DMARC-opdatering: fra RFC 7489 til RFC 9989
DMARC blev offentliggjort af dmarc.org helt tilbage i 2012, men det var først i 2015 protokollen blev skrevet ned som en RFC. Og den RFC, RFC 7489, var oven i købet kun et Informational dokument, altså en beskrivelse af hvordan DMARC virkede i praksis, ikke en egentlig standard.
Det er nu lavet om. I maj 2026 udgav IETF’s DMARC-arbejdsgruppe DMARC som en rigtig Standards-Track standard, og samtidig blev den delt op i tre selvstændige RFC’er.
Fra én til tre RFC’er
Hvor RFC 7489 forsøgte at rumme det hele i ét dokument, er DMARC nu delt op efter hvem der har brug for hvad:
- RFC 9989 er selve DMARC-protokollen. Det er den, langt de fleste skal forholde sig til: hvordan du udgiver en DMARC-record, hvordan din politik fortolkes, og hvordan modtagende mailservere håndhæver den.
- RFC 9990 beskriver de aggregerede rapporter (rua). Den er primært relevant for dem der producerer og behandler rapporterne.
- RFC 9991 beskriver failure-rapporter (ruf). Også primært for rapport-siden.
Hvad er nyt i RFC 9989
Selve idéen bag DMARC er uændret, men der er et par ændringer:
- Nyt
np=-tag. Du kan nu sætte en separat politik for ikke-eksisterende subdomæner, altså navne uden A/AAAA/MX. Det gør det nemmere at lukke af for spoofing af subdomæner du aldrig har oprettet. Du skal ikke anvendenp-tagget, hvis du har DNSSEC aktiveret på dit domæne. Det kan give problemer. - Tre tags er fjernet:
pct,rfogri.pct(gradvis udrulning i procent) blev implementeret vidt forskelligt af modtagerne og var reelt kun forudsigelig ved 0 og 100. Den er erstattet af et nytt=-tag:t=ybetyder testtilstand (svarer til det gamlepct=0), mens defaultt=nbetyder fuld håndhævelse.rf(rapportformat) er fjernet, da der i praksis kun blev brugt ét format.ri(rapportinterval) er fjernet, fordi modtagerne alligevel ignorerede det. RFC 9989 anbefaler i stedet at rapporter sendes dagligt.
Skal du ændre noget nu?
For de fleste domæneejere er svaret nej, ikke med det samme. Din eksisterende DMARC-record er stadig gyldig, og der er ikke noget, som går i stykker i morgen.
Men det er en god anledning til at kigge din opsætning efter:
- Er du stadig på
p=none? Så er det på tide at komme videre modp=reject. - Fjern gamle
pct,rfogri-tags fra din record.
Alt i alt
DMARC er blevet voksen. Der er ikke tale om en ny måde at lave e-mailsikkerhed på, men om en oprydning.