DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) is een e-mailprotocol waarmee je SPF en DKIM combineert. DMARC voegt een aanvullende controle toe tegen spoofing. Bovendien maakt DMARC het mogelijk om rapportages te ontvangen over verdachte mails die namens jouw organisatie zouden zijn verstuurd.
Hoe werkt het?
DMARC wordt ingesteld voor je uitgaande mail. In een DMARC-record in je DNS beschrijven wij een DMARC-policy voor je e-maildomein. In die policy staat onder andere:
- wat een ontvangende mailserver moet doen met e-mails die niet door de ingestelde SPF- en DKIM-checks komen:
- reject: het bericht weigeren
- quarantine: het bericht markeren als ‘verdacht’
- none: het bericht doorlaten, maar er wel over rapporteren
- het e-mailadres waar dagelijkse rapportages over de uitgevoerde e-mailcontroles naartoe moeten worden verzonden.
Een ontvangende mailserver kijkt of er een DMARC-record aanwezig is in het DNS van de vermelde afzender. Als dat het geval is, voert de mailserver de volgende controles uit op het ontvangen e-mailbericht:
- De ontvangende mailserver checkt het IP-adres van de verzendende mailserver aan de hand van de SPF-policy in het SPF-record van de vermelde afzender.
- De ontvangende mailserver checkt de digitale handtekening in het e-mailbericht aan de hand van de informatie in het DKIM-record van de vermelde afzender.
- De ontvangende mailserver checkt of het domein in het ‘From’-veld van het zichtbare deel van het e-mailbericht overeenkomt met de ‘MAIL FROM’-header in de envelop die bij stap (1) is gebruikt.
- De ontvangende mailserver checkt of het domein in het ‘From’-veld van het zichtbare deel van het e-mailbericht overeenkomt met het domein in de ‘DKIM-Signature’-header in de envelop.
De stappen (3) en (4) worden alignment genoemd. Het is een extra controle die DMARC uitvoert, bovenop de SPF- en DKIM-checks. In je DMARC-policy kun je aangeven of ontvangende mailservers de alignment strict (strikt) of relaxed (losjes) moeten uitvoeren. Bij een strikte alignment moeten de domeinen die worden vergeleken, volledig met elkaar overeenkomen – inclusief eventuele subdomeinen. Bij een losse alignment hoeft alleen het hoofddomein overeen te komen.
Een e-mailbericht komt met succes door de DMARC-controle als:
- de SPF-check (1) en SPF-alignment (3) slagen, en/of
- de DKIM-check (2) en DKIM-alignment (4) slagen.
Als je een e-mailadres in je DMARC-record hebt opgenomen, ontvang je daarop dagelijks informatie over de controles die ontvangende mailservers hebben uitgevoerd op e-mailberichten die vanaf jouw e-maildomein zouden zijn verzonden. Daarmee kun je de policy’s beoordelen, aanscherpen en onderhouden. En zo kun je ook snel achterhalen of je e-maildomein door anderen ergens anders op de wereld wordt misbruikt voor spoofing, spamming of phishing.
Goed om te weten
- Een ontvangende mailserver is niet verplicht om zich aan de instructies in een DMARC-policy te houden. Als bijvoorbeeld in de DMARC-policy staat dat een bericht met een reject moet worden geweigerd, kan de mailserver ervoor kiezen om het bericht met een quarantine af te handelen. Microsoft 365 is hier een goed voorbeeld van.
- Wat er met e-mails gebeurt die als verdacht zijn gemarkeerd, hangt af van de ontvangende mailserver. Het bericht kan bijvoorbeeld in de spamfolder van de ontvanger worden afgeleverd in plaats van in de inbox.
- We zien nog weleens gebeuren dat organisaties eerst SPF helemaal inrichten, dan DKIM en tot slot DMARC. Dat kan ertoe leiden dat je legitieme e-mailberichten gaat missen, bijvoorbeeld omdat SPF ze met een hard fail afwijst voordat je dat met DKIM en DMARC kan voorkomen. We raden aan om SPF, DKIM en DMARC tegelijkertijd in te richten. Dan kun je SPF en DKIM gebruiken om de nodige checks uit te voeren en DMARC laten beslissen wat er aan de hand van de resultaten van die checks met een e-mailbericht moet gebeuren.
Controleer de DMARC instellingen van jouw domeinnaam
Met de gratis checktool van DMARCSaaS controleer je makkelijk en eenvoudig de SPF, DKIM en DMARC instellingen van jouw e-maildomeinen. Je hoeft enkel je domeinnaam in te voeren en je ziet direct of je DMARC goed is ingesteld.