DMARC Alleen Is Niet Genoeg: Nieuw White Paper Onthult Kritieke Beveiligingslacunes in E-mail
White paper van TrustNFT legt lookalike-domeinen, ontbrekende vertrouwenssignalen voor ontvangers en de noodzaak van blockchain-verificatie naast DMARC-handhaving bloot.
Een nieuw technisch white paper, gepubliceerd op 8 april 2026 door het blockchain-beveiligingsbedrijf TrustNFT.io, stelt dat DMARC (Domain-based Message Authentication, Reporting and Conformance) drie kritieke lacunes in de e-mailbeveiliging van organisaties laat bestaan die met geen enkele configuratie te dichten zijn. Het paper, getiteld "The Authentication Gap: Why DMARC Alone Is Not Enough," richt zich op IT-security, CISO's en risicomanagement, en pleit voor blockchain-verankerde domeinverificatie als de consumentgerichte vertrouwenslaag die de bestaande authenticatiestack niet kan bieden. Voor marketeers en groeiteams die e-mail als omzetkanaal inzetten, hebben de bevindingen directe gevolgen voor deliverability, merkvertrouwen en campagne-ROI.
De Drie Lacunes Die DMARC Niet Kan Dichten
De eerste lacune betreft lookalike-domeinen. DMARC beschermt uitsluitend het exact geregistreerde domein en biedt geen enkele bescherming tegen e-mails verzonden vanuit nep-adressen die criminelen registreren om bekende merken na te bootsen. Onafhankelijke beveiligingsonderzoekers bevestigen dit: zelfs met correcte authenticatie en handhaving is DMARC alleen effectief tegen spoofing van het eigen domein en kan het lookalike- of zogenaamde 'cousin'-domeinen niet tegenhouden.
In één monitoringperiode van 30 dagen meldden gebruikers van TrustNFT Guardian phishingaanvallen via vier afzonderlijke lookalike-domeinen die op één grote nutsbedrijf waren gericht. Al deze domeinen doorstonden de DMARC-authenticatie voor hun eigen frauduleuze domeinen. Dat detail is cruciaal: de DMARC-controle slaagde omdat het frauduleuze domein over eigen geldige records beschikte. Het protocol werkte precies zoals ontworpen, en toch slaagde de phishingaanval.
De tweede lacune is het ontbreken van een zichtbaar vertrouwenssignaal voor de ontvanger. DMARC werkt volledig op de achtergrond. Zelfs wanneer een organisatie DMARC volledig heeft afgedwongen, ziet de ontvanger geen badge, geen indicator en geen zichtbare bevestiging dat een e-mail echt is. Daardoor is er geen manier om een DMARC-conforme e-mail te onderscheiden van een geavanceerde nabootsing.
De derde lacune betreft de adoptiecijfers. Volgens Newswire claimt het white paper dat minder dan 50% van de Fortune 500-bedrijven een DMARC-record heeft gepubliceerd, en dat minder dan 30% de standaard heeft geconfigureerd op het meest beschermende handhavingsniveau.
DMARC Alleen Is Niet Genoeg: Nieuw White Paper Onthult Kritieke Beveiligingslacunes in E-mail
White paper van TrustNFT legt lookalike-domeinen, ontbrekende vertrouwenssignalen voor ontvangers en de noodzaak van blockchain-verificatie naast DMARC-handhaving bloot.
Een nieuw technisch white paper, gepubliceerd op 8 april 2026 door het blockchain-beveiligingsbedrijf TrustNFT.io, stelt dat DMARC (Domain-based Message Authentication, Reporting and Conformance) drie kritieke lacunes in de e-mailbeveiliging van organisaties laat bestaan die met geen enkele configuratie te dichten zijn. Het paper, getiteld "The Authentication Gap: Why DMARC Alone Is Not Enough," richt zich op IT-security, CISO's en risicomanagement, en pleit voor blockchain-verankerde domeinverificatie als de consumentgerichte vertrouwenslaag die de bestaande authenticatiestack niet kan bieden. Voor marketeers en groeiteams die e-mail als omzetkanaal inzetten, hebben de bevindingen directe gevolgen voor deliverability, merkvertrouwen en campagne-ROI.
