Technical Reference · 2026 Edition

De BIMI DMARC p=reject Vereiste Uitgelegd

Last updated min read

De BIMI DMARC p=reject Vereiste Uitgelegd

De meeste mislukte BIMI-implementaties zijn terug te voeren op één oorzaak: een onjuist DMARC-beleid. Organisaties richten zich op het genereren van het SVG-logobestand en vergeten de authenticatievereiste die bepaalt of het logo überhaupt wordt weergegeven.

BIMI is een beveiligingsprotocol, geen merkfunctie. Mailbox-providers tonen uw logo pas nadat ze cryptografisch hebben geverifieerd dat het bericht afkomstig is van uw domein [1].

Dit artikel beschrijft de DMARC-voorwaarde voor BIMI, vergelijkt de drie handhavingsbeleidsregels en specificeert hoe u uw domein kunt voorbereiden.

Wat is DMARC?

Domain-based Message Authentication, Reporting, and Conformance (DMARC) is een e-mailauthenticatiestandaard die voorkomt dat ongeautoriseerde afzenders uw domein gebruiken in de From-header.

DMARC bouwt voort op twee onderliggende protocollen:

  1. SPF (Sender Policy Framework): Verifieert dat het verzendende IP-adres is geautoriseerd door de domeineigenaar.
  2. DKIM (DomainKeys Identified Mail): Past een cryptografische handtekening toe op elk bericht, zodat de ontvanger kan bevestigen dat het bericht niet is gewijzigd tijdens verzending.

Het DMARC-record instrueert ontvangende servers, zoals Gmail en Yahoo, hoe om te gaan met berichten die zowel SPF als DKIM niet doorstaan.

De Drie DMARC-Beleidsregels

U publiceert uw DMARC-record als een TXT-record in uw DNS-zone. De p=-tag definieert het handhavingsbeleid.

1. p=none (Monitoringmodus)

De ontvangende server levert falende berichten af in de inbox en stuurt geaggregeerde rapporten naar het adres dat u opgeeft. Gebruik dit beleid om legitieme verzendbronnen te identificeren voordat u overgaat tot handhaving. BIMI-status:Afgewezen. Mailbox-providers tonen geen BIMI-logo's voor domeinen met p=none.

2. p=quarantine (Handhavingsmodus)

De ontvangende server routeert falende berichten naar de spam- of ongewenste-e-mailmap. BIMI-status:Geaccepteerd. Dit is het minimale beleid dat in aanmerking komt voor BIMI. Het beleid moet van toepassing zijn op 100% van de berichten. Neem ofwel pct=100 op of laat de pct-tag weg (de standaardwaarde is 100).

3. p=reject (Strikte Handhavingsmodus)

De ontvangende server weigert falende berichten. Ze worden niet afgeleverd. BIMI-status:Geaccepteerd. Dit is het aanbevolen beleid voor BIMI.

Waarom BIMI Handhaving Vereist

De vereiste bestaat om visuele spoofing te voorkomen. Wanneer een mailbox-provider uw logo naast een bericht toont, beweert deze tegenover de ontvanger dat het bericht authentiek is [2].

Als BIMI p=none zou accepteren, zou een aanvaller uw domein kunnen spoofen en de mailbox-provider uw logo laten tonen naast een phishing-bericht. Door p=quarantine of p=reject te vereisen, wordt gegarandeerd dat de domeineigenaar niet-geauthenticeerde e-mail heeft geblokkeerd voordat het logo wordt toegekend.

Subdomeinen: Overwegingen

Bedrijven gebruiken vaak subdomeinen voor verschillende e-mailstromen, zoals marketing.bedrijf.com of bonnen.bedrijf.com. BIMI vereist dat het organisatiedomein op handhaving staat.

Als uw organisatiedomein p=reject publiceert maar subdomeinen overschrijft met sp=none, faalt BIMI voor e-mail verzonden vanaf die subdomeinen. Handhaving moet van toepassing zijn op zowel het organisatiedomein als de subdomeinen.

Hoe u Uw Infrastructuur Kunt Auditen

Bevestig uw DMARC-status voordat u een SVG-bestand genereert of een Verified Mark Certificate (VMC) aanvraagt.

Gebruik makeBIMI om uw domein te auditen. De tool bevraagt uw DNS-records, evalueert uw SPF- en DMARC-configuratie en rapporteert of uw domein voldoet aan de handhavingsvereiste voor BIMI.

Nadat uw domein de audit heeft doorstaan, genereert u uw conforme SVG-bestand en schakelt u een CA-broker in zoals veriBIMI om uw certificaat te verkrijgen.

Referenties

[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/