MailShield
All posts
Guides

DMARC verplicht? Dit moet je weten als ondernemer

6 min
DMARC verplicht? Dit moet je weten als ondernemer

In 2024 hebben Google en Yahoo nieuwe eisen ingevoerd voor e-mailverzenders. De kern: wie e-mail verstuurt naar Gmail of Yahoo gebruikers, moet e-mailauthenticatie op orde hebben. DMARC speelt daarin een centrale rol.

Maar is DMARC nu echt verplicht? En wat betekent het voor jouw bedrijf als je het niet hebt? In dit artikel leggen we uit wat de eisen zijn, wie erdoor wordt geraakt, en wat je nu moet doen.

Is DMARC verplicht?

Het korte antwoord: ja, in de praktijk wel. Technisch gezien is DMARC geen wettelijke verplichting in Nederland. Maar:

  • Google vereist DMARC voor iedereen die meer dan 5.000 e-mails per dag verstuurt naar Gmail-adressen
  • Yahoo hanteert vergelijkbare eisen
  • Zonder DMARC belanden je e-mails steeds vaker in spam of worden ze geblokkeerd
  • De Nederlandse overheid vereist DMARC (op reject) voor alle overheidsdomeinen via de "Pas toe of leg uit" lijst
  • Steeds meer bedrijven en inkoopafdelingen eisen DMARC als onderdeel van hun leveranciersbeoordeling
Je kunt technisch gezien zonder DMARC opereren. Maar de consequenties voor je e-mailbezorging en reputatie worden elke maand groter.

Wat zijn de eisen van Google en Yahoo?

Voor alle e-mailverzenders:

  • SPF of DKIM authenticatie moet slagen
  • Een geldig PTR-record voor je verzendende IP
  • Spam-klachtpercentage onder de 0,3%

Voor bulkverzenders (meer dan 5.000 berichten per dag):

  • Een DMARC record is verplicht (minimaal p=none)
  • SPF en DKIM moeten beide ingesteld zijn
  • DMARC alignment moet slagen (From-domein komt overeen met geauthenticeerd domein)
  • One-click unsubscribe voor marketing e-mails

Wat als je niets doet?

De gevolgen van geen DMARC worden steeds concreter:

  • Lagere deliverability: je e-mails belanden vaker in spam bij Gmail en Yahoo
  • Rate limiting: Google beperkt het aantal e-mails dat je kunt bezorgen als je niet voldoet
  • Reputatieschade: je domein kan worden misbruikt voor phishing zonder dat je het doorhebt
  • Gemiste kansen: steeds meer B2B-partijen controleren de e-mailbeveiliging van leveranciers

Wat moet je nu doen?

Het goede nieuws: DMARC instellen is niet moeilijk. Hier is je actieplan:

  • Controleer of je al een DMARC record hebt (zoek naar een TXT-record op _dmarc.jouwdomein.nl)
  • Zo niet, publiceer een DMARC record met p=none en een rua-adres voor rapporten
  • Zorg dat SPF en DKIM correct zijn ingesteld voor al je e-maildiensten
  • Monitor je DMARC rapporten om te zien of alle legitieme e-mail correct authenticeert
  • Verscherp je beleid geleidelijk naar quarantine en uiteindelijk reject

Specifiek voor Nederlandse bedrijven

In Nederland zijn er extra redenen om DMARC serieus te nemen:

  • De overheid vereist DMARC op reject voor alle overheidsdomeinen en raadt het aan voor de private sector
  • Het NCSC (Nationaal Cyber Security Centrum) adviseert DMARC als standaard beveiligingsmaatregel
  • De AVG (GDPR) vereist passende technische maatregelen om persoonsgegevens te beschermen. E-mailauthenticatie is daar onderdeel van
  • Brancheorganisaties en keurmerken (zoals ISO 27001) nemen e-mailbeveiliging steeds vaker mee in hun eisen

Hoe MailShield helpt

MailShield controleert je DMARC status automatisch en laat je precies zien waar je staat. We verwerken je rapporten, tonen wie er e-mail verstuurt namens jouw domein, en begeleiden je stap voor stap naar volledige handhaving.

Voeg je domein toe en zie binnen een minuut of je voldoet aan de eisen van Google en Yahoo. Gratis voor maximaal 2 domeinen.

Check your domain now

See your email security score in under a minute. Free for up to 2 domains.

Get Started FreeMore articles