De Drie Lacunes Die DMARC Niet Kan Dichten
De eerste lacune betreft lookalike-domeinen. DMARC beschermt uitsluitend het exact geregistreerde domein en biedt geen enkele bescherming tegen e-mails verzonden vanuit nep-adressen die criminelen registreren om bekende merken na te bootsen. Onafhankelijke beveiligingsonderzoekers bevestigen dit: zelfs met correcte authenticatie en handhaving is DMARC alleen effectief tegen spoofing van het eigen domein en kan het lookalike- of zogenaamde 'cousin'-domeinen niet tegenhouden.
In één monitoringperiode van 30 dagen meldden gebruikers van TrustNFT Guardian phishingaanvallen via vier afzonderlijke lookalike-domeinen die op één grote nutsbedrijf waren gericht. Al deze domeinen doorstonden de DMARC-authenticatie voor hun eigen frauduleuze domeinen. Dat detail is cruciaal: de DMARC-controle slaagde omdat het frauduleuze domein over eigen geldige records beschikte. Het protocol werkte precies zoals ontworpen, en toch slaagde de phishingaanval.
De tweede lacune is het ontbreken van een zichtbaar vertrouwenssignaal voor de ontvanger. DMARC werkt volledig op de achtergrond. Zelfs wanneer een organisatie DMARC volledig heeft afgedwongen, ziet de ontvanger geen badge, geen indicator en geen zichtbare bevestiging dat een e-mail echt is. Daardoor is er geen manier om een DMARC-conforme e-mail te onderscheiden van een geavanceerde nabootsing.
De derde lacune betreft de adoptiecijfers. Volgens Newswire claimt het white paper dat minder dan 50% van de Fortune 500-bedrijven een DMARC-record heeft gepubliceerd, en dat minder dan 30% de standaard heeft geconfigureerd op het meest beschermende handhavingsniveau.
Wat Bredere Data Laat Zien
Nog geen reacties. Wees de eerste!
Gerelateerd nieuws
Nog geen reacties. Wees de eerste!
Gerelateerd nieuws
Het adoptiebeeld is genuanceerder dan het white paper suggereert, en ander recent onderzoek verdient het om er naast te worden gelegd.
Volgens het EasyDMARC 2026 DMARC Adoption and Enforcement Report heeft 475 van de 500 Fortune 500-bedrijven DMARC geïmplementeerd, waarvan meer dan 80% op enforcement-niveau. Dat staat op gespannen voet met de cijfers van TrustNFT, maar het verschil is waarschijnlijk te verklaren door het tijdstip van dataverzameling en de definitie van 'geldig DMARC-record'.
Waar beide bronnen het over eens zijn, is de handhavingslacune buiten de Fortune 500. Slechts 15,2% van de Inc. 5000-bedrijven heeft het p=reject-handhavingsniveau bereikt, en meer dan de helft staat nog op een p=none-beleid dat alleen monitoring biedt maar organisaties blootstelt aan phishingaanvallen. Bredere domeindata is nog nuchterder: per december 2025 had slechts 14,9% van de domeinen in een steekproef van 73,3 miljoen een DMARC-beleid geïmplementeerd, en slechts 2,5% handhaafde de strengste p=reject-instelling. Bij 83,9% van alle domeinen was helemaal geen DMARC-record zichtbaar, aldus de Red Sift global DMARC adoption tracker.
Zoals EasyDMARC in zijn rapport van 2026 opmerkt, is DMARC-adoptie inmiddels wijdverbreid, maar adoptie op zich garandeert geen bescherming. Veel organisaties hebben DMARC-records geïmplementeerd om aan technische vereisten te voldoen, maar zijn nog niet gevorderd tot beleidsregels die gespoofde e-mail actief blokkeren. Dat geldt ook voor veel Nederlandse organisaties die na de AVG-deadlines technische maatregelen namen zonder de vervolgstappen te zetten.
Voor e-mailmarketeers zijn de praktische gevolgen reëel. Uit onderzoek van CSC Domain Security blijkt dat 80% van de domeinen die lijken op merken uit de Global 2000 in handen zijn van derden, en dat 42% daarvan is geconfigureerd om e-mail te verzenden. Wanneer criminelen overtuigende lookalike-e-mails sturen die hun eigen DMARC-controles doorstaan, haken de gedupeerde ontvangers vaak ook af bij het echte merk.
