Defaults.Exposed › Oplossingen › Guides
"DMARC policy not enabled": wat checkers bedoelen, en de eerlijke eerste stap van 5 minuten (2026)
Gepubliceerd 2026-07-08
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.
“DMARC policy not enabled” betekent een van twee verschillende dingen: uw domein heeft helemaal geen DMARC-record, of het heeft er een dat op p=none staat. Slechts 10,59% van de domeinen — 27.640.987 van 261.086.232 — handhaaft een DMARC-beleid, volgens de Defaults.Exposed-census. Een monitoringrecord publiceren duurt vijf minuten; handhaving is een project.
Deze gids ontcijfert de waarschuwing, geeft u het exacte TXT-record om te publiceren en precies waar het moet staan, loopt de syntaxisfouten door waardoor eerste pogingen mislukken, en schetst een eerlijke verwachting van hoe uw eerste week aan DMARC-rapporten eruitziet. Het is bewust geen “repareer DMARC in 5 minuten”-gids — de vijf minuten leveren u zicht op, geen bescherming.
Wat betekent “DMARC policy not enabled” eigenlijk?
Checkers zoals MXToolbox vouwen twee verschillende bevindingen samen tot één oranje waarschuwing, en het reparatiepad hangt af van welke u hebt:
| Wat de checker toont | Wat het werkelijk betekent | Getroffen domeinen (van 261.086.232 beoordeeld) |
|---|---|---|
| “No DMARC record found” | Er is niets gepubliceerd op _dmarc.yourdomain. Ontvangende servers passen geen beleid toe en sturen u geen rapporten. U bent blind voor uw eigen e-mailproblemen. | 196.105.162 (75,11%) |
| “DMARC policy not enabled” / “policy is none” | Er bestaat een record, maar het zegt p=none: rapportage staat aan, bescherming staat uit. Ontvangende servers bezorgen gespoofte mail precies zoals voorheen. | 37.312.637 (14,29%) |
| “Policy: quarantine” of “reject” | Een gehandhaafd beleid. Ontvangende servers handelen op fails. | 27.640.987 (10,59%) |
Gegevens per 2026-06-29.
De eerste rij is waar het grootste deel van het internet leeft: 75,11% van de beoordeelde domeinen publiceert helemaal geen DMARC-record, en nog eens 14,29% staat op p=none. Het omgekeerde van de laatste rij is het getal dat telt: 89,41% van de domeinen heeft geen gehandhaafd DMARC-beleid — van 261.086.232 beoordeelde domeinen in de census. Toont uw checker de waarschuwing, dan hoort u bij de overweldigende meerderheid. Dat is geen geruststelling; het is de reden dat spoofing goedkoop blijft.
Eén verduidelijking die later verwarring voorkomt: DMARC is de beleidslaag bovenop SPF en DKIM, gecontroleerd tegen de From-header die uw ontvanger daadwerkelijk ziet. “Not enabled” betekent dat u ontvangende servers nog niets hebt opgedragen. Zijn de drie beleidswaarden nieuw voor u, dan is wat is DMARC: none, quarantine, reject de uitleg in gewone taal.
Wat kunt u eerlijk gezegd in vijf minuten repareren?
Een record publiceren. Dat is de hele eerlijke claim.
v=DMARC1; p=none; rua=mailto:[email protected]
Vijf minuten nadat dit TXT-record live gaat, beginnen ontvangende servers die DMARC controleren dagelijkse rapporten samen te stellen over wie er mail verzendt als uw domein — legitieme servers en bedriegers evengoed. Dat zicht is werkelijk waardevol en werkelijk direct.
Wat het niet doet: p=none beschermt niets. Gespoofte mail wordt precies zo bezorgd als gisteren, en een checker die morgen opnieuw scant, kan nog steeds “policy not enabled” zeggen — terecht, want het groene vinkje is gereserveerd voor quarantine of reject. Waarom, dat hebben we uitgeschreven in p=none is geen bescherming; het gefaseerde pad naar een beleid dat spoofing echt blokkeert is van p=none naar p=reject. De vijf-minutenstap hieronder is hoe u begint; die gids is hoe u afmaakt.
