fbpx

DMARC

Alles over DMARC & het DMARC record.

DEFINITIES

Maximaal resultaat uit bestaande klanten.

Nextmessage is hét Customer Data Platform voor e-commerce, omnichannel & groothandels.

Algemeen

DMARC is de afkorting van Domain-based Message Authentication Reporting and Conformance. Het is een extra e-mailbeveiliging, bovenop SPF en DKIM om spoofing, phishing en andere cybercriminaliteit tegen te gaan.

DMARC laat mailservers die e-mails ontvangen weten wat zij moeten doen met e-mails die niet door de SPF- en DKIM-validatie komen. Ook kan DMARC bepalen wat er moet gebeuren als één van beide validaties niet klopt.

Een andere functie van DMARC is de mogelijkheid om rapportage in te zien. De eigenaar van het domein kan zo inzien welke mailservers e-mails verzenden namens het domein. Op die manier krijg je inzicht in eventuele fouten / ontbrekende toestemmingen bij het instellen van DKIM en SPF. Zo kunnen beide worden aangepast voor het strakker wordt ingesteld.

Een SPF record kun je na het genereren instellen als TXT-record in de DNS records. Het instellen van een DNS record verschilt per hosting aanbieder. Controleer daarom hoe de SPF record als TXT-record ingesteld moet worden bij jouw hosting aanbieder.

Een ontvangende mailserver controleert bij ontvangst van een e-mail zowel het SPF als het DKIM record indien aanwezig. Daarna wordt de e-mail in de inbox bezorgd. DMARC geeft hierbij aan wat er moet gebeuren indien een van beide niet gevalideerd kan worden.

In de DMARC record kunnen kunnen 3 waarden staan, namelijk:

  • None: de mailserver bezorgt het bericht
  • Quarantine: het bericht wordt aangemerkt als (mogelijk) spam
  • Reject: het bericht wordt niet bezorgd en niet in spam geplaatst

De DMARC rapportage functie geeft de eigenaar van het domein feedback over hoe goed de SPF en DMARC zijn ingesteld. Bovendien geeft het inzicht in de mate waarin een domeinnaam wordt gebruikt voor phishing.

DMARC biedt belangrijke voordelen voor eigenaren van websites.

De belangrijkste voordelen op een rij:

  • DMARC helpt je te controleren of SPF en DKIM goed zijn ingesteld
  • DMARC biedt inzicht in al het mailverkeer vanuit een domeinnaam
  • DMARC helpt phishing inzichtelijk te maken en te verminderen

DMARC instellen

Voor het genereren van een DMARC record kun je een DMARC generator zoals mxtoolbox.com gebruiken. De belangrijkste instellingen zijn:

  • Policy: none, quarantine en reject. 
  • E-mailadres voor het DMARC rapport: het e-mailadres waarnaar het rapport met verzonden e-mails vanuit het e-maildomein toegestuurd moet worden. Op basis van dit rapport kan bepaald worden welke mailservers e-mails sturen vanuit de domeinnaam.
  • E-mailadres voor het DMARC niet-afleveringen rapport: het e-mailadres waarnaar het rapport met niet-afgeleverde e-mails toegestuurd moet worden. Op basis van dit rapport kan bepaald worden of de SPF of DKIM goed is ingesteld.
  • Percentage: in de laatste stap kun je een percentage van de e-mails hebben waarop de quarantine of reject instelling wordt toegepast. Dit percentage niet direct op 100% zetten, bijvoorbeeld beginnen bij 10%, zorgt ervoor dat je eerst kunt testen dat alles optimaal is ingesteld.

Na het genereren zal de DMARC record er ongeveer zo uitzien: “v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@nextmessage.nl; ruf=mailto:forensic-dmarc-failure-reports@nextmessage.nl; pct=10” (DMARC record voorbeeld). Het daadwerkelijke uiterlijk van de DMARC record wordt bepaald door de instellingen.

Een DMARC record kun je na het genereren instellen als TXT-record in de DNS records. Het instellen van een DNS record verschilt per hosting aanbieder. Controleer daarom hoe de DMARC record als TXT-record ingesteld moet worden bij jouw hosting aanbieder. Na instellen kun je, wanneer je de rua hebt aangezet, de rapportage bekijken. Je kunt vervolgens ook de rapportage verder vorm geven. Zo kun je een limiet instellen op de grootte, de frequentie van ontvangst instellen en het juiste formaat kiezen.

Na instellen is het belangrijk om de DMARC record te controleren. Een DMARC check kun je doen via mxtoolbox.com. Je typt hier de domeinnaam in en controleert of de DMARC record tevoorschijn komt. Als deze klopt is de getoonde waarde gelijk aan het door jou gegenereerde DMARC record.

DMARC aandachtspunten

Het instellen van DMARC heeft veel voordelen, maar het is ook belangrijk om rekening te houden met deze aandachtspunten rondom DMARC:

  • DMARC biedt kansen om de afleverratio te verbeteren. Echter biedt het instellen geen garanties op verbetering.
  • Begin nooit direct met een reject beleid. Je kunt het beste eerst rapportage bekijken, bijsturen en vervolgens doorgroeien naar een reject beleid.
  • DMARC beschermt alleen ontvangers, geen inkomende mails vanuit de organisatie.