Na de introductie over DNS-records, en gedetailleerdere kijk op SPF- en DKIM-records, eindigt deze reeks met DMARC. Het record met de langste naam maar de kortste uitleg.

Met behulp van Domain-based Messaging, Authentication, Reporting and Conformance (DMARC) bepaalt dit record wat er moet gebeuren met e-mails die niet matchen met uw SPF- en DKIM-records.

Na het instellen van uw DNS-records zijn er drie mogelijkheden.

• Harde aanpak: niet-matchende e-mails worden geweigerd (indien u zeker bent dat u uw DNS-records en e-mail tooling goed hebt ingesteld).
• Middelmatige aanpak: niet-matchende e-mails arriveren in de spambox.
• Zachte aanpak: niet-matchende e-mails arriveren alsnog in de inbox van de geadresseerde (u riskeert natuurlijk dat vervalste e-mails het vertrouwen in uw naam misbruiken voor bv. phishing).

Domain-based Messaging, Authentication, Reporting and Conformance (DMARC)

DMARC is ontworpen om eigenaars van e-maildomeinen de mogelijkheid te bieden hun domein te beschermen tegen ongeoorloofd gebruik, algemeen bekend als e-mail spoofing. Het laat u toe om te beslissen wat er moet gebeuren met e-mails die niet voldoen aan de controle op SPF of DKIM en om een rapportering m.b.t. malafide e-mails op te zetten.

Telkens een mailserver een e-mail ontvangt, zal het nagaan of er voor de domeinnaam in het e-mailadres van de afzender een DMARC-record bestaat. Vervolgens zal het ook een controle doen van de SPF- en DKIM-records. Ten slotte zal het op basis van de instructies in het DMARC-record de inkomende e-mail accepteren, weigeren of aanduiden als spam.

Structuur DMARC-record

Opnieuw vormt ons eigen domein het voorbeeld. Het DMARC-record voor clipeum.be ziet er als volgt uit:

v=DMARC1; p=quarantine; sp=reject

• v=DMARC1

De gebruikte versie van de DMARC-standaard, hier versie 1.

• p=quarantine

De ‘policy’ voor e-mails die niet voldoen aan de SPF- of DKIM-controle.
Wij kiezen ervoor om die e-mails in quarantaine (spam) te laten zetten door de ontvangende mailserver.
Er kan ook gekozen worden voor:

‘none’ - geen actie ondernemen, dus e-mail accepteren
‘reject’ - de e-mail weigeren

• sp=reject

Het beleid voor subdomeinen van clipeum.be.
Omdat wij geen e-mails versturen vanuit een subdomain (bv. piet.janssens@subdomein.clipeum.be), en er dus ook geen SPF- of DKIM-records voor de subdomeinen zijn opgezet, worden dergelijke e-mails sowieso geweigerd.

Er zijn nog enkele extra opties die kunnen worden meegegeven aan het DMARC-record. Hieronder lichten we nog 3 veelgebruikte parameters uit:

• rua=mailto:dmarc-aggregate@mydomain.com

Het e-mailadres waar geaggregeerde DMARC-rapporten naartoe moeten worden gestuurd

• ruf=mailto:dmarc-afrf@mydomain.com

Het e-mailadres waar forensische (meer gedetailleerde) DMARC-rapporten naartoe moeten worden gestuurd

• pct=100

Het percentage van e-mails waarop het DMARC-beleid moet worden toegepast.

Conclusie

DMARC-records, gecombineerd met SPF- en DKIM-records, geven u veel controle over hoe er met valse e-mails dient te worden omgegaan. Bovendien kan u zelfs monitoring tools opzetten die u kunnen alarmeren wanneer een misconfiguratie e-mails verkeerdelijk in spam doet terechtkomen of wanneer er effectief valse e-mails in de naam van uw organisatie worden uitgestuurd.
 

Heeft u nog vragen over het nut van DMARC-records, of wenst u meer te weten over hoe u uw bedrijf bijkomend kan beschermen op het vlak van ICT-security? Neem vrijblijvend contact op en wij helpen u met plezier verder!

Wenst u uw inbox en (online) accounts in tussentijd al extra beschermen? Lees hoe sterke wachtwoorden en tweestapsverificatie uw informatiebeveiliging verhoogt.

 

Stijn Crevits – 04/06/2021