DMARC, wat staat voor Domain-based Message Authentication, Reporting, and Conformance, is een e-mailverificatieprotocol dat helpt bij het beschermen van je e-maildomein tegen phishing, spoofing en andere cyberaanvallen. Het werkt door het gebruik van twee andere e-mailverificatiemethoden, SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), en voegt daar een belangrijk element aan toe: het laat de domeineigenaar een beleid instellen dat aangeeft hoe ontvangende e-mailservers moeten omgaan met e-mails die falen in de verificatie.

Bijvoorbeeld partijen als Webwinkelkeur, ActiveCampaign en Mailerlite vragen je om je SPF, DKIM en DMARC op orde te hebben zodat e-mails via jouw server verstuurd kunnen worden naar je klanten.

Vanaf 1 februari 2024 hebben Google en Yahoo aangekondigd om hun regels m.b.t. spam door middel van DMARC te gaan verhogen. Meer hierover vind je in de DMARC aankondiging van Google zelf.

DMARC controleren

Hoe check je of je DMARC correct ingesteld is? Daarvoor kun je gebruik maken van de gratis tool van MXToolbox.com. Je vind deze hier: https://mxtoolbox.com/SuperTool.aspx. Als je hier je domein invoert en je klikt op DMARC lookup krijg je te zien welke records er aanwezig zijn in je DNS instellingen. Hieronder vind je een voorbeeld van een resultaat.

DMARC voorbeeld

Hoe stel je DMARC in?

Het instellen van DMARC gebeurt in een aantal stappen die hieronder beschreven staan. Zorg in ieder geval voor DNS toegang bij je WordPress hosting. Daarnaast kun je online een DMARC record genereren via bijvoorbeeld deze website van de DMARC Generator.

1. Zorg ervoor dat SPF en DKIM zijn ingesteld

Voordat je DMARC kunt implementeren, moet je domein SPF- en DKIM-records correct geconfigureerd hebben. Deze records helpen bij het verifiëren van de herkomst en integriteit van de verzonden e-mails. Als je wilt testen of deze goed ingesteld staan kun je een e-mailtester gebruiken bijvoorbeeld of de ook gratis beschikbare tool van Mxtoolbox.com.

2. Maak een DMARC-record aan

Een DMARC-record is een TXT-record in de DNS-instellingen van je domein. Dit record specificeert het DMARC-beleid voor je domein. Je kunt deze dus zoals gezegd online genereren via de DMARC Generator.

Een volledig DMAR record kan er zo uit zien. Hierna volgt meer uitleg over de genoemde opties.

v=DMARC1; p=none; rua=mailto:yourreport@example.com;

3. DMARC-beleid

In het DMARC-record specificeer je het beleid (p=) dat aangeeft hoe ontvangende servers moeten omgaan met e-mails die niet aan de verificatie-eisen voldoen. Je kunt kiezen uit drie opties:

    • none: Doe niets met de niet-geverifieerde e-mails, maar stuur wel rapporten.
    • quarantine: Plaats niet-geverifieerde e-mails in de spammap of quarantaine.
    • reject: Weiger niet-geverifieerde e-mails volledig.

4. Specificeer rapportageadressen

Je kunt adressen toevoegen voor geaggregeerde rapporten rua=mailto:example@example.com en voor forensische rapporten ruf=mailto:example@example.com, waar je meldingen krijgt over de aflevering van e-mails en details over verificatiefouten. Als je beide opties wilt gebruiken kun je ze allebei toevoegen gescheiden door een ; Eventueel kun je ook meerdere e-mailadressen toevoegen door ze beiden toe te voegen met een komma er tussen.

RUA of RUF tag?

RUA staat voor “Reporting URI for Aggregate reports”. Het is één van de twee soorten rapporten die DMARC kan genereren; de andere optie is RUF (Reporting URI for Forensic reports).

