- nl
- en
DMARC: de wegwijzer die een malafide e-mail volgt (DNS-records: deel 4 van 4)
Na de introductie over DNS-records, en gedetailleerdere kijk op SPF- en DKIM-records, eindigt deze reeks met DMARC. Het record met de langste naam maar de kortste uitleg.
Met behulp van Domain-based Messaging, Authentication, Reporting and Conformance (DMARC) bepaalt dit record wat er moet gebeuren met e-mails die niet matchen met uw SPF- en DKIM-records.
Na het instellen van uw DNS-records zijn er drie mogelijkheden.
- Harde aanpak: niet-matchende e-mails worden geweigerd (indien u zeker bent dat u uw DNS-records en e-mail tooling goed hebt ingesteld).
- Middelmatige aanpak: niet-matchende e-mails arriveren in de spambox.
- Zachte aanpak: niet-matchende e-mails arriveren alsnog in de inbox van de geadresseerde (u riskeert natuurlijk dat vervalste e-mails het vertrouwen in uw naam misbruiken voor bv. phishing).
Domain-based Messaging, Authentication, Reporting and Conformance (DMARC)
DMARC is ontworpen om eigenaars van e-maildomeinen de mogelijkheid te bieden hun domein te beschermen tegen ongeoorloofd gebruik, algemeen bekend als e-mail spoofing. Het laat u toe om te beslissen wat er moet gebeuren met e-mails die niet voldoen aan de controle op SPF of DKIM en om een rapportering m.b.t. malafide e-mails op te zetten.
Telkens een mailserver een e-mail ontvangt, zal het nagaan of er voor de domeinnaam in het e-mailadres van de afzender een DMARC-record bestaat. Vervolgens zal het ook een controle doen van de SPF- en DKIM-records. Ten slotte zal het op basis van de instructies in het DMARC-record de inkomende e-mail accepteren, weigeren of aanduiden als spam.
Structuur DMARC-record
Opnieuw vormt ons eigen domein het voorbeeld. Het DMARC-record voor clipeum.be ziet er als volgt uit:
v=DMARC1; p=quarantine; sp=reject
- v=DMARC1
De gebruikte versie van de DMARC-standaard, hier versie 1.
- p=quarantine
De ‘policy’ voor e-mails die niet voldoen aan de SPF- of DKIM-controle.
Wij kiezen ervoor om die e-mails in quarantaine (spam) te laten zetten door de ontvangende mailserver.
Er kan ook gekozen worden voor:
‘none’ - geen actie ondernemen, dus e-mail accepteren
‘reject’ - de e-mail weigeren
- sp=reject
Het beleid voor subdomeinen van clipeum.be.
Omdat wij geen e-mails versturen vanuit een subdomain (bv. piet.janssens@subdomein.clipeum.be), en er dus ook geen SPF- of DKIM-records voor de subdomeinen zijn opgezet, worden dergelijke e-mails sowieso geweigerd.
Er zijn nog enkele extra opties die kunnen worden meegegeven aan het DMARC-record. Hieronder lichten we nog 3 veelgebruikte parameters uit:
- rua=mailto:dmarc-aggregate@mydomain.com
Het e-mailadres waar geaggregeerde DMARC-rapporten naartoe moeten worden gestuurd
- ruf=mailto:dmarc-afrf@mydomain.com
Het e-mailadres waar forensische (meer gedetailleerde) DMARC-rapporten naartoe moeten worden gestuurd
- pct=100
Het percentage van e-mails waarop het DMARC-beleid moet worden toegepast.
Conclusie
DMARC-records, gecombineerd met SPF- en DKIM-records, geven u veel controle over hoe er met valse e-mails dient te worden omgegaan. Bovendien kan u zelfs monitoring tools opzetten die u kunnen alarmeren wanneer een misconfiguratie e-mails verkeerdelijk in spam doet terechtkomen of wanneer er effectief valse e-mails in de naam van uw organisatie worden uitgestuurd.
Heeft u nog vragen over het nut van DMARC-records, of wenst u meer te weten over hoe u uw bedrijf bijkomend kan beschermen op het vlak van ICT-security? Neem vrijblijvend contact op en wij helpen u met plezier verder!
Wenst u uw inbox en (online) accounts in tussentijd al extra beschermen? Lees hoe sterke wachtwoorden en tweestapsverificatie uw informatiebeveiliging verhoogt.
Stijn Crevits – 04/06/2021