Een DMARC-beleid (Domain-based Message Authentication, Reporting & Conformance) stelt de afzender in staat om aan te geven dat hun berichten worden beschermd door SPF en / of DKIM, en vertelt een ontvanger wat te doen als geen van deze authenticatiemethoden slaagt. Om als veilig te worden beschouwd, moet dit beleid worden ingesteld op ‘reject’ (zorgt ervoor dat alle potentieel schadelijke e-mail wordt gestopt) of ‘quarantaine’ (ontvangt de e-mail die de DMARC-verificatiecontrole niet doorstaat, maar behandelt deze met extra voorzichtigheid).