft verkeer |
| 3. Quarantine opvoeren | p=quarantine | 10 → 25 → 50 → 100 | Het gesamplede deel gaat naar spammappen; het niet-gesamplede deel wordt behandeld als p=none (bezorgd) | 1–2 weken op pct=100 zonder dat er legitieme mail in quarantaine belandt |
| 4. Reject | p=reject | 100 | Gebounced op SMTP-niveau; afzender krijgt een bounce, ontvanger ziet niets | Doorlopend — houd rua voor altijd aan om nieuwe afzenders te vangen |
Gegevens per 2026-06-29; beleidsgedrag per RFC 7489.
Fase 3 is waar domeinen vastlopen of in paniek raken. In de spammap belanden is herstelbaar — gebruikers vinden de mail, u draait pct terug, u repareert de bron. Rejecten is niet herstelbaar; daarom is quarantine op pct=100 dat schoon draait het toegangsbewijs voor fase 4.
Hoe voert u de uitrol uit, stap voor stap?
- Voer de gratis scan uit op defaults.exposed voordat u DNS aanraakt. Die bevestigt uw huidige beleid en of SPF en DKIM eronder op orde zijn — de twee benen waar handhaving op staat.
- Zet monitoring aan als dat nog niet is gebeurd.
p=nonepubliceren metrua=is de vijf-minutenstap in “DMARC policy not enabled”. Verzamel 2–4 weken aan rapporten — genoeg om maandelijkse afzenders zoals factuurruns te vangen. - Inventariseer elke bron in de rapporten. Sorteer afzenders in die van u, die van uw leveranciers en onbekend. Ruwe rapporten komen binnen als XML — een rapportverwerkingstool (of het dashboard van uw provider) maakt er een leesbare afzenderinventaris van.
- Laat elke legitieme bron aligned slagen. Zet bij elke leverancier DKIM met eigen domein aan (meestal twee CNAME-records in hun dashboard), zodat handtekeningen uw domein dragen, niet het hunne. Geef voor alignment de voorkeur aan DKIM: het overleeft doorsturen, SPF niet.
- Wacht op twee schone weken. Verlaat fase 2 pas wanneer de gerapporteerde fails uitsluitend verkeer zijn dat u niet herkent — de spoofing die u juist wilt blokkeren.
- Ga naar
p=quarantine; pct=10— bewerk het bestaande_dmarc-TXT-record (uitgewerkt voorbeeld: DMARC instellen op IONOS), en let op de syntaxis: een typfout in de beleids-tag kan het hele record ongeldig maken. Voer pct over 2–4 weken op naar 25, 50, 100, terwijl u rapporten en helpdesktickets in de gaten houdt. Belandt er iets legitiems in spam: draai pct terug, repareer de bron, ga verder. - Ga naar
p=rejectna 1–2 schone weken oppct=100. Houdrua=permanent aan — elke nieuwe tool die uw bedrijf in gebruik neemt, is een toekomstige falende afzender.
Wat doet pct precies? De subtiliteit van RFC 7489
pct vraagt ontvangende servers uw beleid toe te passen op dat percentage van de falende mail. De subtiliteit, uit RFC 7489 §6.6.4: mail die buiten de steekproef valt, valt niet terug op “normaal bezorgen” — hij krijgt het eerstvolgende mildere beleid. Onder p=quarantine; pct=25 wordt de overige 75% behandeld als p=none en bezorgd. Maar onder p=reject; pct=50 wordt de andere 50% in quarantaine geplaatst, niet bezorgd. Er bestaat geen zachte reject: zodra uw record reject zegt, belandt elk falend bericht bij respecterende ontvangende servers minimaal in de spammap.
Bewust ingezet is dat een feature — p=reject; pct=1 gedraagt zich als “bijna alles in quarantaine, een druppel rejecten”, een legitieme laatste oprit. Twee waarschuwingen: ontvangende servers implementeren sampling niet allemaal identiek, dus behandel pct als een grove draaiknop; en verwijder de tag (of zet pct=100) zodra fase 4 stabiel is, zodat uw record zegt wat u bedoelt.
En subdomeinen — de sp=-tag?