Hoe publiceert u uw eerste DMARC-record?
- Voer de gratis scan uit voordat u DNS aanraakt. Die vertelt u welke van de twee bevindingen u werkelijk hebt — geen record versus
p=none— en of SPF en DKIM eronder op orde zijn, wat bepaalt hoe snel u later naar handhaving kunt. - Kies een adres om rapporten te ontvangen. Een speciale mailbox zoals
dmarc-reports@uwdomeinis prima om te beginnen. Gebruikt u in plaats daarvan een rapportanalysedienst, zie dan de FAQ hieronder — adressen van derden hebben een stille valkuil. - Voeg een TXT-record toe op de host
_dmarc. In de meeste DNS-panelen (zie de IONOS DMARC-installatiegids voor een uitgewerkt voorbeeld) voert u_dmarcin het host-/naamveld in — het paneel plakt uw domein er automatisch achter, wat_dmarc.yourdomain.comoplevert. Waarde:v=DMARC1; p=none; rua=mailto:[email protected] - Controleer dat het resolvet.
dig TXT _dmarc.yourdomain.com(of een willekeurige online checker) moet precies één record teruggeven dat begint metv=DMARC1. De meeste DNS-wijzigingen zijn binnen minuten zichtbaar; een lage TTL helpt. - Scan opnieuw. Uw rapport toont dan DMARC aanwezig in monitoringmodus — een eerlijke weergave van waar u staat: rapportage aan, handhaving nog te doen.
Eén record dekt ook uw subdomeinen: ontvangende servers die geen record vinden op mail.yourdomain.com, vallen terug op het beleid van het organisatiedomein, dus u hebt geen record per subdomein nodig om te beginnen met monitoren.
Wat zijn de meest voorkomende fouten bij het toevoegen van het record?
Vrijwel elke mislukte eerste poging is een van deze — en ze doen ertoe, want een niet-parsebaar record wordt behandeld als geen record. De census telt 48.648 gepubliceerde DMARC-records die niet parsen; de spelfouten die mensen daadwerkelijk publiceren, staan gecatalogiseerd in de DMARC-typfoutencensus.
- Verkeerde host. Het record moet op
_dmarc.yourdomain.comstaan, niet op de apex. Op het kale domein doet het niets, en checkers blijven “no DMARC record found” melden. - Het domein dubbel toevoegen.
_dmarc.yourdomain.comintypen in een paneel dat automatisch toevoegt, geeft u_dmarc.yourdomain.com.yourdomain.com. Voer alleen_dmarcin. - Komma’s in plaats van puntkomma’s. Tags worden gescheiden door
;. Een niet-parsebaar record wordt behandeld als geen record. - Ontbrekende of verkeerd geplaatste
v=DMARC1. Het moet de eerste tag zijn, exact zo gespeld; records die metp=beginnen, falen bij het parsen. mailto:ontbreekt in rua.rua=dmarc@yourdomainis ongeldig; het moetrua=mailto:[email protected]zijn.- Twee DMARC-records. Ontvangende servers die meer dan één
v=DMARC1-record vinden, negeren ze allemaal — dezelfde foutfamilie als SPF met meerdere records. - Slimme aanhalingstekens uit kopiëren-plakken. Gekrulde aanhalingstekens of harde spaties die uit een document meekomen, breken het parsen. Typ het record opnieuw als een checker zegt dat het misvormd is terwijl het er goed uitziet.
Hoe zien de rua-rapporten eruit in week één?
Stel uw verwachtingen nu bij, zodat u niet concludeert dat het kapot is:
- Ze komen ruwweg dagelijks binnen, per ontvangende partij. Google stuurt doorgaans elke 24 uur één geaggregeerd rapport; Microsoft, Yahoo en anderen volgen hun eigen cyclus. Voor een klein domein betekent week één meestal een handjevol e-mails, vooral van
[email protected]. - Het zijn gecomprimeerde XML-bijlagen, geen dashboard. Ruw zijn ze nauwelijks leesbaar; een gratis parser maakt er een afzendertabel van.
