Definitie
DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een schaalbaar e-mailauthenticatiemechanisme waarmee een domeineigenaar een machine-leesbaar beleid in DNS kan publiceren, waarin wordt verklaard wat ontvangende mailservers moeten doen wanneer een binnenkomend bericht faalt op SPF- of DKIM-uitlijningscontroles, en waarmee die servers gestructureerde rapporten naar de domeineigenaar kunnen sturen. De drie beleidswaarden van DMARC — none, quarantine en reject — geven domeineigenaars gradueel controle over hoe niet-geauthenticeerde e-mail die zogenaamd van hun domein komt, wordt behandeld door de wereldwijde ontvangende infrastructuur.
DMARC werd in samenwerking ontwikkeld door een groep industriedeelnemers waaronder PayPal, Google, Microsoft, Yahoo, ReturnPath en andere e-mail-ecosysteembelanghebbenden, en voor het eerst gepubliceerd als IETF RFC 7489 in maart 2015. De specificatie wordt onderhouden door de DMARC.org werkgroep. Het breidt twee eerdere authenticatiestandaarden uit en coördineert ze: SPF (RFC 7208) en DKIM (RFC 6376), die het als invoersignalen gebruikt maar niet vervangt.
Hoe het werkt
Een DMARC-beleid wordt gepubliceerd als een DNS TXT-record op _dmarc.<domain>. Een representatief record ziet er zo uit: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. De belangrijkste tags zijn:
v=DMARC1— versie-identificatiep=— beleid:none(alleen monitoren),quarantine(afleveren in spam/junk), ofreject(bericht volledig weigeren)rua=— bestemmings-URI voor aggregaat-rapporten; ontvangt dagelijkse XML-samenvattingen van authenticatieresultaten van deelnemende mailbox-providersruf=— bestemmings-URI voor forensische rapporten; ontvangt geanonimiseerde rapporten op berichtniveau voor individuele foutenpct=— percentage berichten waarop het beleid wordt toegepast (maakt gefaseerde uitrol mogelijk)adkim=enaspf=— uitlijningsmodus:s(strikt, vereist exacte domein-overeenkomst) ofr(ontspannen, staat subdomein-overeenkomst toe)
De cruciale innovatie die DMARC introduceert is identifier-uitlijning. Een SPF-pass of DKIM-pass wordt alleen als DMARC-conform beschouwd als het geauthenticeerde domein uitlijnt met het RFC5322.From-headerdomein — het “From:” adres dat e-mailgebruikers zien. Dit dicht het gat dat ontstaat doordat SPF en DKIM onafhankelijk opereren: een bericht kan SPF passeren op een ander domein (de envelope sender) en DKIM passeren voor een ondertekenend domein van een derde partij, en toch frauduleus zijn als de From-header een ander domein toont. DMARC vereist dat ten minste één van SPF of DKIM een uitgelijnde pass produceert.
Aggregaat-rapporten (RUA) worden geleverd als gecomprimeerde XML-bestanden, doorgaans binnen 24 uur na het einde van de rapportageperiode, door mailbox-providers waaronder Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast en anderen. Deze rapporten bevatten per-bron-IP tellingen van berichten, SPF-resultaten, DKIM-resultaten en DMARC-dispositie. Tools zoals DMARCIAN, Valimail, Postmark DMARC Digests en Google Postmaster Tools bieden dashboards die deze rapporten parseren en visualiseren.
Waar je het tegenkomt
DMARC kom je tegen waar zware-volume of hoog-inzet e-mailverzending plaatsvindt. Sinds februari 2024 vereisen Google en Yahoo beide dat verzenders van meer dan 5.000 berichten per dag naar Gmail- of Yahoo Mail-adressen een DMARC-record hebben gepubliceerd met ten minste p=none — een significante industriebeleidswijziging die DMARC effectief verplicht maakte voor bulkverzenders. Microsoft kondigde vergelijkbare vereisten aan voor Outlook.com consumentenmailboxen in 2025.
Voor wedstrijdplatformen die e-mailbevestigingsstemmen op schaal versturen, vervult DMARC twee rollen. Ten eerste beschermt het de reputatie van het verzendende domein door ontvangende servers te instrueren vervalste berichten te weigeren — wat voorkomt dat een derde partij het From-adres van het wedstrijdplatform vervalst in phishingcampagnes, wat de leverbaarheid van het domein zou schaden. Ten tweede bieden DMARC-aggregaat-rapporten een operationeel monitoringkanaal: de domeineigenaar kan, over alle deelnemende mailbox-providers heen, zien welk percentage uitgaande berichten SPF en DKIM passeert, en infrastructuurconfiguratiefouten markeren voordat ze leiden tot massale bevestigingsmail-fouten.
E-mailserviceproviders zoals SendGrid, Mailgun, Amazon SES, Postmark en SparkPost publiceren richtlijnen voor het configureren van DMARC naast hun eigen verzendinfrastructuur. DNS-diagnostische tools waaronder MXToolbox DMARC Lookup, DMARCIAN’s DMARC Inspector en EasyDMARC’s record-checker stellen domeineigenaars in staat gepubliceerde beleidsregels te valideren.
Praktische voorbeelden
Een wedstrijdbedrijf begint bevestigingsmails te versturen vanaf een nieuw subdomein confirm.votes.example.com. Het bovenliggende domein votes.example.com heeft p=reject in zijn DMARC-record. Omdat de SPF- en DKIM-records voor het nieuwe subdomein nog niet zijn geconfigureerd, falen bevestigingsmails op DMARC-uitlijning en worden ze afgewezen door Gmail. De beheerder diagnosticeert het probleem via aggregaat-rapportgegevens die 100% DMARC-falen op het subdomein tonen, voegt de juiste SPF include en DKIM-selector DNS-records toe, en stelt het DMARC-subdomeinbeleid (sp=none) tijdelijk terug tijdens de uitrol.
Een merk organiseert een fotoinzendingswedstrijd met prijzen ter waarde van $50.000. Een fraudeur probeert phishing-mails te versturen met het wedstrijddomein van het merk als From-adres, en leidt kiezers naar een nep-bevestigingspagina om e-mailgegevens te oogsten. Omdat het DMARC-beleid van het domein p=reject is, gooien Gmail, Outlook en Yahoo Mail alle frauduleuze berichten weg vóór levering — wat zowel wedstrijddeelnemers als de verzenderreputatie van het merk beschermt.
Verwante begrippen
DMARC is afhankelijk van zowel SPF Record als DKIM als zijn authenticatie-invoer — een DMARC-pass vereist dat ten minste één van deze uitlijnt met het From-headerdomein. Voor wedstrijd-operaties is het gecombineerde effect van SPF, DKIM en DMARC op inboxplaatsing de primaire technische factor die bepaalt of E-mailbevestiging Stem bevestigingsberichten de inboxen van kiezers bereiken. De BIMI-standaard, die merklogo-weergave in inboxclients toestaat als vertrouwensindicator, vereist een p=quarantine of p=reject DMARC-beleid als voorwaarde.
