Om je e‑maildomeinen goed te beschermen tegen phishing, is een DMARC record nodig. In dit record geef je een aantal zaken aan, waaronder het beleid dat de ontvangende mailserver mag uitvoeren. Dat record plaats je vervolgens in de domeininstellingen van jouw e-maildomein (DNS). Maar welke onderdelen zitten er allemaal in een DMARC record en wat doen die onderdelen?
Wanneer je het domein spotler.nl door een DMARC record check heen haalt, zul je ongeveer het volgende te zien krijgen:
v=DMARC1; p=reject; rua=mailto:e‑mailadres; ruf=mailto:e‑mailadres; fo=1
Zoals je ziet bestaat die uit een vijftal onderdelen, waarop gecheckt wordt:
- v=DMARC1
- p=reject
- rua=mailto:
- ruf=mailto:
- fo=1
“v=DMARC1″
De v‑tag geeft aan waar het record over gaat. Het is daarbij altijd belangrijk om deze als eerste te vermelden. De v‑tag wordt ook gebruikt voor SPF, waardoor het voor je eigen DNS‑instellingen alsmede de ontvangende mailserver van belang is om te weten.
“p=reject”
De p‑tag bepaalt het beleid (“policy”) dat de ontvangende mailserver mag uitvoeren. Er zijn hiervoor drie verschillende mogelijkheden. Je kunt je policy op none, quarantine en reject zetten. Alle drie laten de ontvangende mailserver iets doen met berichten die zich lijken voor te doen als jouw domein. Wij raden een reject‑policy aan, om te garanderen dat niemand anders uit jouw naam kan en mag e‑mailen.
“rua=mailto:” & “ruf=mailto:”
Zowel rua als ruf zijn rapportage‑tags. Met de rua-tag ontvang je zogeheten ‘Aggregated Data Reporting’, welke data afgeven over welke e‑mails wèl en niet geauthentiseerd zijn. Het geeft geen informatie over de exacte inhoud van die e‑mails, waar de ruf-tag wel meer inzicht in geeft.
De ruf-tag produceert namelijk zogeheten ‘Forensic Data Reporting’, waarmee een domeineigenaar gedetailleerde informatie kan ontvangen over ongeauthoriseerde e‑mails. Hiermee wordt een rapportage geboden over de inhoud, “To”‑ en “From”‑adressen en het IP‑adres van de verzender.
“fo=1″
De fo‑tag geeft, in navolging van de ruf‑tag, aan hoe dit forensische rapport er dan vervolgens uit moeten komen te zien. Voor de fo‑tag (Failure reporting Options) zijn vier mogelijkheden:
- (0): Genereert rapportage als alle mechanismen niet door de DMARC‑check heen komen;
- (1): Genereert rapportage wanneer een enkel mechanisme al faalt;
- (d): Genereert enkel wanneer de DKIM‑signatuur niet geverifiëerd kon worden;
- (s): Wanneer het SPF record niet geverifiëerd kon worden.
Logischerwijs is de fo‑tag afhankelijk van de ruf‑tag. Als die tag niet gedefiniëerd is, kan er geen rapportage worden verzonden aan een e‑mailadres.
Verplichte en niet verplichte onderdelen
In een DMARC record zijn enkel de v‑ en de p‑tag vereist. Alle andere elementen zijn optioneel. De ontvangde mailserver heeft de v‑ en de p‑tag nodig om te herkennen dat het om een DMARC‑record gaat èn wat hij moet doen van dit record. De rest is optioneel. Zo hoef je dus geen rapportage te ontvangen als dit niet gewenst is.
Overige (optionele) onderdelen in een DMARC record
Er zijn, naast de al eerder genoemde onderdelen, nog een aantal optionele onderdelen in een DMARC record. Die worden hieronder kort toegelicht:
- sp: Geeft de policy weer voor subdomeinen (bijvoorbeeld: email.spotler.nl- ook met none, quarantine en reject;
- aspf: In welke mate SPF geauthenticeerd moet worden (s=strict)
- adkim: In welke mate DKIM geauthenticeerd moet worden
- pct: Het percentage van de berichten die onderhevig zijn aan filtering.