Een DMARC record (Domain-based Message Authentication, Reporting & Conformance) is essentieel voor de beveiliging van je e-maildomein. Het beschermt tegen e-mail spoofing en phishing door te specificeren hoe ontvangende mailservers moeten omgaan met e-mails die niet voldoen aan de SPF- en DKIM-authenticatie. In dit artikel bespreken we de belangrijkste onderdelen van een DMARC record en hoe je deze effectief kunt implementeren.
Wat is een DMARC record?
Een DMARC record is een DNS-record dat domeineigenaren toevoegen aan hun Domain Name System. Dit record bepaalt hoe inkomende e-mails moeten worden behandeld als ze afkomstig lijken te zijn van het domein, maar niet slagen voor de SPF- of DKIM-controles. DMARC bouwt voort op bestaande e-mailauthenticatiemethoden zoals SPF en DKIM door een extra laag van verificatie en controle toe te voegen.
Belangrijke onderdelen van een DMARC record
Een DMARC-record bestaat uit verschillende tags die elk een specifieke functie hebben. De belangrijkste zijn:
- v=DMARC1: Deze tag geeft aan dat het record DMARC is en moet altijd als eerste worden vermeld
- p=policy: De ‘p’-tag bepaalt het beleid dat de ontvangende mailserver moet toepassen op e-mails die niet slagen voor de DMARC-controles. Er zijn drie mogelijke waarden:
- none: Er wordt geen specifieke actie ondernomen; dit wordt vaak gebruikt voor monitoringdoeleinden.
- quarantine: E-mails die niet voldoen aan de authenticatiecontroles worden in quarantaine geplaatst, vaak in de spammap.
- reject: E-mails die niet slagen voor de authenticatiecontroles worden volledig afgewezen en niet bezorgd.
- rua=mailto: De ‘rua’-tag specificeert het e-mailadres waarnaar geaggregeerde rapporten moeten worden gestuurd. Deze rapporten bevatten informatie over de e-mails die namens het domein zijn verzonden en hun authenticatiestatus.
- ruf=mailto: De ‘ruf’-tag geeft het e-mailadres aan voor het ontvangen van forensische rapporten. Deze rapporten bieden gedetailleerde informatie over individuele e-mails die niet slaagden voor de DMARC-controles.
- fo=waarde: De ‘fo’-tag (Failure Reporting Options) bepaalt onder welke omstandigheden forensische rapporten worden gegenereerd. Mogelijke waarden zijn:
- 0: Genereert rapportage als alle mechanismen niet door de DMARC-check heen komen.
- 1: Genereert rapportage wanneer een enkel mechanisme al faalt.
- d: Genereert enkel wanneer de DKIM-signatuur niet geverifieerd kon worden.
- s: Wanneer het SPF-record niet geverifieerd kon worden.
- sp=policy: De ‘sp’-tag bepaalt het beleid voor subdomeinen. Als deze tag niet is ingesteld, geldt het hoofdbeleid (‘p’) ook voor subdomeinen.
- adkim=mode: In welke mate DKIM geauthenticeerd moet worden:
- r: Relaxed; de domeinen moeten overeenkomen, maar subdomeinen zijn toegestaan.
- s: Strict; de domeinen moeten exact overeenkomen.
- aspf=mode: In welke mate SPF geauthenticeerd moet worden, met dezelfde waarden als ‘adkim’.
- pct=percentage: De ‘pct’-tag geeft het percentage van de berichten aan waarop het DMARC-beleid moet worden toegepast. Standaard is dit 100%.
Voorbeeld van een DMARC-record
Een voorbeeld van een DMARC record kan er als volgt uitzien:
v=DMARC1; p=reject; rua=mailto:dmarc-aggregated@voorbeeld.nl; ruf=mailto:dmarc-forensic@voorbeeld.nl; fo=1; sp=quarantine; adkim=s; aspf=s; pct=100;
In dit voorbeeld is het DMARC-record actief (‘v=DMARC1’) en ingesteld op een ‘reject’-beleid voor het hoofddomein (‘p=reject’), terwijl subdomeinen het ‘quarantine’-beleid volgen (‘sp=quarantine’). Geaggregeerde rapporten worden verzonden naar ‘dmarc-aggregated@voorbeeld.nl’ (‘rua’), en forensische rapporten, gegenereerd bij elke mislukte controle (‘fo=1’), gaan naar ‘dmarc-forensic@voorbeeld.nl’ (‘ruf’). Zowel DKIM als SPF hanteren een strikte uitlijningsmodus (‘adkim=s; aspf=s’), en het beleid wordt toegepast op 100% van de e-mails (‘pct=100’).
