Slechts 22,4 procent van ruim tienduizend onderzochte domeinen in Nederland, Duitsland, België en Frankrijk blokkeert e-mailspoofing actief. Dat blijkt uit het DMARC Benchmark Rapport van april 2026, uitgevoerd door DMARC Advisor in opdracht van Guardian360. MSP’s scoren iets boven gemiddeld, maar de helft van hun domeinen biedt onvoldoende bescherming. Met de NIS2-deadline van 30 juni 2026 in zicht neemt de druk om actie te ondernemen toe.
DMARC Advisor heeft in opdracht van Guardian360 onderzoek gedaan naar de e-mailauthenticatiestatus van 10.833 unieke domeinen in meer dan vijftien branches. De conclusie: 77,6 procent van de onderzochte domeinen is niet volledig beschermd tegen e-mailspoofing. Cybercriminelen kunnen voor het overgrote deel van deze organisaties e-mails versturen die afkomstig lijken van legitieme bedrijfsadressen.
Vier niveaus, één conclusie
DMARC kent drie actieve beleidsniveaus. Het strengste, p=reject, zorgt dat vervalste e-mails worden teruggestuurd voordat ze de ontvanger bereiken. Slechts 22,4 procent van de onderzochte domeinen heeft dit beleid ingesteld. Nog eens 22,1 procent gebruikt p=quarantine, waarbij verdachte berichten in de spammap belanden maar nog steeds zichtbaar zijn. Ruim een kwart (29,7 procent) staat op p=none: alleen monitoring, geen actieve bescherming. De resterende 25,8 procent heeft helemaal geen DMARC-record, het hoogste risiconiveau.
Die laatste categorie brengt ook bezorgingsproblemen mee. Grote e-mailproviders als Google, Microsoft en Yahoo vereisen sinds 2024 dat bulkverzenders minimaal een basis-DMARC-record hebben. Organisaties zonder record riskeren dat legitieme e-mails worden gefilterd of geweigerd, met directe gevolgen voor factuurmail, klantcommunicatie en marketingcampagnes.
MSP’s: grootste deelgroep, gemiddelde score, hoge verantwoordelijkheid
Met 3.212 domeinen vormen MSP’s de grootste deelgroep in het onderzoek. Hun p=reject-adoptie van 25 procent ligt iets boven het totaalgemiddelde. Toch is de hoog-risicoscore van 50,9 procent zorgwekkend: de helft van de MSP-domeinen gebruikt p=none of heeft helemaal geen DMARC geconfigureerd.
Dat is om twee redenen een groter probleem dan voor andere sectoren. MSP’s beheren de IT-infrastructuur van hun klanten, waardoor een gespoofed MSP-domein een directe aanvalsvector op die klantomgevingen vormt. Bovendien communiceren MSP’s met klanten over systeemwijzigingen, facturen en incidenten. Dat zijn precies de berichten die fraudeurs graag nabootsen voor business email compromise.
Financiën loopt voor, transport ver achter
Tussen branches zijn de verschillen groot. Financiën (35,7 procent p=reject) en informatiebeveiliging (34,6 procent) scoren het best. Transport scoort het slechtst: 64,4 procent van de transportdomeinen valt in de hoogrisicocategorie, gevolgd door detailhandel met 61,7 procent. Dat zijn sectoren die regelmatig met consumenten communiceren via e-mail en daardoor aantrekkelijke doelwitten zijn voor spoofingaanvallen.
De overheid laat een gepolariseerd beeld zien: een relatief hoog p=reject-percentage van 32,4 procent, maar tegelijkertijd heeft 41,6 procent helemaal geen DMARC-record. Een groot deel van de overheidsorganisaties heeft actie ondernomen, maar een even grote groep is nog niet begonnen.
Geografisch doet Nederland het beter dan de buurlanden: 25,9 procent p=reject en het laagste aandeel domeinen zonder DMARC-record (18,9 procent). Duitsland heeft het hoogste aandeel domeinen zonder enig DMARC-record (30,2 procent). Frankrijk laat ondanks een kleine steekproef van 75 domeinen het hoogste p=reject-percentage zien: 38,7 procent.
DMARC is geen eenmalig project
Een bevinding die in de praktijk vaak wordt onderschat: 30,5 procent van de domeinen met een DMARC-record heeft geen RUA-rapportage geconfigureerd. Dat betekent dat ze geen inzicht hebben in authenticatieproblemen bij legitieme e-mails. Zelfs onder domeinen met p=reject mist 23,1 procent deze monitoring.
Elke nieuwe tool die e-mail verstuurt namens het domein, of het nu een CRM-systeem, een factuurplatform of een helpdeskoplossing is, vereist aanpassing van SPF- en DKIM-configuraties. Zonder periodieke controle ontstaat configuratiedrift die zelfs een goed ingesteld DMARC-beleid ondermijnt.
Compliancedruk neemt toe
Voor MSP’s die klanten begeleiden bij NIS2-compliance geeft het rapport een duidelijk signaal: e-mailauthenticatie via DMARC is een aantoonbare technische maatregel. De meeste essentiële entiteiten onder NIS2 hebben een compliance-auditdeadline van 30 juni 2026. DMARC met p=reject en actieve monitoring is een concrete, controleerbare stap in dat traject. Hetzelfde geldt voor ISO 27001 en, specifiek voor de zorg, NEN 7510.
Het onderzoek is uitgevoerd door DMARC Advisor in opdracht van Guardian360. De scan vond plaats in april 2026 op basis van openbaar beschikbare DNS-records.