Het Blockchain-voorstel
Het white paper van TrustNFT bevat een implementatie-roadmap in vier lagen, met SPF, DKIM, DMARC en blockchain-verificatie, inclusief een technische vergelijking van wat elke laag beschermt en welke kwetsbaarheden zonder de volledige stack onbehandeld blijven.
Volgens het eigen onderzoek van TrustNFT vermindert het implementeren van de volledige authenticatiestack in combinatie met blockchain-verankerde domeinverificatie succesvolle nabootsingsaanvallen met maximaal 67% wanneer volledig uitgerold. TrustNFT Verify stelt organisaties in staat hun verzendende domeinen op de blockchain te registreren via een proces dat één DNS-record-toevoeging vereist, waarbij volledige verificatie doorgaans binnen 48 uur is afgerond.
Het is belangrijk te vermelden dat TrustNFT een leverancier is met een commercieel product. Het cijfer van 67% is afkomstig uit eigen onderzoek van het bedrijf, en het white paper fungeert zowel als technisch argument als als productpitch. Onafhankelijke verificatie van die claim is nog niet beschikbaar.
Wat E-mailmarketeers Hieruit Kunnen Meenemen
DMARC blijft een onmisbare basis. De gemiddelde kosten van een phishing-gerelateerde datalek bedroegen in 2025 circa 4,88 miljoen dollar, en organisaties die DMARC op beleidsniveau handhaafden, zagen succesvolle phishingaflevering dalen van 69% naar 14%, aldus het EasyDMARC 2025 DMARC Adoption Report. Dat alleen al rechtvaardigt de stap naar p=reject.
Maar het TrustNFT-paper wijst op iets wat marketeers vaak over het hoofd zien: authenticatie is onzichtbaar voor klanten. Wanneer uw merk wordt nagebootst via een lookalike-domein, kunnen uw abonnees het verschil niet zien, en de reputatieschade valt u toe ongeacht hoe schoon uw eigen DNS-records zijn.
De directe prioriteiten voor elk marketing- of groeiteam zijn duidelijk:
Zet uw DMARC-beleid om van p=none naar p=quarantine of p=reject
Stel RUA-aggregaatrapportage in zodat u kunt zien wie er namens u verzendt
Monitor op lookalike-domeinregistraties gericht op uw merk
Zorg ervoor dat elk extern verzendplatform (ESP, CRM, transactionele mail) correct is opgenomen in uw SPF-record en ondertekent met DKIM
Of blockchain-verificatie een gangbare laag in de e-mailvertrouwensstack wordt, moet nog blijken. Wat nu al duidelijk is: DMARC alleen was nooit ontworpen om merknabootsing op het niveau van het domeinecosysteem op te lossen, en wie het behandelt als een volledige oplossing, stelt zowel zijn klanten als zijn verzendreputatie bloot aan risico.
Het adoptiebeeld is genuanceerder dan het white paper suggereert, en ander recent onderzoek verdient het om er naast te worden gelegd.
Volgens het EasyDMARC 2026 DMARC Adoption and Enforcement Report heeft 475 van de 500 Fortune 500-bedrijven DMARC geïmplementeerd, waarvan meer dan 80% op enforcement-niveau. Dat staat op gespannen voet met de cijfers van TrustNFT, maar het verschil is waarschijnlijk te verklaren door het tijdstip van dataverzameling en de definitie van 'geldig DMARC-record'.
Waar beide bronnen het over eens zijn, is de handhavingslacune buiten de Fortune 500. Slechts 15,2% van de Inc. 5000-bedrijven heeft het p=reject-handhavingsniveau bereikt, en meer dan de helft staat nog op een p=none-beleid dat alleen monitoring biedt maar organisaties blootstelt aan phishingaanvallen. Bredere domeindata is nog nuchterder: per december 2025 had slechts 14,9% van de domeinen in een steekproef van 73,3 miljoen een DMARC-beleid geïmplementeerd, en slechts 2,5% handhaafde de strengste p=reject-instelling. Bij 83,9% van alle domeinen was helemaal geen DMARC-record zichtbaar, aldus de Red Sift global DMARC adoption tracker.
