DMARC (Domain-based Message Authentication, Reporting and Conformance) is een technisch protocol dat bedrijven helpt hun e-maildomein te beschermen tegen spoofing en phishing. Sinds februari 2024 stellen grote mailproviders als Google en Yahoo strikte vereisten: als je bulk-mail stuurt, moet je DMARC, SPF en DKIM correct configureren. Toch zie je in Nederland veel bedrijven nog steeds zonder DMARC-beleid, of met een zwak beleid dat geen echte bescherming biedt.
Dit artikel geeft inzicht in de huidige status van DMARC-adoptie onder Nederlandse bedrijven op basis van gegevens uit e-mailonderzoeken. We onderzoeken welke DMARC-policies het meest voorkomen, waarom veel bedrijven achterlopen en hoe je je domein correct kunt beveiligen.
Huidige status DMARC-adoptie in Nederland
De adoptie van DMARC onder Nederlandse bedrijven is langzaam vergeleken met Duitsland, Scandinavië en andere Europese landen. Veel bedrijven hebben nog steeds geen DMARC-record gepubliceerd, en van degenen die dat wel hebben, kiezen veel voor het zwakste beleid: p=none. Dit beleid verzamelt rapportagegegevens maar biedt geen daadwerkelijke bescherming tegen misbruik van je domein.
Waarom deze achterblijvenis? Nederlandse bedrijven onderschatten vaak de risico's van domeinvervalsing of denken dat het configureren van DMARC te technisch is. Sommige grotere organisaties, vooral in financiële diensten en e-commerce, hebben DMARC al geïmplementeerd, maar het medium-bedrijf loopt nog achter.
Verdeling van DMARC-policies onder Nederlandse domeinen
Wanneer bedrijven DMARC implementeren, kiezen ze uit drie basisopties:
- p=none — Geen afgedwongen actie. E-mails die verificatie falen, worden niet geweigerd of in quarantaine geplaatst. Het enige voordeel: je krijgt rapportagegegevens (DMARC-rapporten) die tonen waar je domein misbruikt wordt.
- p=quarantine — Verdachte e-mails gaan naar spam of quarantaine. Dit is een voorzichtigere aanpak, nuttig als je bang bent voor fout-positieven.
- p=reject — De strengste optie: e-mails die verificatie falen, worden volledig afgewezen en bereiken de ontvanger niet.
Onderzoeken tonen dat het merendeel van de Nederlandse bedrijven die DMARC hebben geïmplementeerd, blijft steken bij p=none. Dit suggereert twee mogelijkheden: ofwel zijn bedrijven voorzichtig en willen ze eerst monitoren voordat ze een sterker beleid instellen, ofwel hebben ze DMARC opgezet maar verder niet goed beheerd.
Het aandeel p=reject onder Nederlandse domeinen is nog steeds relatief laag. Dit is opvallend omdat Google en Yahoo deze sterkte verwachten voor goede inboxplaatsing. Nederlandse organisaties die e-mailadvertenties versturen zonder p=reject, risiceren waarschijnlijkheidsverlaging in deliverability.
Je hoeft niet onmiddellijk naar p=reject te gaan. Veel experts raden aan stap voor stap te werken: start met p=none, analyseer je DMARC-rapporten gedurende 1–2 weken, zorg dat alle legitieme e-mailbronnen goed geconfigureerd zijn met SPF en DKIM, en pas dan over op p=quarantine en uiteindelijk p=reject. Dit minimaliseert het risico op het ongewild blokkeren van je eigen e-mails.
Waarom DMARC-adoptie in Nederland achterblijft
Er zijn meerdere redenen waarom Nederlandse bedrijven moeite hebben met DMARC-implementatie:
- Technische complexiteit — DMARC vereist begrip van DNS, SPF en DKIM. Voor bedrijven zonder dedicated IT-afdeling is dit lastig. Veel webhosting- en e-mailproviders in Nederland geven onvoldoende begeleiding.
- Foutbeheer — Als DMARC niet juist is ingesteld, kan het legitieme e-mails blokkeren (bijvoorbeeld e-mails van CRM-platforms, ESP's of geautomatiseerde berichten). Dit schrikt ondernemers af.
- Lage awareness — Veel Nederlandse bedrijfsleiders kennen de Google- en Yahoo-vereisten van februari 2024 niet. Ze zien DMARC als optioneel in plaats van verplicht.
- Uitbesteding aan ESP's — Bedrijven die via Copernica, Spotler, Laposta of Mailchimp mailen, verlaten zich op deze platforms voor DMARC-setup. Als een platform dit slecht begeleidt, loopt de klant achter.
- Legacy-mailsystemen — Veel bedrijven draaien nog WooCommerce, Lightspeed-winkels of andere e-commerce-platforms met ingebouwde mailservers die moeilijk SPF en DKIM toevoegen. Dit maakt DMARC-implementatie lastiger.
Wat betekenen de Google- en Yahoo-vereisten voor jou?
Sinds februari 2024 stellen Google en Yahoo expliciet eisen voor afzenders van bulk-e-mail (vijf of meer berichten per dag aan Gmail- en Yahoo-adressen):
- SPF en DKIM moeten geconfigureerd zijn.
- DMARC-beleid moet actief zijn (zelfs
p=nonetelt formeel). - One-click unsubscribe moet beschikbaar zijn (RFC 8058).
- Spamratio moet onder de 0,3% blijven.
Hoewel deze eisen wereldwijd gelden, merken Nederlandse bedrijven het vooral als ze veel naar Gmail-gebruikers (en Outlook-gebruikers, die vergelijkbare normen volgen) mailen. Wie niet voldoet, riskeert een lage reputation-score en landingspagina in de spam-folder.
Het goede nieuws: Nederlandse webhosters en ESP's hebben deze vereisten inmiddels geïmplementeerd. Je kunt dus zonder al te veel moeite DMARC toevoegen aan je domein.
Hoe controleer je je eigen DMARC-status
Wil je weten of je domein al een DMARC-record heeft en hoe sterk het is? Je kunt dit zelf checken:
- Open
nslookupof een online DNS-checker. - Zoek op:
_dmarc.jouwdomein.nl TXT - Controleer of er een resultaat is en wat de policy zegt.
Voor een gratis, diepgaand inboxplaatsingstest kun je check.live-direct-marketing.online gebruiken. Dit hulpmiddel test niet alleen je DMARC-configuratie, maar ook SPF en DKIM, en laat zien hoe jouw e-mail daadwerkelijk in 20+ mailboxen wordt geplaatst — inbox, spam of promotions.
Stappen naar een sterker DMARC-beleid
Als je bedrijf DMARC wil versterken, volgen hier de aanbevolen stappen:
- Inventariseer alle e-mailbronnen — Welke systemen (CRM, ESP, factuurprogramma, monitoring-tools) verzenden e-mail vanuit jouw domein of gebruiken jouw domein in headers?
- Zorg dat alle bronnen SPF en DKIM hebben — Vraag je ESP of hosting-provider om de juiste SPF- en DKIM-records in te stellen.
- Start met p=none — Publiceer een DMARC-record met
p=noneen verzamel twee weken rapportagegegevens. - Analyseer je DMARC-rapporten — Controleer welke bronnen falen. Sommige tools kunnen dit automatiseren.
- Stap over naar p=quarantine — Zodra alle legitieme bronnen groen zijn, begin je met quarantaine.
- Bereik uiteindelijk p=reject — Dit is de best practice en wordt verwacht door moderne mailproviders.