Het kost inderdaad maar een paar minuten om die ene regel met je DMARC-configuratie in je DNS te plaatsen. Maar helaas is dat niet het enige wat erbij komt kijken. In de eerste plaats werkt DMARC alleen als je ook SPF en DKIM instelt. Dat betekent dat je nog twee regels aan je DNS moet toevoegen: een voor SPF en een voor DKIM.
Okee, denk je misschien, dan is het dus drie keer een paar minuten werk. Maar ook dat is lang niet het hele verhaal, want er gaat nog iets aan vooraf: je moet bepalen wat je in elk van die drie DNS-regels exact gaat zetten. En daar komt het nodige uitzoekwerk bij kijken. Een kleine typ- of syntaxfout en het gaat mis. Zo’n fout wordt er niet voor je uitgehaald, maar kan wel grote gevolgen hebben voor de aflevering en beveiliging van e-mails.
Daarnaast hebben DMARC, DKIM en SPF elk een hele serie aan opties die je kunt instellen. Welke daarvan is in jouw situatie nodig voor de correcte e-mailbeveiliging?
Om die vraag te beantwoorden, moet je eerst weten welke opties er allemaal tot je beschikking staan. Die opties zijn beschreven in zogenaamde RFC’s (requests for comments).
Een RFC is de specificatie van een internetstandaard. Deze standaarden liggen ten grondslag aan hoe communicatie via internet technisch correct plaatsvindt. Zo beschrijft de HTTP-standaard hoe een webbrowser technisch met webservers communiceert. En de DMARC-, DKIM- en SPF-standaarden beschrijven hoe je je e-mail kunt beveiligen tegen spoofing en phishing.
RFC’s zijn lijvige documenten. De RFC van DMARC telt 72 pagina’s, die van DKIM 76 pagina’s en die van SPF 64 pagina’s. En deze RFC’s borduren deels voort op andere RFC’s. Wil je elke optie in DMARC, DKIM en SPF leren kennen, dan moet je zo’n 15 RFC’s doornemen, in totaal een paar honderd pagina’s aan leeswerk! En dan moet je die informatie ook nog begrijpen en exact toepassen.
DMARC, DKIM en SPF hebben gezamenlijk maar liefst zo’n 35 opties die je kunt gebruiken bij het inregelen. Over elk van deze opties zul je moeten nadenken wat je ermee wilt. Hier volgen enkele voorbeelden van opties die DMARC biedt:
En dat is nog maar een klein deel van de mogelijke opties. Zoals uit deze voorbeelden blijkt, zul je voor elke optie moeten vaststellen:
Vervolgens moet je de optie correct toepassen en controleren op typefouten.
Als je volledig de RFC’s voor DMARC, DKIM en SPF hebt gevolgd, en je elke optie hebt gebruikt die verplicht is, wil dat nog niet zeggen dat je e-mailbeveiliging op orde is. Je kan ook dingen in je DNS-regel hebben gezet waarvan het resultaat negatief is voor je e-mailbeveiliging. Heb je bijvoorbeeld de policy p=none gebruikt, dan voldoe je daarmee aan de RFC voor DMARC, maar de none zorgt ervoor dat er geen actie wordt uitgevoerd als de e-mail niet door de DMARC-check heen komt. Alle e-mail wordt ongehinderd doorgelaten: spoofing, spam en het ontvangen van gevaarlijke nep-e-mail blijven gewoon doorgaan. DMARC schiet dan zijn doel volledig voorbij.
Verder is het belangrijk om te beseffen dat je niet klaar bent wanneer je DMARC, DKIM en SPF hebt ingesteld. Dan begint eigenlijk pas het echte werk: het monitoren van de resultaten van de DMARC-, DKIM- en SPF-controles. Dankzij DMARC kun je dagelijks rapportages ontvangen met deze monitoringresultaten. Aan de hand daarvan kun je vaststellen of de beveiliging werkt en er wijzigingen nodig zijn aan je configuratie. Daarnaast kun je er verdacht e-mailverkeer mee identificeren.
Ook voor het interpreteren van die rapportages heb je kennis van de RFC’s nodig. Daarin staat namelijk beschreven welke gestandaardiseerde resultaten de DMARC-, DKIM- en SPF-controles kunnen opleveren. Voor DMARC zijn dat onder andere:
Hoe je dit soort resultaten correct moet duiden, staat in de RFC’s beschreven. Al met al zijn er zo’n 20 resultaten die uit DMARC-, DKIM- en SPF-controles kunnen komen. Samen met de 35 opties die de drie standaarden bieden, kom je dan op ongeveer 55 items uit de RFC’s waarvan je kennis nodig hebt om DMARC, DKIM en SPF goed in te richten en met succes te gebruiken.
Samengevat komt er dus het volgende kijken bij een goede DMARC-implementatie: