Een DMARC record (Domain-based Message Authentication, Reporting & Conformance) is essentieel voor de beveiliging van je e-maildomein. Het beschermt tegen e-mail spoofing en phishing door te specificeren hoe ontvangende mailservers moeten omgaan met e-mails die niet voldoen aan de SPF- en DKIM-authenticatie. In dit artikel bespreken we de belangrijkste onderdelen van een DMARC record en hoe je deze effectief kunt implementeren.

Wat is een DMARC record?

Een DMARC record is een DNS-record dat domeineigenaren toevoegen aan hun Domain Name System. Dit record bepaalt hoe inkomende e-mails moeten worden behandeld als ze afkomstig lijken te zijn van het domein, maar niet slagen voor de SPF- of DKIM-controles. DMARC bouwt voort op bestaande e-mailauthenticatiemethoden zoals SPF en DKIM door een extra laag van verificatie en controle toe te voegen.

Belangrijke onderdelen van een DMARC record

Een DMARC-record bestaat uit verschillende tags die elk een specifieke functie hebben. De belangrijkste zijn:

  • v=DMARC1: Deze tag geeft aan dat het record DMARC is en moet altijd als eerste worden vermeld
  • p=policy: De ‘p’-tag bepaalt het beleid dat de ontvangende mailserver moet toepassen op e-mails die niet slagen voor de DMARC-controles. Er zijn drie mogelijke waarden:
    • none: Er wordt geen specifieke actie ondernomen; dit wordt vaak gebruikt voor monitoringdoeleinden.
    • quarantine: E-mails die niet voldoen aan de authenticatiecontroles worden in quarantaine geplaatst, vaak in de spammap.
    • reject: E-mails die niet slagen voor de authenticatiecontroles worden volledig afgewezen en niet bezorgd.
  • rua=mailto: De ‘rua’-tag specificeert het e-mailadres waarnaar geaggregeerde rapporten moeten worden gestuurd. Deze rapporten bevatten informatie over de e-mails die namens het domein zijn verzonden en hun authenticatiestatus.
  • ruf=mailto: De ‘ruf’-tag geeft het e-mailadres aan voor het ontvangen van forensische rapporten. Deze rapporten bieden gedetailleerde informatie over individuele e-mails die niet slaagden voor de DMARC-controles.
  • fo=waarde: De ‘fo’-tag (Failure Reporting Options) bepaalt onder welke omstandigheden forensische rapporten worden gegenereerd. Mogelijke waarden zijn:
    • 0: Genereert rapportage als alle mechanismen niet door de DMARC-check heen komen.
    • 1: Genereert rapportage wanneer een enkel mechanisme al faalt.
    • d: Genereert enkel wanneer de DKIM-signatuur niet geverifieerd kon worden.
    • s: Wanneer het SPF-record niet geverifieerd kon worden.
  • sp=policy: De ‘sp’-tag bepaalt het beleid voor subdomeinen. Als deze tag niet is ingesteld, geldt het hoofdbeleid (‘p’) ook voor subdomeinen.
  • adkim=mode: In welke mate DKIM geauthenticeerd moet worden:
    • r: Relaxed; de domeinen moeten overeenkomen, maar subdomeinen zijn toegestaan.
    • s: Strict; de domeinen moeten exact overeenkomen.
  • aspf=mode: In welke mate SPF geauthenticeerd moet worden, met dezelfde waarden als ‘adkim’.
  • pct=percentage: De ‘pct’-tag geeft het percentage van de berichten aan waarop het DMARC-beleid moet worden toegepast. Standaard is dit 100%.

Voorbeeld van een DMARC-record

Een voorbeeld van een DMARC record kan er als volgt uitzien:

v=DMARC1; p=reject; rua=mailto:dmarc-aggregated@voorbeeld.nl; ruf=mailto:dmarc-forensic@voorbeeld.nl; fo=1; sp=quarantine; adkim=s; aspf=s; pct=100;

In dit voorbeeld is het DMARC-record actief (‘v=DMARC1’) en ingesteld op een ‘reject’-beleid voor het hoofddomein (‘p=reject’), terwijl subdomeinen het ‘quarantine’-beleid volgen (‘sp=quarantine’). Geaggregeerde rapporten worden verzonden naar ‘dmarc-aggregated@voorbeeld.nl’ (‘rua’), en forensische rapporten, gegenereerd bij elke mislukte controle (‘fo=1’), gaan naar ‘dmarc-forensic@voorbeeld.nl’ (‘ruf’). Zowel DKIM als SPF hanteren een strikte uitlijningsmodus (‘adkim=s; aspf=s’), en het beleid wordt toegepast op 100% van de e-mails (‘pct=100’).

