DMARC-opdatering: fra RFC 7489 til RFC 9989

DMARC-opdatering: fra RFC 7489 til RFC 9989

DMARC blev offentliggjort af dmarc.org helt tilbage i 2012, men det var først i 2015 protokollen blev skrevet ned som en RFC. Og den RFC, RFC 7489, var oven i købet kun et Informational dokument, altså en beskrivelse af hvordan DMARC virkede i praksis, ikke en egentlig standard.

Det er nu lavet om. I maj 2026 udgav IETF’s DMARC-arbejdsgruppe DMARC som en rigtig Standards-Track standard, og samtidig blev den delt op i tre selvstændige RFC’er.

Fra én til tre RFC’er

Hvor RFC 7489 forsøgte at rumme det hele i ét dokument, er DMARC nu delt op efter hvem der har brug for hvad:

  • RFC 9989 er selve DMARC-protokollen. Det er den, langt de fleste skal forholde sig til: hvordan du udgiver en DMARC-record, hvordan din politik fortolkes, og hvordan modtagende mailservere håndhæver den.
  • RFC 9990 beskriver de aggregerede rapporter (rua). Den er primært relevant for dem der producerer og behandler rapporterne.
  • RFC 9991 beskriver failure-rapporter (ruf). Også primært for rapport-siden.

Hvad er nyt i RFC 9989

Selve idéen bag DMARC er uændret, men der er et par ændringer:

  • Nyt np=-tag. Du kan nu sætte en separat politik for ikke-eksisterende subdomæner, altså navne uden A/AAAA/MX. Det gør det nemmere at lukke af for spoofing af subdomæner du aldrig har oprettet. Du skal ikke anvende np-tagget, hvis du har DNSSEC aktiveret på dit domæne. Det kan give problemer.
  • Tre tags er fjernet: pct, rf og ri.
    • pct (gradvis udrulning i procent) blev implementeret vidt forskelligt af modtagerne og var reelt kun forudsigelig ved 0 og 100. Den er erstattet af et nyt t=-tag: t=y betyder testtilstand (svarer til det gamle pct=0), mens default t=n betyder fuld håndhævelse.
    • rf (rapportformat) er fjernet, da der i praksis kun blev brugt ét format.
    • ri (rapportinterval) er fjernet, fordi modtagerne alligevel ignorerede det. RFC 9989 anbefaler i stedet at rapporter sendes dagligt.

Skal du ændre noget nu?

For de fleste domæneejere er svaret nej, ikke med det samme. Din eksisterende DMARC-record er stadig gyldig, og der er ikke noget, som går i stykker i morgen.

Men det er en god anledning til at kigge din opsætning efter:

  • Er du stadig på p=none? Så er det på tide at komme videre mod p=reject.
  • Fjern gamle pct, rf og ri-tags fra din record.

Alt i alt

DMARC er blevet voksen. Der er ikke tale om en ny måde at lave e-mailsikkerhed på, men om en oprydning.