- Het volume volgt uw mailvolume. Verzendt u weinig mail, of vooral naar providers die niet rapporteren, verwacht dan schaarse gegevens. Twee stille weken is normaal voor een domein met laag volume — controleer het record met
digin plaats van aan te nemen dat het mislukt is. - Verwacht verrassingen. De meeste domeinen ontdekken afzenders die ze waren vergeten — het CRM, de factuurtool, het contactformulier. Elk daarvan heeft aligned SPF of DKIM nodig voordat u kunt handhaven. Tonen rapporten DMARC-fails terwijl SPF en DKIM afzonderlijk slagen, dan is dat een alignmentprobleem — zie DMARC faalt maar SPF en DKIM slagen.
En vraag de rapporten überhaupt op: 64,3% van de domeinen met een DMARC-record publiceert geen rua=-adres en krijgt er dus geen rapporten uit — de census-analyse daarvan staat in DMARC blind publiceren. Alles wat u hier leert, voedt de handhavingsuitrol — monitoren is week één van dat project, geen bestemming. Onbeperkt op p=none blijven parkeren is de meest voorkomende manier waarop domeinen in de 89,41% belanden.
Veelgestelde vragen
Schaadt het publiceren van p=none mijn e-mailbezorgbaarheid?
Nee. p=none verandert niets aan hoe ontvangende servers uw mail behandelen — het vraagt alleen om rapporten. Het kan zelfs helpen: de bulkverzendervereisten van Google en Yahoo eisen van verzenders met hoog volume minimaal een DMARC-record op p=none, dus er een publiceren is een compliance-ondergrens, geen risico.
Ik heb het record gepubliceerd — waarom zegt de checker nog steeds “policy not enabled”?
Omdat hij u de waarheid vertelt: uw beleid is none, en checkers reserveren de pass voor quarantine of reject. U hoort nu bij de domeinen die monitoren maar niet handhaven — per 2026-06-29 handhaaft slechts 10,59% van de 261.086.232 beoordeelde domeinen. De waarschuwing verdwijnt wanneer u de uitrol naar handhaving afmaakt.
Moeten SPF en DKIM al zijn ingesteld voordat ik DMARC toevoeg?
U hebt er minstens één van nodig, aligned, om uw mail voor DMARC te laten slagen — maar ze hoeven niet perfect te zijn voordat u p=none publiceert. Monitoren is precies hoe u vindt wat er kapot is: 70.368.600 van de 261.086.232 beoordeelde domeinen (per 2026-06-29) hebben zachte SPF en geen DMARC-handhaving, en rapporten zijn hoe zij zouden leren wat hen tegenhoudt.
Kan ik rapporten naar een externe analysedienst sturen in plaats van naar mijn eigen mailbox?
Ja — maar een rua-adres op een ander domein vereist dat de leverancier een autorisatierecord publiceert (yourdomain._report._dmarc.vendor.com), anders houden ontvangende servers de rapporten stilzwijgend achter. Gerenommeerde diensten doen dit automatisch; komen er nooit rapporten aan, controleer dit dan eerst.
Stuur de eigenaar het rapport
Repareert u dit voor een klant of een werkgever, laat het werk dan niet onzichtbaar zijn. Voer de gratis scan opnieuw uit nadat het record resolvet en stuur het beoordeelde rapport door: het toont DMARC dat van afwezig naar gemonitord gaat, van een datum voorzien en in gewone taal — en het toont wat de volgende stap is op het pad naar handhaving. Eigenaren hebben precies dit bewijs steeds vaker nodig voor cyberverzekeringsverlengingen en beveiligingsvragenlijsten van leveranciers, en een beoordeeld rapport van één pagina beantwoordt die vragen beter dan een schermafbeelding van een DNS-paneel ooit zal doen.
Controleer uw domein gratis
Zie welke van de twee bevindingen u hebt — geen record of p=none — en wat eronder zit, privé en alleen voor de eigenaar.
Controleer uw domein → · Repareer DMARC → · Van p=none naar p=reject → · Hoe wij beoordelen → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.