Standaard erven subdomeinen het beleid van het organisatiedomein: p=reject op yourdomain.com dekt ook mail.yourdomain.com. Met de sp=-tag kunnen ze afwijken, in zowel nuttige als gevaarlijke richtingen. Nuttig: p=quarantine; sp=reject vergrendelt subdomeinen waar u nooit vanaf verzendt terwijl de apex nog midden in de opvoering zit — spoofers richten zich bewust op subdomeinen van gemonitorde domeinen. Gevaarlijk: een vergeten sp=none stelt geruisloos elk subdomein vrij van het reject-beleid waar u zes weken voor hebt gewerkt. Controleer erop in fase 4; heeft één subdomein werkelijk een losser beleid nodig, publiceer dan een _dmarc-record op dat subdomein in plaats van ze allemaal te versoepelen.
Betekent NIS2 dat EU-bedrijven dit moeten doen?
DMARC werkt overal identiek — niets in dit draaiboek verandert bij een EU-grens. Wat verandert, is de compliance-druk. NIS2 artikel 21(2)(j) verplicht entiteiten binnen de reikwijdte hun communicatie te beveiligen, en Uitvoeringsverordening (EU) 2024/2690 van de Commissie werkt de technische vereisten uit voor de digitale-infrastructuurentiteiten die zij dekt — de bijlage (punt 6.7.2(k)) vereist een implementatieplan voor de uitrol van internationaal overeengekomen moderne e-mailbeveiligingsstandaarden, en punt 6.7.2(l) vereist best practices voor DNS-beveiliging. Een gehandhaafd DMARC-beleid, met SPF en DKIM eronder, is de erkende auditeerbare beheersmaatregel tegen spoofing; p=none is aantoonbaar monitoren, niet beveiligen. Vallen uw klanten binnen de reikwijdte, dan vragen hun leveranciersvragenlijsten steeds vaker om precies dit.
Veelgestelde vragen
Hoe lang duurt de hele uitrol? Zes tot tien weken is gebruikelijk: 2–4 weken monitoren, 1–3 weken bronnen repareren, 2–4 weken quarantine opvoeren, dan reject. Het is kalendertijd, geen inspanning — vooral wachten tot rapporten elke wijziging bevestigen. De 89,41% van de 261.086.232 beoordeelde domeinen zonder gehandhaafd beleid (gegevens per 2026-06-29) zit meestal niet midden in een uitrol; ze hebben de klok nooit gestart.
Kan ik quarantine overslaan en in plaats daarvan p=reject met een lage pct gebruiken?
Dat kan — per RFC 7489 §6.6.4 betekent p=reject; pct=10 10% gereject en 90% in quarantaine, grofweg laat in fase 3. Maar eerst p=quarantine is makkelijker te doorgronden, en ontvangende servers verschillen in hoe getrouw ze samplen. Hoe dan ook zijn fases 1–2 niet onderhandelbaar: geen enkele handhavingsvariant is veilig zolang legitieme afzenders nog falen.
En mail die ik niet kan repareren — doorstuurders en mailinglijsten? Doorsturen breekt SPF by design, en sommige mailinglijsten herschrijven inhoud, waardoor ook DKIM breekt. Aligned DKIM overleeft gewoon doorsturen, wat het meeste afdekt; het kleine restant is waarom de quarantine-fase bestaat — mail in de spammap is herstelbaar terwijl u de zaak beoordeelt. Details in doorgestuurde e-mail faalt op SPF.
Is stoppen bij p=quarantine goed genoeg?
Het is het grootste deel van de waarde, en veel beter dan de 37.312.637 domeinen die op p=none geparkeerd staan (van 261.086.232 beoordeeld, gegevens per 2026-06-29) — maar gespoofte mail bereikt nog steeds spammappen, waar mensen hem uit vissen. Reject is het eindpunt: slechts 10,59% van de beoordeelde domeinen handhaaft überhaupt, en afmaken is wat checkers, verzekeraars en vragenlijsten belonen.
Stuur de eigenaar het rapport
Voert u deze uitrol uit voor een klant of werkgever, dan is de finish toonbaar. Voer de gratis scan opnieuw uit zodra p=reject resolvet en stuur het beoordeelde rapport door: het domein dat naar een gehandhaafd beleid gaat, van een datum voorzien en in gewone taal. Die ene pagina beantwoordt de e-mailbeveiligingsvraag op cyberverzekeringsverlengingen en NIS2-gedreven leveranciersvragenlijsten beter dan een schermafbeelding van een DNS-paneel — en het maakt zes weken zorgvuldig, onzichtbaar werk zichtbaar voor degene die ervoor betaalt.
Controleer uw DMARC-beleid gratis
Zie wat uw beleid nu is — en of SPF en DKIM handhaving kunnen dragen — privé en alleen voor de eigenaar.
Controleer uw domein → · Repareer DMARC → · “DMARC policy not enabled” — de eerlijke eerste stap → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.