Met de pct-optie geef je aan hoeveel procent van de e-mailberichten je door de ontvangende mailsystemen met DMARC wilt laten checken. Het andere deel wordt ongehinderd doorgelaten. Als je deze variabele tag niet gebruikt, worden alle berichten gecheckt (de defaultwaarde is namelijk 100). En dat is eigenlijk ook altijd wat je wilt.
Waarom bestaat deze optie dan überhaupt? Deze optie is bedoeld om organisaties langzaam naar een hoger beveiligingsniveau te brengen, in plaats van in één klap. Het idee is dat je bij het inrichten de DMARC-instellingen eerst op een deel van je e-mail kunt loslaten en kijken wat het effect is. Mochten de instellingen tot ongewenste effecten leiden, bijvoorbeeld berichten die onterecht worden geweigerd, dan raakt dat niet meteen al je mailverkeer. Zo leer je stap voor stap hoe je DMARC voor je organisatie kunt inregelen en monitoren.
Dat klinkt mooi, maar er zit ook een risico aan: schijnveiligheid. Als je de policy p=reject gebruikt, lijkt je beveiliging helemaal voor elkaar. Maar check dan ook of je de pct-optie gebruikt. Want als dat zo is, en er staat een ander getal bij dan 100, dan ben je maar voor een deel beveiligd.
Dus gebruik niet zonder nadenken de pct-optie. Vermijd het gebruik ervan. En als je er toch mee aan de slag gaat, besef dan dat je die optie na het correct inregelen weer moet weghalen. Als je dat vergeet, ben je niet volledig beschermd!