DMARC toevoegen is toch maar een paar minuten werk?

Het kost inderdaad maar een paar minuten om die ene regel met je DMARC-configuratie in je DNS te plaatsen. Maar helaas is dat niet het enige wat erbij komt kijken. In de eerste plaats werkt DMARC alleen als je ook SPF en DKIM instelt. Dat betekent dat je nog twee regels aan je DNS moet toevoegen: een voor SPF en een voor DKIM.

Okee, denk je misschien, dan is het dus drie keer een paar minuten werk. Maar ook dat is lang niet het hele verhaal, want er gaat nog iets aan vooraf: je moet bepalen wat je in elk van die drie DNS-regels exact gaat zetten. En daar komt het nodige uitzoekwerk bij kijken. Een kleine typ- of syntaxfout en het gaat mis. Zo’n fout wordt er niet voor je uitgehaald, maar kan wel grote gevolgen hebben voor de aflevering en beveiliging van e-mails.

Opties bij DMARC, DKIM en SPF

Daarnaast hebben DMARC, DKIM en SPF elk een hele serie aan opties die je kunt instellen. Welke daarvan is in jouw situatie nodig voor de correcte e-mailbeveiliging?

Om die vraag te beantwoorden, moet je eerst weten welke opties er allemaal tot je beschikking staan. Die opties zijn beschreven in zogenaamde RFC’s (requests for comments).

Wat is een RFC?

Een RFC is de specificatie van een internetstandaard. Deze standaarden liggen ten grondslag aan hoe communicatie via internet technisch correct plaatsvindt. Zo beschrijft de HTTP-standaard hoe een webbrowser technisch met webservers communiceert. En de DMARC-, DKIM- en SPF-standaarden beschrijven hoe je je e-mail kunt beveiligen tegen spoofing en phishing.

RFC’s zijn lijvige documenten. De RFC van DMARC telt 72 pagina’s, die van DKIM 76 pagina’s en die van SPF 64 pagina’s. En deze RFC’s borduren deels voort op andere RFC’s. Wil je elke optie in DMARC, DKIM en SPF leren kennen, dan moet je zo’n 15 RFC’s doornemen, in totaal een paar honderd pagina’s aan leeswerk! En dan moet je die informatie ook nog begrijpen en exact toepassen.

DMARC, DKIM en SPF hebben gezamenlijk maar liefst zo’n 35 opties die je kunt gebruiken bij het inregelen. Over elk van deze opties zul je moeten nadenken wat je ermee wilt. Hier volgen enkele voorbeelden van opties die DMARC biedt:

  • p: Met deze optie geef je aan welke policy je wilt gebruiken, met andere woorden: wat er moet gebeuren met e-mails die niet positief door de checks van DMARC heen komen. Deze optie is verplicht en je kunt er een van drie verschillende waarden aan toekennen: p=none, p=quarantine of p=reject. Voor meer uitleg over deze optie, zie ‘Wat is het verschil tussen een sterke en een zwakke DMARC-policy?.
  • pct: Met deze optie geef je aan hoeveel procent van de e-mails je door DMARC wilt laten checken. Normaal gesproken wil je natuurlijk alle e-mails laten checken en geef je de waarde 100 mee. Of je geeft deze optie helemaal niet mee, want die is niet verplicht. In dat geval checkt DMARC standaard ook 100% van de e-mails. Zo staat het namelijk in de RFC. Als je de pct-optie gebruikt met een andere waarde dan 100, kan dat tot ongewenste verrassingen leiden. Een gevaarlijke optie dus, zie voor meer uitleg Waarvoor is de pct-tag van DMARC?.
  • rua: Met deze optie geef je aan naar welk e-mailadres de DMARC-rapportages moeten worden gestuurd. Merkwaardig genoeg is deze optie niet verplicht. Als je die vergeet in te stellen, ontvang je geen rapportages en weet je dus niet wat er gebeurt! Een van de features die DMARC zoveel meerwaarde geeft (zie ‘Waarom heb je nog DMARC nodig als je al SPF en DKIM hebt?’), laat je dan onbenut.

En dat is nog maar een klein deel van de mogelijke opties. Zoals uit deze voorbeelden blijkt, zul je voor elke optie moeten vaststellen:

  • waarvoor deze optie bedoeld is;
  • of de optie verplicht is;
  • als de optie niet verplicht is: of je deze optie wilt gebruiken, en wat het effect is als je dat niet doet;
  • welke waarden je aan de optie kan toekennen, en wat het effect van elk van deze waarden is;
  • welke waarde het beste past bij jouw situatie.

Vervolgens moet je de optie correct toepassen en controleren op typefouten.

Als je volledig de RFC’s voor DMARC, DKIM en SPF hebt gevolgd, en je elke optie hebt gebruikt die verplicht is, wil dat nog niet zeggen dat je e-mailbeveiliging op orde is. Je kan ook dingen in je DNS-regel hebben gezet waarvan het resultaat negatief is voor je e-mailbeveiliging. Heb je bijvoorbeeld de policy p=none gebruikt, dan voldoe je daarmee aan de RFC voor DMARC, maar de none zorgt ervoor dat er geen actie wordt uitgevoerd als de e-mail niet door de DMARC-check heen komt. Alle e-mail wordt ongehinderd doorgelaten: spoofing, spam en het ontvangen van gevaarlijke nep-e-mail blijven gewoon doorgaan. DMARC schiet dan zijn doel volledig voorbij.

Verder is het belangrijk om te beseffen dat je niet klaar bent wanneer je DMARC, DKIM en SPF hebt ingesteld. Dan begint eigenlijk pas het echte werk: het monitoren van de resultaten van de DMARC-, DKIM- en SPF-controles. Dankzij DMARC kun je dagelijks rapportages ontvangen met deze monitoringresultaten. Aan de hand daarvan kun je vaststellen of de beveiliging werkt en er wijzigingen nodig zijn aan je configuratie. Daarnaast kun je er verdacht e-mailverkeer mee identificeren.

Ook voor het interpreteren van die rapportages heb je kennis van de RFC’s nodig. Daarin staat namelijk beschreven welke gestandaardiseerde resultaten de DMARC-, DKIM- en SPF-controles kunnen opleveren. Voor DMARC zijn dat onder andere:

  • NONE
  • QUARANTINE
  • REJECT
  • SPF ALLIGNMENT
  • DKIM ALLIGNMENT
  • Policy override

Hoe je dit soort resultaten correct moet duiden, staat in de RFC’s beschreven. Al met al zijn er zo’n 20 resultaten die uit DMARC-, DKIM- en SPF-controles kunnen komen. Samen met de 35 opties die de drie standaarden bieden, kom je dan op ongeveer 55 items uit de RFC’s waarvan je kennis nodig hebt om DMARC, DKIM en SPF goed in te richten en met succes te gebruiken.

Samengevat komt er dus het volgende kijken bij een goede DMARC-implementatie:

  • bepalen van de juiste instellingen van DMARC, DKIM en SPF voor jouw situatie;
  • toepassen en controleren van de gekozen instellingen, onder andere met DNS-configuratie;
  • interpreteren van DMARC-rapportages;
  • aanpassingen op de SPF, DKIM en DMARC toepassen naar aanleiding van de informatie uit de DMARC-rapportages.

Controleer de huidige beveiliging van jouw domeinnaam: