DMARC, wat staat voor Domain-based Message Authentication, Reporting, and Conformance, is een e-mailverificatieprotocol dat helpt bij het beschermen van je e-maildomein tegen phishing, spoofing en andere cyberaanvallen. Het werkt door het gebruik van twee andere e-mailverificatiemethoden, SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), en voegt daar een belangrijk element aan toe: het laat de domeineigenaar een beleid instellen dat aangeeft hoe ontvangende e-mailservers moeten omgaan met e-mails die falen in de verificatie.
Bijvoorbeeld partijen als Webwinkelkeur, ActiveCampaign en Mailerlite vragen je om je SPF, DKIM en DMARC op orde te hebben zodat e-mails via jouw server verstuurd kunnen worden naar je klanten.
Vanaf 1 februari 2024 hebben Google en Yahoo aangekondigd om hun regels m.b.t. spam door middel van DMARC te gaan verhogen. Meer hierover vind je in de DMARC aankondiging van Google zelf.
DMARC controleren
Hoe check je of je DMARC correct ingesteld is? Daarvoor kun je gebruik maken van de gratis tool van MXToolbox.com. Je vind deze hier: https://mxtoolbox.com/SuperTool.aspx. Als je hier je domein invoert en je klikt op DMARC lookup krijg je te zien welke records er aanwezig zijn in je DNS instellingen. Hieronder vind je een voorbeeld van een resultaat.
Hoe stel je DMARC in?
Het instellen van DMARC gebeurt in een aantal stappen die hieronder beschreven staan. Zorg in ieder geval voor DNS toegang bij je WordPress hosting. Daarnaast kun je online een DMARC record genereren via bijvoorbeeld deze website van de DMARC Generator.
1. Zorg ervoor dat SPF en DKIM zijn ingesteld
Voordat je DMARC kunt implementeren, moet je domein SPF- en DKIM-records correct geconfigureerd hebben. Deze records helpen bij het verifiëren van de herkomst en integriteit van de verzonden e-mails. Als je wilt testen of deze goed ingesteld staan kun je een e-mailtester gebruiken bijvoorbeeld of de ook gratis beschikbare tool van Mxtoolbox.com.
2. Maak een DMARC-record aan
Een DMARC-record is een TXT-record in de DNS-instellingen van je domein. Dit record specificeert het DMARC-beleid voor je domein. Je kunt deze dus zoals gezegd online genereren via de DMARC Generator.
Een volledig DMAR record kan er zo uit zien. Hierna volgt meer uitleg over de genoemde opties.
v=DMARC1; p=none; rua=mailto:yourreport@example.com;3. DMARC-beleid
In het DMARC-record specificeer je het beleid (p=) dat aangeeft hoe ontvangende servers moeten omgaan met e-mails die niet aan de verificatie-eisen voldoen. Je kunt kiezen uit drie opties:
-
- none: Doe niets met de niet-geverifieerde e-mails, maar stuur wel rapporten.
- quarantine: Plaats niet-geverifieerde e-mails in de spammap of quarantaine.
- reject: Weiger niet-geverifieerde e-mails volledig.
4. Specificeer rapportageadressen
Je kunt adressen toevoegen voor geaggregeerde rapporten rua=mailto:example@example.com en voor forensische rapporten ruf=mailto:example@example.com, waar je meldingen krijgt over de aflevering van e-mails en details over verificatiefouten. Als je beide opties wilt gebruiken kun je ze allebei toevoegen gescheiden door een ; Eventueel kun je ook meerdere e-mailadressen toevoegen door ze beiden toe te voegen met een komma er tussen.
RUA of RUF tag?
RUA staat voor “Reporting URI for Aggregate reports”. Het is één van de twee soorten rapporten die DMARC kan genereren; de andere optie is RUF (Reporting URI for Forensic reports).
Een RUA-tag in een DMARC-record vertelt ontvangende mailservers waar ze geweigerde rapporten over de authenticatie van e-mails die van het domein komen, naartoe moeten sturen. Deze rapporten bevatten samenvattingen van alle ontvangen e-mails die onder het DMARC-beleid van het domein vallen, inclusief informatie over of deze e-mails de SPF- en DKIM-controles hebben doorstaan, en of ze voldoen aan het DMARC-beleid van de verzender.
Hoe werkt RUA?
Wanneer je een DMARC-record instelt, kun je een RUA-tag opnemen die het e-mailadres specificeert voor het ontvangen van geaggregeerde rapporten. Bijvoorbeeld:
v=DMARC1; p=none; rua=mailto:report@example.com;In dit voorbeeld, mailto:report@example.com is het adres waar de geaggregeerde rapporten naar gestuurd worden. Deze rapporten worden meestal dagelijks verzonden en bevatten waardevolle informatie over de authenticatie-status van e-mails, zoals het aantal dat is gepasseerd of gefaald heeft voor SPF en DKIM, welke actie er werd ondernomen op basis van het DMARC-beleid, en van welke IP-adressen de e-mails afkomstig waren.
Dit record zet DMARC voor je domein met een beleid (p=none) dat aangeeft dat e-mails die de verificatie niet doorstaan, niet actief worden geweigerd, maar dat er wel rapporten over deze e-mails worden verzonden naar yourreport@example.com.
DMARC-rapporten
- Inzicht in e-mailverkeer: RUA- en RUF-rapporten bieden inzicht in alle e-mails die namens jouw domein worden verzonden, inclusief legitieme e-mails en pogingen tot phishing of spoofing.
- Beleidsoptimalisatie: Door de gegevens in RUA-rapporten te analyseren, kun je het DMARC-beleid van jouw domein verfijnen om de leverbaarheid van legitieme e-mails te verbeteren en misbruik te verminderen.
- Beveiligingsincidenten opsporen: RUA-rapporten kunnen helpen bij het identificeren van ongeautoriseerde e-mailcampagnes en mogelijke beveiligingsinbreuken.
- Verbetering van de reputatie: Een goed geconfigureerd DMARC-beleid, ondersteund door regelmatige analyse van RUA-rapporten, kan de reputatie van jouw domein verbeteren, wat resulteert in een hogere leverbaarheid van e-mails.