DMARC

Lees hier mee over wat het is en hoe je het gebruikt.

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance.

DMARC is voor ervaren gebruikers. Aanpassingen/toevoegingen van DMARC records zijn voor eigen risico.
Indien je zelf geen ervaring hebt met DMARC kan onze support je hier verder mee helpen.

 

Wat is DMARC

DMARC is ontworpen om spoofing van e-mails te detecteren en te stoppen.

Hoe werkt DMARC

DMARC werkt op basis van de ingestelde SPF en DKIM records, zonder deze records is het niet mogelijk DMARC in te stellen. Je kan de werking van DMARC  onderbrengen in deze stappen

      1. In de DNS plaats je een beleid welke aangeeft hoe om te gaan met ontvangen e-mail van dit domein, specifiek met e-mail die het beleid schenden.
      2. Een server ontvangt een bericht vanaf jouw domein, deze server kijkt in de DNS en ziet een DMARC beleid. De server controleert vervolgens de volgende 3 onderdelen: DKIM, SPF en Domain Alignment.
      3. Met de informatie uit de voorgaande controle kan de server aan de hand van het DMARC beleid bepalen om de e-mail door te laten, te blokkeren of te markeren.
      4. Na dit besluit kan de server bepalen om de uitkomst van de keuze terug te sturen naar de eigenaar van het zendende domein. Deze contact gegevens staan vermeld in het DMARC record.

Je kan er ook voor kiezen om aan te geven om geen gebruik van DMARC te maken. Op deze manier kom je wel door testen heen zonder het te gebruiken. Meer hierover in een ander hoofdstuk.

 

Wat is Domain Alignment

Bij Domain Alignment kijkt DMARC naar de volgende informatie in het ‘from’ veld:

  1. SPF, het ‘from’ veld moet overeenkomen met het ‘Return-Path’
  2. DKIM, het ‘from’ veld moet overeenkomen met ‘d=domain’

Als deze onderdelen kloppen spreken we over Domain Allignment

 

Wat is een DMARC record en hoe configureer je het

Zoals aangegeven plaats je een DMARC record in de DNS van het betreffende domein. Het is een speciaal opgemaakte versie welke je in een TXT record plaatst, deze vereist een speciale naam om herkend te worden. Je begint dit record met de naam ‘_dmarc.domeinnaam’ en een voorbeeld record zal er zo uitzien:
_dmarc.domeinnaam. IN TXT "v=DMARC1\; p=none\; rua=mailto:dmarcag@domeinnaam\; ruf=mailto:dmarcfo@domeinnaam\; pct=100"

Versie

De content van een DMARC record begint alijd met “v=DMARC1” waarbij de “1” het versie nummer aangeeft. Zonder dit deel zal het DMARC record nooit gebruikt kunnen worden door mailservers.
DMARC versie 1 (DMARC1) is gebruikelijk, weet je niet welke je moet gebruiken? Gebruik dan al tijd versie 1.

Policy

De policy geef je aan met ‘p=’ . De policy treedt op als de DMARC validatie fout is gegaan, je hebt hierbij de volgende opties:

  • none: behandel het bericht alsof er geen DMARC aanwezig zou zijn (neutraal)
  • quarantaine: accepteert het bericht maar plaatst het niet in het Postvak IN maar, vaak, in de spambox
  • reject: weigert het bericht
Aggregate reports

Aangegeven met rua=mailto:mailadres zullen hier de aggregated reports naar verzonden worden. Dit zijn XML rapporten waarin statistische data over berichten van het domein staat. Het rapport bevat authenticatie resultaten en bericht afhandeling, deze rapport zijn lastig uitleesbaar.

Forensic reports

Aangegeven met ruf=mailto:mailadres , dit adres zal de forensic reports ontvangen. Deze rapporten bevatten kopieën van berichten waarvan de authenticatie is mislukt. Uit deze rapporten kan je opmaken of en hoe vaak de authenticatie fout is gegaan en waar deze verzoeken vandaan kwamen.

Percentage

Geeft aan over hoeveel % van de mail het beleid uitgevoerd moet worden. Aangegeven met pct=percentage. Aanbevolen is pct=100 (100%)

Uitgebreide onderdelen

Er zijn meer opties voor DMARC, bovenstaand zijn de basics. Als je deze niet voldoen aan je verwachtingen neem dan hier een kijkje.

 

Hoe ben je DMARC neutraal

DMARC neutraal geeft eigenlijk aan dat je geen DMARC wil gebruiken. Waarom zou je het dan toch instellen? Als je een test laat uitvoeren kan het aandachtspunt DMARC naar voren komen, door DMARC als neutraal in te stellen zal dit punt geen aandachtspunt worden. Je stelt DMARC neutral als een TXT record zo in:

Naam:_dmarc
Content:v=DMARC1; p=none;

 

Een volledig record zou dan zijn: _dmarc.domeinnaam TXT v=DMARC1; p=none;

 

DMARC generator

Er bestaat een DMARC generator welke je door het proces heen helpt. Deze is hier te vinden.