Overzicht DMARC
DMARC, wat staat voor “Domain-based Message Authentication, Reporting & Conformance”, is een protocol voor e-mailverificatie. Het borduurt voort op de breed geïmplementeerde SPF- en DKIM-protocollen, en voegt een rapportagefunctie toe waarmee afzenders en ontvangers het domein beter kunnen beschermen tegen frauduleuze e-mail. Dit maakt beveiligde e-mailcommunicatie mogelijk.
De spammers vervalsen vaak de verzendadressen in de e-mails zodat het lijkt alsof deze afkomstig zijn van uw domein. Als u dit type misbruik met uw domein wilt voorkomen en de andere ontvangende domeinen wilt informeren over uw domeinbeleid voor uitgaande e-mail, kunt u een DMARC-record publiceren, aan de hand waarvan de e-mailservices die gebruikmaken van de DMARC-normen de niet-geverifieerde e-mails kunnen afhandelen. Dit helpt ook bij het beheersen van Email Backscatter en 'phishing'-activiteiten met uw domein en bij het beschermen van de reputatie van uw domein.
Vóór het publiceren van DMARC
Met een DMARC-beleid kan een afzender aangeven dat zijn e-mails worden beschermd door SPF en/of DKIM, en de ontvangers instrueren wat ze moeten doen wanneer zowel de SPF- als de DKIM-controles mislukken, zoals het bericht in quarantaine plaatsen of weigeren. DMARC helpt ontvangers om de mislukte berichten beter af te handelen, waardoor de eindontvanger minder of niet wordt blootgesteld aan dergelijke vervalste e-mails via het domein. DMARC biedt de e-mailontvanger ook de mogelijkheid de afzender te informeren over e-mails die de DMARC-evaluatie wel of niet doorkomen.
Het DMARC-beleid kan alleen effectief zijn als u alle e-mails via uw eigen domeinen verstuurt. E-mail verzonden namens uw domein via services van derden lijken niet-geverifieerd en kunnen worden afgewezen op basis van uw gepubliceerde DMARC-beleid. Als u de e-mails via externe providers wilt verifiëren, moet u de DKIM-sleutel delen die moet worden opgenomen in de kopteksten, of de e-mails moeten worden verzonden via de SMTP-servers waarvan de geverifieerde DKIM-sleutels en SPF-records al zijn gepubliceerd.
U moet de SPF-records en DKIM-sleutels voor uw domeinen configureren voordat u het DMARC-beleid publiceert. Het DMARC-beleid is gebaseerd op SPF- en DKIM-sleutels om de authenticiteit van e-mails te garanderen. Als een e-mail die het e-mailadres van uw domein gebruikt niet door de SPF-test en/of de DKIM-test komt, wordt het DMARC-beleid geactiveerd.
DMARC-beleid publiceren
Als u het DMARC-beleid wilt publiceren, moet u een TXT-record maken op uw DNS-server met de volgende notatie.
Naam van de TXT-record:
_dmarc.uwdomein.com waarbij uwdomein.com wordt vervangen door uw domeinnaam.
Waarde TXT-record:
"v=DMARC1; p=none; rua=mailto:beheer@uwdomein.com"
p=none is het basisbeleid dat wordt aanbevolen. U kunt het later wijzigen in p=quarantine en dan in p=reject.
DMARC-beleid gefaseerd uitrollen
We raden ten zeerste aan het DMARC-beleid gefaseerd uit te rollen. Om het gefaseerd uit te rollen, wijzigt u de parameter 'p' van none in quarantine, en ten slotte in reject. Op dezelfde manier kunt u tijdens fase 2 (quarantaine) en fase 3 (weigeren), gebruikmaken van de optionele parameter 'pct' om het percentage van e-mails te controleren dat in quarantaine wordt geplaatst of wordt geweigerd.
Fase 1: Rapporten en verkeer controleren
"v=DMARC1; p=none; rua=mailto:beheer@uwdomein.com"
U kunt het beleid instellen op p=none in deze fase. Hiermee ontvangt u de rapporten van misbruik van het e-mailadres dat is opgegeven in het beleid. In de rapporten vindt u informatie over de afwijkingen in e-mails, over de bron van de e-mails die niet met de sleutel worden ondertekend, of de e-mails die vervalst lijken. U kunt de bronnen bekijken en de geldige IP-adressen eventueel opnemen in uw SPF-records, of de bronnen configureren met DKIM, als ze legitiem zijn. Als u in de rapporten alleen nog valide vervalste e-mails ziet, kunt u het beleid wijzigen in quarantaine.
Fase 2: E-mails in quarantaine plaatsen en analyseren
"v=DMARC1; p=quarantine; rua=mailto:beheer@uwdomein.com"
In deze fase kunt u het beleid instellen op p=quarantine. Hiermee ontvangt u de rapporten van misbruik van het e-mailadres dat is opgegeven in het beleid, en worden dergelijke e-mails ook in quarantaine geplaatst. U kunt de e-mails controleren die in quarantaine zijn geplaatst, en e-mails in quarantaine goedkeuren of weigeren. U kunt altijd terugkeren naar uw rapporten en ook de e-mails in quarantaine controleren.
U kunt ook gebruikmaken van de 'pct'-parameter in het DMARC TXT-recordsjabloon om op te geven op welk percentage van e-mails het beleid van invloed is in fase 2, en het percentage langzaam verhogen naar 100% om de implementatie te voltooien. Het is belangrijk om ervoor te zorgen dat u de e-mailrapporten regelmatig controleert zodat valide e-mails niet worden geweigerd of hinder ondervinden.
"v=DMARC1; p=quarantine; pct=20; rua=mailto:beheer@uwdomein.com"
In het bovenstaande voorbeeld wordt slechts 20% van de e-mails die vervalst lijken in quarantaine geplaatst en de rest van de e-mailgegevens wordt alleen opgenomen in de rapporten.
Wanneer u de TXT-record wijzigt in het bovenstaande voorbeeld en de pct-parameter verwijdert, worden alle e-mails die niet langs het DMARC-beleid komen, geweigerd.
Als u ervan overtuigd bent dat alleen vervalste e-mails worden geweigerd en alle valide e-mails zijn ondertekend, kunt u het beleid wijzigen in 'Reject' om DMARC volledig uit te rollen.
Fase 3: Vervalste e-mails weigeren
"v=DMARC1; p=reject; rua=mailto:beheer@uwdomein.com"
In deze fase kunt u het beleid instellen op p=reject. De e-mails die zijn vervalst met uw domeinnaam, worden geweigerd nadat u deze wijziging hebt aangebracht. U kunt de geweigerde e-mails volgen via de rapporten die u ontvangt via e-mail naar het opgegeven e-mailadres in de TXT-record.