DMARC in gewone taal

DMARC is dé Deurwachter (MARC) bij de ingang van jouw e-mailfeestje. Iedere binnenkomende e-mail die beweert van jou te komen, wordt door (D)MARC gecontroleerd:

• Komt deze e-mail écht van een server die jij – namens jouw domein – hebt toegestaan? (SPF)

• Klopt zijn of haar uitnodiging, is deze origineel en niet vervalst? (DKIM)

• Als we twijfelen over de afkomst of de originaliteit van de uitnodiging: moet hij toch naar binnen (inbox), onder streng toezicht (spamfolder), of meteen geweigerd worden? (jouw DMARC policy)

Met DMARC bepaal jij die regels. Je laat de deur niet onbewaakt.

Alignment: de namen moeten kloppen

Stel je e-mail voor als de hierboven genoemde gast die aankomt bij jouw georganiseerde event. Je verstuurt een e-mail met een uitnodiging naar jouw gasten (namens: uitnodiging@mijnevent.nl) en je huurt een speciaal taxibedrijf in (het platform waarvandaan je jouw e-mail uitstuurt).  

• SPF is de check van de taxi waarmee je bent gekomen: klopt het dat jouw gast gebracht wordt met het taxibedrijf die je daarvoor speciaal hebt ingehuurd (taxi.mijnevent.nl)?
  Oftewel: is het platform waarvandaan je e-mail uitstuurt correct opgenomen in het SPF record?

• DKIM is je uitnodiging: neemt jouw gast jouw originele uitnodiging mee, of is deze vervalst?
  Oftewel: is jouw ondertekening met DKIM (namens @mijnevent.nl) in orde?

Voor marketeers is het van belang om SPF (de taxi) en DKIM (de uitnoding) goed in te regelen en (D)MARC goed te informeren: wat moet (D)MARC doen wanneer de controle laat zien dat er wat mis is? Jouw beleid bepaald dan wat te doen:  stuur je ze naar spamfolder, of weiger je de toegang volledig?

DMARCbis: Wat is er veranderd?

Met de komst van DMARCbis wordt de logica verder versimpelt, het is dus geen nieuwe versie: het is geen DMARC 2.0. De aangekondigde versimpeling, DMARCbis, laat overbodige en veelal verkeerd ingezette instellingen weg en voegt bruikbare logica toe.

Nieuwe toevoegingen
DMARCbis introduceert extra duidelijkheid en verfijning in de zogenaamde tags (de instellingen in je DMARC-record):

• np (non-existent subdomain policy) – Met deze instelling kun je aangeven wat er moet gebeuren met mail die zogenaamd afkomstig is van een niet-bestaand subdomein. Criminelen proberen vaak een verzonnen subdomein te gebruiken om filters te omzeilen (bijvoorbeeld fakesales.jouwdomein.nl).
  Door np op quarantine of reject te zetten, hou je zulke nep-mails direct tegen.
• psd (public suffix domain)  – De psd-tag is niet iets waar je als marketeer of domeineigenaar zelf iets mee hoeft te doen. Deze tag is namelijk bedoeld voor de organisaties waar je een domein kunt registreren. Voor jou als domeineigenaar geldt simpelweg: je kunt deze tag negeren en je hoeft hem niet in je DMARC-record op te nemen. De standaardwaarde (u) wordt automatisch gevolgd, en dat is precies wat je nodig hebt.
• t (testing mode) – deze tag vervangt de oude pct-tag en heeft een eenvoudige ja/nee waarde:
  • y – het ingestelde beleid in p, sp en/of np wordt níet toegepast (vergelijkbaar met pct=0)
  • n – de standaardwaarde: het gepubliceerde beleid wordt volledig toegepast (vergelijkbaar met pct=100).

• Verbeterde rapportages– Ook de rapportages worden gebruiksvriendelijker: overzichtelijker en soms wat uitgebreider. Zo krijg je als domeineigenaar nog scherper zicht op wat er precies met je domein gebeurt.

Verwijderde of afgeschafte tags

Sommige oude tags hebben de praktijktoets niet doorstaan. Ze zorgden voor verwarring of hadden nauwelijks nut. In DMARCbis zijn ze verwijderd of verouderd verklaard:

• pct (percentage) – Met deze tag kon je beleid toepassen op een deel van je e-mails, maar in de praktijk gebruikte bijna iedereen het alleen als aan/uit-knop (0 of 100%). Om deze reden verdwijnt de tag en wordt hij vervangen door de duidelijkere t-instelling (testmodus aan/uit).

• rf (rapportageformaat)  – Deze tag gaf aan in welk formaat forensische rapporten moesten komen. In de praktijk werd dit vrijwel overal genegeerd en heeft het dus geen waarde..

• ri (rapportage-interval) – Met deze tag kon je aangeven hoe vaak je een samenvattend (aggregate) rapport wilde ontvangen. Ook dit wordt niet meer ondersteund en verdwijnt dus uit DMARCbis.

Door deze minder zinvolle tags te schrappen, wordt DMARC overzichtelijker en betrouwbaarder. Voor marketeers betekent dit: minder rompslomp, meer duidelijkheid en betere bescherming van je merk.

Kortom: minder ruis, minder fouten en een grotere kans dat jouw zorgvuldig gemaakte campagnes veilig in de inbox terechtkomen.

Waarom marketeers dit zouden moeten weten

E-mail is niet zomaar een kanaal – het is het kloppend hart van klantvertrouwen. Als ontvangers twijfelen om jouw campagnes te openen omdat er ook nepversies rondgaan, daalt je ROI direct.

DMARC (en nu DMARCbis) geeft jou de zekerheid dat jouw berichten authentiek, vertrouwd en afgeleverd zijn.

Met andere woorden: DMARC is geen IT-vinkje, maar een merkbeschermer. Het zorgt ervoor dat jouw stem in de inbox terechtkomt, ongeschonden en betrouwbaar.

Controleer gelijk even jouw DMARC record

Wil je meteen weten hoe jouw domein ervoor staat? Met onze DMARC record validator kun je direct controleren of je DMARC-record goed is ingesteld.

De validator houdt al rekening met DMARCbis en laat je ook zien of je nog oude of verouderde tags gebruikt die straks verdwijnen. Zo weet je precies of jouw domein al klaar is voor de toekomst.

Conclusie

Als e-mail onderdeel is van jouw marketingstrategie – en dat is het eigenlijk altijd – moet DMARC op je radar staan. En met DMARCbis als nieuwe standaard is dit hét moment om samen met je technische team of provider te checken of je domein goed beschermd en uitgelijnd is.

Jouw campagnes verdienen het om binnen te komen als VIP-gasten, niet als ongewenste indringers die aan de deur geweigerd worden.