Er zijn twee gevallen waarin je organisatie verplicht is om DMARC in te regelen:
Overheidsinstanties zijn verplicht om te voldoen aan het ‘pas toe of leg uit’-principe van de Baseline informatiebeveiliging Overheid (BIO). In sectie 13.2.3.1 van de BIO staat:
Voor de beveiliging van elektronische (e-mail)berichten gelden de vastgestelde open standaarden tegen phishing en afluisteren op de ‘pas toe of leg uit’-lijst van het Forum. Voor beveiliging van websiteverkeer gelden de open standaarden tegen afluisteren op de ‘pas toe of leg uit’-lijst van het Forum.
Op de ‘pas toe of leg uit’-lijst staat DMARC (en SPF en DKIM) als verplichte standaard vermeld.
Implementeert je organisatie de CIS-securitystandaard? Dan moet je DMARC (en SPF en DKIM) inregelen. In sectie 7.8 van deze standaard staat namelijk:
To lower the chance of spoofed or modified emails from valid domains, implement Domain-based Message Authentication, Reporting and Conformance (DMARC) policy and verification, starting by implementing the Sender Policy Framework (SPF) and the DomainKeys Identified Mail (DKIM) standards.
De bekende securitystandaard ISO 27001 zegt echter niets over het gebruik van DMARC. Hoe komt dat? De meest recente versie van ISO 27001 werd in 2013 gepubliceerd. Toen was DMARC pas net gelanceerd als standaard (2015). Maar het is erg waarschijnlijk de volgende versie van ISO 27001 wél DMARC gaat voorschrijven.
Hanteert jouw organisatie een andere publieke securitystandaard? Kijk dan goed wat deze standaard over het gebruik van DMARC zegt.
Of het nu verplicht is voor je organisatie of niet, het is sterk aan te raden om DMARC te implementeren op de belangrijkste domeinen. Zo voorkom je op een zeer kostenefficiënte manier schade zoals financiële schade door CEO-fraude en reputatieschade door spammers die je domein misbruiken.