Het is voor cybercriminelen eigenlijk verdraaid makkelijk om e-mails te versturen waarin ze zich voordoen als iemand anders. Niet alleen qua vorm en inhoud, maar ook qua e-mailadres van de afzender. Voor de meeste ontvangers is het verschil tussen echte en valse e-mails niet meer te zien. En is het ontvangen van phishing e-mails niet al vervelend genoeg, het is nog vervelender als je merkt dat ze vanuit jouw domeinnaam worden verstuurd. Gelukkig is er een oplossing voor: DMARC. En er is nog een reden om niet langer te wachten met het beschermen van je domeinnaam. Vanaf februari 2024 gaan grote inbox providers als Gmail en Yahoo commerciële e-mails van grote verzenders zelfs weren uit de inbox als DMARC niet is ingesteld.

Waarom is DMARC de oplossing tegen domeinmisbruik?

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Deze internationale standaard beschermt je domeinnaam tegen misbruik van cybercriminelen. Met DMARC kun je als bedrijf, instelling of dienst zelf voorkomen dat er spam of phishing e-mails namens jouw domeinnaam worden verzonden naar nietsvermoedende ontvangers.

Het gevaar van phishing e-mails is met de opkomst van ramsomware de afgelopen jaren enorm toegenomen. Al zien we gelukkig in 2023 een trendbreuk in het aantal phishing-aanvallen wereldwijd. Een teken dat steeds meer organisaties de juiste maatregelen treffen.

Bron: APWG Phishing Activity Trends Reports 2022 – 2023

Maar je kunt computers nog zo goed beveiligen, de mens is zelf vaak de oorzaak van cyberaanvallen. Het benutten van de menselijke kwetsbaarheid blijft het meest aantrekkelijke en succesvolle pad voor cybercriminelen. Door zich voor te doen als een legitieme dienst worden ontvangers verleid om informatie te verstrekken, met maar één doel: geld aftroggelen van bedrijven, instellingen en particulieren. Daarnaast is misbruik van je domeinnaam schadelijk voor de betrouwbaarheid van je ‘merk’ en je organisatie. En, het heeft een negatief effect op de aflevering van je e-mails.

In het verleden zag je vooral dat domeinnamen van financiële instellingen werden misbruikt voor phishing e-mails. Denk aan banken en verzekeraars. Tegenwoordig worden ook andere bedrijven, instellingen en diensten erdoor getroffen. Denk aan online betaalsystemen, webwinkels, SaaS-diensten, overheidsinstellingen, pakketdiensten, et cetera. Het gaat meestal om transactionele of servicegerichte e-mails van betrouwbare partijen met een groot publiek.

Hoe werkt DMARC eigenlijk?

Ok, bereid je voor op een beetje techniek… DMARC wordt ingesteld op de server waarop je domeinnaam wordt gehost. Het maakt gebruik van SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) wat eveneens instellingen zijn van je domeinnaam.

Met SPF bepaal je welke mailservers e-mails namens jouw domein mogen versturen en naar welke server de rapportage van eventueel gebouncede e-mailadressen moet gaan. Dit kan ook een externe server zijn, bijvoorbeeld een E-mail Service Provider, zoals Spotler.

DKIM is een techniek waarbij je e-mails worden ondertekend met een digitale, versleutelde handtekening. Ontvangende mailservers zullen deze handtekening proberen te verifiëren aan de hand van een sleutel die alléén beschikbaar is op jouw domeinserver. Als dit lukt zal de e-mail netjes worden afgeleverd bij de ontvanger. Wanneer dit niet lukt komt DMARC om de hoek kijken. Enerzijds word je van het mislukken op de hoogte gesteld met een rapportage, anderzijds treedt het DMARC-beleid in werking. Dat laatste kun je ook weer zelf bepalen. Er zijn verschillende mogelijkheden, maar het komt in feite neer op de e-mail tegenhouden of toch verzenden naar de ontvanger. En omdat de afzender kan worden geverifieerd, helpt DMARC ook te voorkomen dat je e-mails onterecht als spam worden gezien.

