DMARCbis: het herschrijven van een handleiding die niemand las

Je kent het wel. Je hebt een slot op je deur — werkt prima. Al jaren. Nooit een probleem gehad.

En dan verschijnt er een nieuwe versie van de handleiding.

Niet een nieuw slot. Niet een extra grendel. Gewoon dezelfde handleiding, maar met duidelijkere plaatjes en minder dubbelzinnige zinnen. Zodat de slotenmaker in Duitsland het precies hetzelfde interpreteert als die in Portugal.

Dat is DMARCbis.

Eerst even: wat is dat slot eigenlijk?

E-mailbeveiliging draait al jaren op drie pijlers:

Als je DMARC goed hebt ingericht (idealiter op p=reject), dan is het probleem van domeinspoofing in de basis opgelost: iemand kan niet zomaar jouw domein gebruiken om e-mails te versturen.

Het slot zit op de deur. Al jaren.

“Maar er is een nieuwe standaard!”

Er waait een nieuwe term door de wereld van e-mailsecurity: DMARCbis.

En zoals dat gaat in deze wereld, wordt het al snel groter gemaakt dan het is.

“Nieuwe standaard tegen spoofing.” “Volgende stap in e-mailbeveiliging.” “Betere bescherming van het From-veld.”

Klinkt indrukwekkend.

Maar als je door de marketinglaag heen kijkt, is de realiteit veel minder spannend.

Wat DMARCbis werkelijk is

DMARCbis is de opvolger van de originele DMARC-specificatie.

Maar “opvolger” is hier misleidend.

Het is geen heruitvinding. Geen nieuwe beveiligingslaag. En het verandert ook niet hoe spoofing fundamenteel wordt tegengehouden.

Wat het wél doet:

Oftewel: DMARCbis maakt DMARC consistenter, niet krachtiger.

Het is alsof je van een Ikea-handleiding versie 1.0 naar 1.1 gaat. De kast is hetzelfde. De schroeven zijn hetzelfde. Alleen stap 7 is eindelijk voor iedereen hetzelfde te lezen.

Wat er níet verandert

Dit is belangrijker dan wat er wél verandert:

De kern blijft identiek: SPF + DKIM + alignment bepalen of een mail geldig is.

Waarom het toch “nieuw en spannend” klinkt

E-mail is een oud protocol. En alles wat eraan wordt aangepast voelt al snel als nieuw, veiliger, moderner of strenger.

Maar in werkelijkheid is DMARCbis gewoon dit: het herschrijven van de gebruiksaanwijzing van een slot dat al jaren op de deur zit.

De echte beveiliging zit al lang elders

Wat vaak vergeten wordt: de grote e-mailproviders doen het echte werk al jaren zelf.

Google, Microsoft en Apple:

DMARCbis verandert daar niets fundamenteels aan.

De werkelijke verdedigingslinie zit in hun infrastructuur, niet in de RFC-tekst.

Het echte probleem zit niet in het protocol

De e-mailwereld heeft een hardnekkig patroon: elke nieuwe RFC wordt gepresenteerd als “de oplossing voor spoofing.”

Maar spoofing is al jaren niet meer primair een protocolprobleem bij grote providers. Het probleem zit elders:

Dat los je niet op met een nieuwe versie van een standaard.

Het echte probleem: bijna niemand draait het slot dicht

De ironie is dat terwijl de wereld discussieert over DMARCbis, de overgrote meerderheid het bestaande DMARC niet eens correct gebruikt.

De cijfers (begin 2026, op basis van miljoenen domeinen):

(Bronnen: dmarcdkim.com, dmarceye.com Q1 2026, Red Sift december 2025)

En dan gaat het alleen over het bestaan van records. De werkelijkheid is nog somberder: domeinen met DKIM-sleutels die niet resolven, 1024-bit keys die al jaren geleden hadden moeten worden geroteerd, SPF-records die nooit zijn bijgewerkt na een providerwisseling.

Het “forever none” probleem is reëel: organisaties zetten DMARC op none voor monitoring, zien de complexiteit van hun mailstromen, en durven nooit op te schalen naar reject. Het slot zit op de deur, maar het staat op een kiertje.

Conclusie

DMARCbis is geen revolutie. Het is onderhoud.

En dat is precies hoe volwassen internetstandaarden eruitzien als ze stabiel zijn: geen grote sprongen meer. Geen nieuwe magie. Alleen verfijning van wat al werkt.

Maar dat betekent niet dat DMARC er niet toe doet. Integendeel: het is het fundament waar Microsoft, Google en Apple hun filtering op bouwen. Als uw SPF, DKIM en DMARC niet correct zijn geconfigureerd, hebben die providers niets om op te vertrouwen. Dan faalt de hele keten — en belandt uw e-mail in spam, of erger: kan iemand anders mailen namens uw domein.

Het goede nieuws voor ondernemers: juist bij een kleiner bedrijf is het relatief eenvoudig om alles correct in te richten. U heeft geen complexe mailstromen, geen tientallen third-party senders, geen legacy systemen. Eén keer goed configureren en u zit bij de top 11% die het daadwerkelijk op orde heeft.

Of in gewone taal:

De deur was al op slot. DMARCbis maakt alleen de handleiding duidelijker. Maar het slot moet wél goed zitten — en bij de meeste ondernemers doet het dat nog niet.


Benieuwd hoe uw website presteert? Doe de gratis website-check.

Matthijs ten Seldam helpt ondernemers aan snelle, veilige en duurzame websites via tS-X.