DMARCbis: het herschrijven van een handleiding die niemand las
Je kent het wel. Je hebt een slot op je deur — werkt prima. Al jaren. Nooit een probleem gehad.
En dan verschijnt er een nieuwe versie van de handleiding.
Niet een nieuw slot. Niet een extra grendel. Gewoon dezelfde handleiding, maar met duidelijkere plaatjes en minder dubbelzinnige zinnen. Zodat de slotenmaker in Duitsland het precies hetzelfde interpreteert als die in Portugal.
Dat is DMARCbis.
Eerst even: wat is dat slot eigenlijk?
E-mailbeveiliging draait al jaren op drie pijlers:
- SPF → wie mag er mailen namens je domein
- DKIM → is de inhoud onderweg aangepast
- DMARC → wat moet er gebeuren als het niet klopt
Als je DMARC goed hebt ingericht (idealiter op p=reject), dan is het probleem van domeinspoofing in de basis opgelost: iemand kan niet zomaar jouw domein gebruiken om e-mails te versturen.
Het slot zit op de deur. Al jaren.
“Maar er is een nieuwe standaard!”
Er waait een nieuwe term door de wereld van e-mailsecurity: DMARCbis.
En zoals dat gaat in deze wereld, wordt het al snel groter gemaakt dan het is.
“Nieuwe standaard tegen spoofing.” “Volgende stap in e-mailbeveiliging.” “Betere bescherming van het From-veld.”
Klinkt indrukwekkend.
Maar als je door de marketinglaag heen kijkt, is de realiteit veel minder spannend.
Wat DMARCbis werkelijk is
DMARCbis is de opvolger van de originele DMARC-specificatie.
Maar “opvolger” is hier misleidend.
Het is geen heruitvinding. Geen nieuwe beveiligingslaag. En het verandert ook niet hoe spoofing fundamenteel wordt tegengehouden.
Wat het wél doet:
- Verduidelijkt onduidelijke delen van de originele specificatie
- Maakt interpretatie consistenter tussen mailservers
- Moderniseert beschrijvingen van alignment en policy-evaluatie
- Vermindert ambiguïteit in edge cases
Oftewel: DMARCbis maakt DMARC consistenter, niet krachtiger.
Het is alsof je van een Ikea-handleiding versie 1.0 naar 1.1 gaat. De kast is hetzelfde. De schroeven zijn hetzelfde. Alleen stap 7 is eindelijk voor iedereen hetzelfde te lezen.
Wat er níet verandert
Dit is belangrijker dan wat er wél verandert:
- ❌ geen nieuwe anti-spoofing mechanismen
- ❌ geen wijzigingen in SPF of DKIM
- ❌ geen nieuwe DNS-tags die “extra bescherming” toevoegen
- ❌ het From:-veld probleem blijft exact hetzelfde
De kern blijft identiek: SPF + DKIM + alignment bepalen of een mail geldig is.
Waarom het toch “nieuw en spannend” klinkt
E-mail is een oud protocol. En alles wat eraan wordt aangepast voelt al snel als nieuw, veiliger, moderner of strenger.
Maar in werkelijkheid is DMARCbis gewoon dit: het herschrijven van de gebruiksaanwijzing van een slot dat al jaren op de deur zit.
De echte beveiliging zit al lang elders
Wat vaak vergeten wordt: de grote e-mailproviders doen het echte werk al jaren zelf.
Google, Microsoft en Apple:
- Handhaven DMARC al streng in hun infrastructuur
- Filteren spoofing actief op serverniveau
- Blokkeren verdachte domeinen vaak al vóór de inbox
DMARCbis verandert daar niets fundamenteels aan.
De werkelijke verdedigingslinie zit in hun infrastructuur, niet in de RFC-tekst.
Het echte probleem zit niet in het protocol
De e-mailwereld heeft een hardnekkig patroon: elke nieuwe RFC wordt gepresenteerd als “de oplossing voor spoofing.”
Maar spoofing is al jaren niet meer primair een protocolprobleem bij grote providers. Het probleem zit elders:
- Menselijke interpretatie
- Social engineering (“klik hier”, “factuur”, “wachtwoord reset”)
- Lookalike domeinen
Dat los je niet op met een nieuwe versie van een standaard.
Het echte probleem: bijna niemand draait het slot dicht
De ironie is dat terwijl de wereld discussieert over DMARCbis, de overgrote meerderheid het bestaande DMARC niet eens correct gebruikt.
De cijfers (begin 2026, op basis van miljoenen domeinen):
- ~60% van alle domeinen doet effectief niets tegen spoofing
- 32% heeft DMARC op
p=nonestaan — monitoring zonder actie - 22% staat op
p=quarantine— verdachte mail naar spam - Slechts 18% enforced met
p=reject— ongeautoriseerde mail wordt geweigerd
(Bronnen: dmarcdkim.com, dmarceye.com Q1 2026, Red Sift december 2025)
En dan gaat het alleen over het bestaan van records. De werkelijkheid is nog somberder: domeinen met DKIM-sleutels die niet resolven, 1024-bit keys die al jaren geleden hadden moeten worden geroteerd, SPF-records die nooit zijn bijgewerkt na een providerwisseling.
Het “forever none” probleem is reëel: organisaties zetten DMARC op none voor monitoring, zien de complexiteit van hun mailstromen, en durven nooit op te schalen naar reject. Het slot zit op de deur, maar het staat op een kiertje.
Conclusie
DMARCbis is geen revolutie. Het is onderhoud.
En dat is precies hoe volwassen internetstandaarden eruitzien als ze stabiel zijn: geen grote sprongen meer. Geen nieuwe magie. Alleen verfijning van wat al werkt.
Maar dat betekent niet dat DMARC er niet toe doet. Integendeel: het is het fundament waar Microsoft, Google en Apple hun filtering op bouwen. Als uw SPF, DKIM en DMARC niet correct zijn geconfigureerd, hebben die providers niets om op te vertrouwen. Dan faalt de hele keten — en belandt uw e-mail in spam, of erger: kan iemand anders mailen namens uw domein.
Het goede nieuws voor ondernemers: juist bij een kleiner bedrijf is het relatief eenvoudig om alles correct in te richten. U heeft geen complexe mailstromen, geen tientallen third-party senders, geen legacy systemen. Eén keer goed configureren en u zit bij de top 11% die het daadwerkelijk op orde heeft.
Of in gewone taal:
De deur was al op slot. DMARCbis maakt alleen de handleiding duidelijker. Maar het slot moet wél goed zitten — en bij de meeste ondernemers doet het dat nog niet.
Benieuwd hoe uw website presteert? Doe de gratis website-check.