Implementatie van een DMARC record

Het implementeren van een DMARC-record vereist zorgvuldige planning en uitvoering. Volg deze stappen om DMARC effectief in te stellen:

  1. Analyseer je huidige e-mailstromen: Identificeer alle systemen en diensten die e-mails verzenden namens je domein. Dit omvat interne mailservers, marketingplatforms en andere derde partijen.
  2. Stel SPF en DKIM in: Een DMARC-record functioneert alleen effectief als de SPF- en DKIM-records correct zijn ingesteld:
    • SPF (Sender Policy Framework): Zorg ervoor dat alle geautoriseerde e-mailsystemen zijn opgenomen in je SPF-record. Een typisch SPF-record ziet eruit als:
      v=spf1 include:voorbeeld.nl -all
    • DKIM (DomainKeys Identified Mail): Configureer je DKIM-record zodat uitgaande e-mails worden ondertekend. Dit omvat het genereren van een publieke en private sleutel en het publiceren van de publieke sleutel in je DNS-record.
  3. Maak een DMARC-record aan: Stel een DMARC-record op basis van je beveiligings- en rapportagebehoeften. Begin met een p=none beleid om te monitoren en later op te schalen naar quarantine of reject.
  4. Publiceer het DMARC-record in je DNS: Voeg het DMARC-record toe aan je DNS-instellingen. De exacte procedure varieert afhankelijk van je DNS-provider, maar het proces omvat meestal het aanmaken van een TXT-record op het domein _dmarc.jouwdomein.nl.
  5. Monitor rapportages: Gebruik de rua- en ruf-tags in je DMARC-record om rapporten te ontvangen. Analyseer deze rapporten om te begrijpen welke e-mails niet voldoen aan de authenticatieregels en waarom.
  6. Optimaliseer en schaal het beleid op: Zodra je inzicht hebt in je e-mailstromen en geen ongeautoriseerde e-mails worden verzonden, kun je het beleid opschalen naar quarantine of reject om proactief aanvallen te blokkeren.
waarom is een dmarc record belangrijk?

Waarom is een DMARC-record belangrijk?

Bescherming tegen e-mailspoofing

E-mailspoofing is een van de meest voorkomende technieken die cybercriminelen gebruiken om ontvangers te misleiden. Door een DMARC-record in te stellen, voorkom je dat kwaadwillenden e-mails verzenden alsof ze van jouw domein afkomstig zijn.

Verbeterde e-maillevering

E-mails die niet voldoen aan SPF of DKIM worden vaak door spamfilters tegengehouden. Met een correct geconfigureerd record vergroot je de kans dat legitieme e-mails worden afgeleverd.

Inzicht in e-mailverkeer

De rapportages van DMARC bieden waardevol inzicht in wie e-mails namens jouw domein verstuurt. Dit helpt niet alleen bij beveiliging, maar ook bij operationele optimalisatie van je e-mailstromen.

Compliance met regelgeving

In sectoren waar gegevensbeveiliging van cruciaal belang is (zoals financiën en gezondheidszorg), kan het hebben van een DMARC-record helpen bij naleving van beveiligingsnormen en regelgeving.

Veelgemaakte fouten bij DMARC-records

  • Geen SPF of DKIM ingesteld: Zonder SPF en DKIM kan DMARC niet effectief werken.
  • Te snel opschalen naar ‘reject’: Begin met een ‘none’-beleid om monitoring mogelijk te maken.
  • Verkeerde DNS-configuratie: Een kleine fout in het DMARC-record kan ervoor zorgen dat het niet correct functioneert.
  • Onjuiste rapportagetags: Controleer of de e-mailadressen voor rua en ruf correct werken.

Conclusie

Een goed geconfigureerd DMARC-record is een krachtige tool om je domein te beschermen tegen e-mailfraude en phishingaanvallen. Door de juiste stappen te volgen en regelmatig de DMARC-rapportages te analyseren, kun je ervoor zorgen dat je e-mails veilig en betrouwbaar blijven.

Of je nu net begint met e-mailbeveiliging of je bestaande instellingen wilt optimaliseren, het instellen van een DMARC-record is een essentiële stap in het beschermen van je digitale communicatie.