Zoals EasyDMARC in zijn rapport van 2026 opmerkt, is DMARC-adoptie inmiddels wijdverbreid, maar adoptie op zich garandeert geen bescherming. Veel organisaties hebben DMARC-records geïmplementeerd om aan technische vereisten te voldoen, maar zijn nog niet gevorderd tot beleidsregels die gespoofde e-mail actief blokkeren. Dat geldt ook voor veel Nederlandse organisaties die na de AVG-deadlines technische maatregelen namen zonder de vervolgstappen te zetten.
Voor e-mailmarketeers zijn de praktische gevolgen reëel. Uit onderzoek van CSC Domain Security blijkt dat 80% van de domeinen die lijken op merken uit de Global 2000 in handen zijn van derden, en dat 42% daarvan is geconfigureerd om e-mail te verzenden. Wanneer criminelen overtuigende lookalike-e-mails sturen die hun eigen DMARC-controles doorstaan, haken de gedupeerde ontvangers vaak ook af bij het echte merk.
Het Blockchain-voorstel
Het white paper van TrustNFT bevat een implementatie-roadmap in vier lagen, met SPF, DKIM, DMARC en blockchain-verificatie, inclusief een technische vergelijking van wat elke laag beschermt en welke kwetsbaarheden zonder de volledige stack onbehandeld blijven.
Volgens het eigen onderzoek van TrustNFT vermindert het implementeren van de volledige authenticatiestack in combinatie met blockchain-verankerde domeinverificatie succesvolle nabootsingsaanvallen met maximaal 67% wanneer volledig uitgerold. TrustNFT Verify stelt organisaties in staat hun verzendende domeinen op de blockchain te registreren via een proces dat één DNS-record-toevoeging vereist, waarbij volledige verificatie doorgaans binnen 48 uur is afgerond.
Het is belangrijk te vermelden dat TrustNFT een leverancier is met een commercieel product. Het cijfer van 67% is afkomstig uit eigen onderzoek van het bedrijf, en het white paper fungeert zowel als technisch argument als als productpitch. Onafhankelijke verificatie van die claim is nog niet beschikbaar.
Wat E-mailmarketeers Hieruit Kunnen Meenemen
DMARC blijft een onmisbare basis. De gemiddelde kosten van een phishing-gerelateerde datalek bedroegen in 2025 circa 4,88 miljoen dollar, en organisaties die DMARC op beleidsniveau handhaafden, zagen succesvolle phishingaflevering dalen van 69% naar 14%, aldus het EasyDMARC 2025 DMARC Adoption Report. Dat alleen al rechtvaardigt de stap naar p=reject.
Maar het TrustNFT-paper wijst op iets wat marketeers vaak over het hoofd zien: authenticatie is onzichtbaar voor klanten. Wanneer uw merk wordt nagebootst via een lookalike-domein, kunnen uw abonnees het verschil niet zien, en de reputatieschade valt u toe ongeacht hoe schoon uw eigen DNS-records zijn.
De directe prioriteiten voor elk marketing- of groeiteam zijn duidelijk:
Zet uw DMARC-beleid om van p=none naar p=quarantine of p=reject
Stel RUA-aggregaatrapportage in zodat u kunt zien wie er namens u verzendt
Monitor op lookalike-domeinregistraties gericht op uw merk
Zorg ervoor dat elk extern verzendplatform (ESP, CRM, transactionele mail) correct is opgenomen in uw SPF-record en ondertekent met DKIM
Of blockchain-verificatie een gangbare laag in de e-mailvertrouwensstack wordt, moet nog blijken. Wat nu al duidelijk is: DMARC alleen was nooit ontworpen om merknabootsing op het niveau van het domeinecosysteem op te lossen, en wie het behandelt als een volledige oplossing, stelt zowel zijn klanten als zijn verzendreputatie bloot aan risico.
Deliverability8 apr 2026 6 min
Mailgun Rapport: 18% van de e-mails Bereikt de Inbox Niet
Het 2026 Email Impact Report van Sinch Mailgun toont aan dat 18% van alle e-mails de inbox niet bereikt door deliverability-problemen en beperkt AI-gebruik. Wat dit betekent voor je omzet.
SSarah Mitchell
Deliverability8 apr 2026 6 min
Mailgun Rapport: 18% van de e-mails Bereikt de Inbox Niet
Het 2026 Email Impact Report van Sinch Mailgun toont aan dat 18% van alle e-mails de inbox niet bereikt door deliverability-problemen en beperkt AI-gebruik. Wat dit betekent voor je omzet.