Een RUA-tag in een DMARC-record vertelt ontvangende mailservers waar ze geweigerde rapporten over de authenticatie van e-mails die van het domein komen, naartoe moeten sturen. Deze rapporten bevatten samenvattingen van alle ontvangen e-mails die onder het DMARC-beleid van het domein vallen, inclusief informatie over of deze e-mails de SPF- en DKIM-controles hebben doorstaan, en of ze voldoen aan het DMARC-beleid van de verzender.

Hoe werkt RUA?

Wanneer je een DMARC-record instelt, kun je een RUA-tag opnemen die het e-mailadres specificeert voor het ontvangen van geaggregeerde rapporten. Bijvoorbeeld:

v=DMARC1; p=none; rua=mailto:report@example.com;

In dit voorbeeld, mailto:report@example.com is het adres waar de geaggregeerde rapporten naar gestuurd worden. Deze rapporten worden meestal dagelijks verzonden en bevatten waardevolle informatie over de authenticatie-status van e-mails, zoals het aantal dat is gepasseerd of gefaald heeft voor SPF en DKIM, welke actie er werd ondernomen op basis van het DMARC-beleid, en van welke IP-adressen de e-mails afkomstig waren.

Dit record zet DMARC voor je domein met een beleid (p=none) dat aangeeft dat e-mails die de verificatie niet doorstaan, niet actief worden geweigerd, maar dat er wel rapporten over deze e-mails worden verzonden naar yourreport@example.com.

DMARC-rapporten

  1. Inzicht in e-mailverkeer: RUA- en RUF-rapporten bieden inzicht in alle e-mails die namens jouw domein worden verzonden, inclusief legitieme e-mails en pogingen tot phishing of spoofing.
  2. Beleidsoptimalisatie: Door de gegevens in RUA-rapporten te analyseren, kun je het DMARC-beleid van jouw domein verfijnen om de leverbaarheid van legitieme e-mails te verbeteren en misbruik te verminderen.
  3. Beveiligingsincidenten opsporen: RUA-rapporten kunnen helpen bij het identificeren van ongeautoriseerde e-mailcampagnes en mogelijke beveiligingsinbreuken.
  4. Verbetering van de reputatie: Een goed geconfigureerd DMARC-beleid, ondersteund door regelmatige analyse van RUA-rapporten, kan de reputatie van jouw domein verbeteren, wat resulteert in een hogere leverbaarheid van e-mails.

Belangrijke (extra)opties in een DMARC-record:

  • v=DMARC1: De versie van DMARC die wordt gebruikt.
  • p=: Het beleid voor het omgaan met e-mails die falen in verificatie (none, quarantine, reject).
  • rua=: Adres voor geaggregeerde dagelijkse rapporten.
  • ruf=: Adres voor gedetailleerde forensische rapporten.
  • pct=: Het percentage van berichten waarop het beleid wordt toegepast.
  • aspf=: Uitlijningsmodus voor SPF (strikt of ontspannen).
  • adkim=: Uitlijningsmodus voor DKIM (strikt of ontspannen).

DMARC helpt je domein te beschermen tegen misbruik door te verzekeren dat alleen geautoriseerde e-mails worden geaccepteerd. Door SPF en DKIM te combineren met een duidelijk beleid voor de behandeling van e-mails, verhoogt DMARC de betrouwbaarheid van de e-mailauthenticatie en verbetert het de algemene e-mailveiligheid. Het instellen van DMARC kan in eerste instantie complex lijken, maar door de stappen te volgen en met een basisbeleid te beginnen, kun je geleidelijk de bescherming van je e-maildomein verbeteren.

Feedback

Heb je na het lezen van dit artikel nog vragen of zijn er onduidelijkheden? Werkt de code niet op jouw website? Laat het ons weten, dan kunnen wij je misschien verder helpen.

Feedback kennisbankartikel

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Mis geen WordPress tips meer.

Al 500+ webdesigners en marketeers ontvangen deze nieuwsbrief.

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Mis nooit meer website tips.

Al 500+ webdesigners en marketeers ontvangen onze nieuwsbrief.

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.