DMARC op p=reject: de laatste stap die de meeste MKB's overslaan

SPF en DKIM staan goed, DMARC staat op p=none, en daar blijft het hangen. Hoe je veilig doorzet naar quarantine en reject — zonder dat je facturen in spam belanden.

Veel MKB's hebben de eerste stappen van mailbeveiliging netjes gezet: SPF staat ingericht, DKIM ondertekent uitgaande mail, en DMARC staat aan. Maar dan, vrijwel altijd, op p=none. Dat betekent: er wordt gemeten, maar er gebeurt niets. Iemand kan nog steeds in jouw naam een mail sturen en die komt gewoon aan.

De laatste stap — DMARC op p=quarantine en uiteindelijk p=reject — wordt vaak uitgesteld uit angst dat "echte" mail straks niet meer aankomt. Begrijpelijk, maar onnodig. In deze post lopen we door hoe je die stap veilig zet.

Even kort: wat doet DMARC ook alweer?

DMARC vertelt ontvangende mailservers wat ze moeten doen met mail die beweert van jouw domein te komen, maar niet door SPF of DKIM gedekt wordt. Drie opties:

• p=none: niets doen, alleen rapporteren. Goed om mee te beginnen, slecht om in te blijven hangen.
• p=quarantine: verdachte mail belandt in spam.
• p=reject: verdachte mail wordt geweigerd, komt nergens aan.

Zolang je op none staat, kunnen oplichters jouw domein nog steeds misbruiken voor phishing richting je klanten. En die klanten zien wél jouw naam in de afzender.

Waarom blijft iedereen op p=none hangen?

Drie redenen die we in de praktijk tegenkomen:

1. Onbekende verzenders. Je marketingtool, je boekhoudpakket, je HR-systeem en je CRM versturen allemaal mail namens jouw domein. Sommige daarvan zijn niet opgenomen in SPF of ondertekenen niet met DKIM.
2. Geen idee wat de DMARC-rapporten zeggen. De XML-rapporten die binnenkomen op je rua-adres zijn niet bepaald leesbaar.
3. Angst voor uitval. Niemand wil de eerste zijn die uitlegt waarom de offerte niet aankwam.

Stap 1: laat p=none een tijdje draaien en lees de rapporten

Voordat je iets verandert, wil je weten welke systemen er namens jouw domein mailen. Zet een DMARC-record met p=none en een rua-adres waar de rapporten binnenkomen. Laat dit minimaal 2 à 4 weken draaien.

De rapporten komen binnen als XML, één per ontvangende mailprovider per dag. Voor handmatig lezen is dat niet te doen. Er zijn gratis en betaalde DMARC-dashboards die de XML voor je inzichtelijk maken. Belangrijk: je zoekt naar verzenders die wel bij jou horen maar SPF/DKIM nog niet goed staan. Die moet je eerst fixen.

Stap 2: fix de legitieme afwijkers

Veel voorkomende boosdoeners:

• Mailchimp, Brevo, ActiveCampaign en andere marketingtools: vereisen meestal eigen DKIM-records.
• Boekhoudsoftware die facturen verstuurt vanuit jouw domeinnaam.
• Microsoft 365 Direct Send vanaf printers, scanners en line-of-business apps.
• Externe partijen (PR-bureau, recruiter) die mailen "namens" jou — die moet je trouwens sowieso heroverwegen.

Voor elke legitieme verzender: voeg ze toe aan je SPF-record of richt DKIM in. Daarna controleer je opnieuw de rapporten. Als die schoon zijn — alleen nog onbekende, duidelijk kwaadaardige verzenders — kun je door.

Stap 3: stapsgewijs naar reject

Ga niet in één klap van none naar reject. Doe dit in fasen:

1. p=quarantine met pct=25: 25% van de verdachte mail gaat in spam. Een week monitoren.
2. p=quarantine met pct=100: alle verdachte mail in spam. Twee weken monitoren.
3. p=reject met pct=100: einddoel.

Bij elke stap kijk je naar de rapporten én je houdt voeling met je organisatie. Komen er klachten dat mail niet aankomt? Meestal ligt dat aan een vergeten verzender die je dan alsnog kunt fixen.

Vergeet je subdomeinen niet

Een veelgemaakte fout: jouwbedrijf.nl staat op p=reject, maar mail.jouwbedrijf.nl of nieuwsbrief.jouwbedrijf.nl heeft geen eigen record. Met de sp=-tag stuur je het beleid voor subdomeinen aan. Standaard erven die het beleid van het hoofddomein, maar wees daar expliciet over.

En heb je domeinen die nooit mailen — bijvoorbeeld een oude domeinnaam die je vasthoudt? Zet daar direct p=reject op met een lege SPF (v=spf1 -all). Die worden namelijk het vaakst misbruikt.

Wat je eraan hebt

Met DMARC op reject:

• Kan niemand meer phishing sturen vanuit jouw exacte domeinnaam.
• Stijgt de afleverbaarheid van je legitieme mail (Gmail en Yahoo eisen sinds 2024 DMARC voor bulk-verzenders).
• Voldoe je aan een eis die steeds vaker in leverancierscontracten en NIS2-context terugkomt.

Wat het niet tegenhoudt: lookalike-domeinen (jouwbedrjif.nl met een typo). Daarvoor heb je andere maatregelen nodig. Maar het exacte domein dichttimmeren is een eerlijke 80/20.

Aan de slag

Wil je weten hoe je domein er nu voor staat en welke stappen voor jou de juiste zijn? Wij doen een complete check van SPF, DKIM en DMARC en begeleiden de stapsgewijze overgang naar p=reject zonder dat je facturen onderweg sneuvelen.