Voorkom dat je e-mails worden geweigerd door Gmail en Yahoo

Nog niet overtuigd van DMARC? Misschien trekken de nieuwe maatregelen van Gmail en Yahoo je over de streep. Vanaf 1 februari 2024 implementeren Gmail en Yahoo nieuwe maatregelen om de inbox beter te beveiligen en spam te verminderen. Het komt erop neer dat marketing e-mails alleen nog in de inbox worden afgeleverd als ze voldoen aan de volgende drie eisen:

  1. Als kan worden vastgesteld dat de e-mail is verzonden door de eigenaar van het (afzender-) domein.
  2. Als ontvangers zich met één klik kunnen afmelden vanuit de e-mail. Niet pas na een tweede klik op een landingspagina.
  3. Als de e-mail onder een bepaalde spam rate blijft.

Deze maatregelen zijn vooralsnog alleen van toepassing op bulk-verzenders die meer dan 5.000 commerciële e-mails per dag versturen naar persoonlijke e-mailadressen van Gmail of Yahoo.

De verwachting is dat andere grote inbox providers het voorbeeld gaan volgen. E-mail als marketingkanaal wordt daarmee betrouwbaarder en professioneler. Dat is niet alleen prettig voor alle ontvangers, maar ook voor alle e-mailmarketeers.

De belangrijkste voordelen van DMARC op een rij

  • Het zorgt ervoor dat anderen niet namens jouw domeinnaam e-mails kunnen sturen.
  • Het maakt misbruik van je domein zichtbaar.
  • Het maakt het mogelijk om zelf het beleid te bepalen (als de verificatie mislukt).
  • Het draagt bij aan de professionalisering van het e-mailverkeer.
  • Het bevordert de betrouwbaarheid van je merk en organisatie.
  • Het helpt te voorkomen dat je e-mails onterecht als spam worden gezien.
  • En last-but-not-least: DMARC bevordert de aflevering van je e-mails in de inbox.

Wat moet je doen om DMARC in te stellen?

Hopelijk ben je niet teveel afschrikt door de achterliggende technieken van DMARC. Belangrijkste wat je moet onthouden is dat DMARC dé oplossing is om te voorkomen dat anderen namens jouw domein e-mails kunnen versturen.

Ben je daarvan overtuigd? Neem dan eens contact op met de technische mensen binnen je organisatie of de beheerder van je domeinnaam om de mogelijkheden en implicaties te bespreken. Bedenk goed dat als DMARC wordt ingesteld op je domein, dat je daarmee dus ook jezelf verplicht om op de juiste manier e-mails te versturen! Dat betekent dat alle systemen – interne en externe – die e-mails namens jouw domeinnaam versturen op die manier moeten gaan werken. Het instellen van DMARC op het domein is meestal zo geregeld, maar om alle verzendende mailservers zo ver te krijgen kan soms lastig zijn.

Ben je een verzender die meer dan 5.000 commerciële e-mails per dag verstuurt naar persoonlijke e-mailadressen van Gmail of Yahoo? Zorg er dan voor dat je ruim vóór 1 februari 2024 een technische IT-collega inschakelt om dit voor jouw domein op te lossen.

Gelukkig zijn de meeste E-mail Service Providers erop ingespeeld. Bij Spotler Mail+ en Spotler MailPro kun je het gebruik van DMARC zelfs eenvoudig voorbereiden, waarbij je volledige, duidelijke, domeinspecifieke instructies ontvangt die bedoeld zijn voor de beheerder van je domein. Succes!

Download het white paper over e-mail aflevering

SPF, DKIM en DMARC zijn erg belangrijk voor de aflevering van je mails. Maar er is nog veel meer waar je op kunt letten. Lees daarvoor onze guide ‘E-mail aflevering uitgelegd in 21 begrippen‘.