Implementatie van een DMARC record
Het implementeren van een DMARC-record vereist zorgvuldige planning en uitvoering. Volg deze stappen om DMARC effectief in te stellen:
- Analyseer je huidige e-mailstromen: Identificeer alle systemen en diensten die e-mails verzenden namens je domein. Dit omvat interne mailservers, marketingplatforms en andere derde partijen.
- Stel SPF en DKIM in: Een DMARC-record functioneert alleen effectief als de SPF- en DKIM-records correct zijn ingesteld:
- SPF (Sender Policy Framework): Zorg ervoor dat alle geautoriseerde e-mailsystemen zijn opgenomen in je SPF-record. Een typisch SPF-record ziet eruit als:
v=spf1 include:voorbeeld.nl -all
- DKIM (DomainKeys Identified Mail): Configureer je DKIM-record zodat uitgaande e-mails worden ondertekend. Dit omvat het genereren van een publieke en private sleutel en het publiceren van de publieke sleutel in je DNS-record.
- SPF (Sender Policy Framework): Zorg ervoor dat alle geautoriseerde e-mailsystemen zijn opgenomen in je SPF-record. Een typisch SPF-record ziet eruit als:
- Maak een DMARC-record aan: Stel een DMARC-record op basis van je beveiligings- en rapportagebehoeften. Begin met een p=none beleid om te monitoren en later op te schalen naar quarantine of reject.
- Publiceer het DMARC-record in je DNS: Voeg het DMARC-record toe aan je DNS-instellingen. De exacte procedure varieert afhankelijk van je DNS-provider, maar het proces omvat meestal het aanmaken van een TXT-record op het domein _dmarc.jouwdomein.nl.
- Monitor rapportages: Gebruik de rua- en ruf-tags in je DMARC-record om rapporten te ontvangen. Analyseer deze rapporten om te begrijpen welke e-mails niet voldoen aan de authenticatieregels en waarom.
- Optimaliseer en schaal het beleid op: Zodra je inzicht hebt in je e-mailstromen en geen ongeautoriseerde e-mails worden verzonden, kun je het beleid opschalen naar quarantine of reject om proactief aanvallen te blokkeren.

Waarom is een DMARC-record belangrijk?
Bescherming tegen e-mailspoofing
E-mailspoofing is een van de meest voorkomende technieken die cybercriminelen gebruiken om ontvangers te misleiden. Door een DMARC-record in te stellen, voorkom je dat kwaadwillenden e-mails verzenden alsof ze van jouw domein afkomstig zijn.
Verbeterde e-maillevering
E-mails die niet voldoen aan SPF of DKIM worden vaak door spamfilters tegengehouden. Met een correct geconfigureerd record vergroot je de kans dat legitieme e-mails worden afgeleverd.
Inzicht in e-mailverkeer
De rapportages van DMARC bieden waardevol inzicht in wie e-mails namens jouw domein verstuurt. Dit helpt niet alleen bij beveiliging, maar ook bij operationele optimalisatie van je e-mailstromen.
Compliance met regelgeving
In sectoren waar gegevensbeveiliging van cruciaal belang is (zoals financiën en gezondheidszorg), kan het hebben van een DMARC-record helpen bij naleving van beveiligingsnormen en regelgeving.
Veelgemaakte fouten bij DMARC-records
- Geen SPF of DKIM ingesteld: Zonder SPF en DKIM kan DMARC niet effectief werken.
- Te snel opschalen naar ‘reject’: Begin met een ‘none’-beleid om monitoring mogelijk te maken.
- Verkeerde DNS-configuratie: Een kleine fout in het DMARC-record kan ervoor zorgen dat het niet correct functioneert.
- Onjuiste rapportagetags: Controleer of de e-mailadressen voor rua en ruf correct werken.
Conclusie
Een goed geconfigureerd DMARC-record is een krachtige tool om je domein te beschermen tegen e-mailfraude en phishingaanvallen. Door de juiste stappen te volgen en regelmatig de DMARC-rapportages te analyseren, kun je ervoor zorgen dat je e-mails veilig en betrouwbaar blijven.
Of je nu net begint met e-mailbeveiliging of je bestaande instellingen wilt optimaliseren, het instellen van een DMARC-record is een essentiële stap in het beschermen van je digitale communicatie.