Spring naar hoofdinhoud
SenderProof

DMARC-beleid: none → quarantine → reject

Hoe je veilig opschuift van rapport-only naar volledige handhaving.

Het pad

DMARC kent drie beleidswaardes — je staat altijd in één van deze drie:

  • p=none — rapport-only. Receivers leveren onverminderd af, maar sturen wel aggregate-reports. Hier begin je altijd.
  • p=quarantine — mail die niet aligned (DKIM of SPF) belandt in spam.
  • p=reject — mail die niet aligned wordt geweigerd. Hard. Geen tweede kans.

Stap 1 — Start met p=none (week 0-2)

Wij stellen p=none standaard in bij elke nieuwe klant. Doel: data verzamelen. Welke vendors mailen uit jouw naam? Welk volume? Welke percentages SPF/DKIM-pass?

Kijk in DMARC-rapporten per source-IP. Onbekende attributie? Onderzoek of het een legit vendor is (CRM, scheduler, transactional) die je in SPF/DKIM moet inrichten.

Stap 2 — Verschuif naar p=quarantine (na ~14 dagen)

Zodra alle legit mail stabiel >95% pass-rate laat zien, is het tijd om te quarantinen. Verkeerd-aligned mail belandt vanaf nu in de spam van ontvangers.

Eerst pct=10 (10% van het volume), monitor een week, dan opschuiven naar 25, 50, 100. Stapsgewijs zodat een vergeten vendor niet ineens 100% in spam belandt.

Stap 3 — p=reject (week 6+)

Na minimaal 4 weken stabiele 95%+ pass-rate op alle legit mail-volume, ga je naar p=reject. Niet-aligned mail wordt nu geweigerd door ontvangende MTAs.

Dit is het doel — vanaf dit moment kan niemand meer namens jouw domein spoofen.

Wat we voor je automatisch monitoren

  • Pass-rate-drop alert als je rate >5pp daalt binnen 24u.
  • Nieuwe niet-geïdentificeerde source-IPs.
  • TLS-RPT failure-spikes (cert-issues, MTA-STS-mismatch).

Gouden regel

Beweeg niet sneller dan je data je toestaat te bewegen. Een p=reject op een domein met 7 vergeten vendors is een outage.