In deze post vertellen we je alles wat je moet weten over het gebruik van DMARC om je e-mailreputatie te beschermen, en geven we je tips over hoe je het voor je domeinen kunt instellen.
Een Effectieve Tool om Frauduleuze Mail te Bestrijden
Vaak genoemd in dezelfde adem als de e-mailverificatieprotocollen SPF en DKIM, is DMARC, of Domain-based Message Authentication, Reporting, and Conformance, op zichzelf geen authenticatieprotocol. In plaats daarvan is het doel van DMARC om ons, de domeineigenaren, in staat te stellen onze e-mailreputatie te beschermen door:
Het aankondigen van e-mailverificatiepraktijken,
Het verzoeken om behandeling voor e-mails die niet slagen voor authenticatiecontroles, en
Het vragen om rapporten over e-mails die beweren van ons domein te komen.
DMARC kan een effectief hulpmiddel voor ons zijn in onze strijd tegen frauduleuze e-mails die zich op onze domeinnaam richten (bijv. phishing en spoofing), en dat kan een hogere vertrouwensband bij onze ontvangers ten aanzien van onze e-mails bevorderen. Voor organisaties die end-to-end encryptie vereisen naast authenticatie, biedt de implementatie van S/MIME met efficiënte verzamelmethoden voor openbare sleutels van ontvangers extra beveiligingslagen. Dit hogere vertrouwen zou op zijn beurt moeten leiden tot een hogere betrokkenheid bij onze e-mails, en e-mails die geopend worden en klikken genereren, stimuleren verkopen en een hogere ROI voor onze e-mailcampagnes.
Naast het beschermen van ons domein, voorspellen we dat het implementeren van DMARC nu een uitstekende manier zal zijn om ons domein "future-proof" te maken. Hier bij Bird zijn we van mening dat als de industrie overschakelt naar IPv6, het bijna zeker is dat het zal overstappen van een reputatiemodel op basis van IP naar een reputatiemodel op basis van domeinen. Reputatie op basis van domeinen zal domeingeauthenticeerde verificatie vereisen, en DMARC, samen met DKIM en SPF, zal helpen domeinen een domeingeauthenticeerde reputatie op te bouwen lang voordat deze absoluut noodzakelijk is.
In dit bericht vertellen we je alles wat je moet weten over het benutten van DMARC om je e-mailreputatie te beschermen en geven we je aanwijzingen over hoe je het voor je domeinen kunt instellen.
Termen om te weten
Hoe DMARC Werkt om Uw Emailreputatie te Beschermen
Wanneer we spreken van een mailboxprovider of een ander domein dat "DMARC controleert", of "DMARC valideert", of "DMARC-beleid toepast", bedoelen we dat het domein dat een bericht ontvangt de volgende stappen uitvoert:
Vaststellen van het bericht's RFC5322.From-domein
Opzoeken van dat domein's DMARC-beleid in DNS
Uitvoeren van DKIM-handtekeningvalidatie
Uitvoeren van SPF-validatie
Controleren van domeinuitlijning
Toepassen van DMARC-beleid
Om een bericht DMARC-validatie te laten doorstaan, moet het bericht slechts één van de twee authenticatie- en uitlijningscontroles doorstaan. Dus, een bericht zal DMARC-validatie doorstaan als een van de volgende waar is:
Het bericht slaagt voor SPF-controles en het RFC5322.From-domein en Return-Path-domein zijn op één lijn, of
Het bericht slaagt voor DKIM-validatie en het RFC5322.From-domein en DKIM d= domein zijn op één lijn, of
Beide bovenstaande zijn waar
DMARC Werkend Maken voor Uw Domein
Nu we de mechanica van DMARC hebben uitgelegd, laten we het hebben over hoe we DMARC voor ons kunnen laten werken, wat de volgende drie stappen omvat:
Voorbereidingen treffen om DMARC-rapporten te ontvangen
Beslissen welk DMARC-beleid voor je domein te gebruiken
Je DMARC-record publiceren
We zullen elk van deze hieronder in detail behandelen, maar we vertellen je direct dat stap 1 hierboven ongeveer 95% van je voorbereidingstijd zal innemen.
Voorbereiding voor het ontvangen van DMARC-rapporten
Elke domein dat een DMARC-beleid publiceert, moet zich eerst voorbereiden op het ontvangen van rapporten over zijn domein. Deze rapporten worden gegenereerd door elk domein dat DMARC-validatie uitvoert en ziet dat e-mails afkomstig zijn van ons domein, en zullen ons minstens dagelijks worden toegestuurd. De rapporten verschijnen in twee formaten:
Aggregate reports, dit zijn XML-documenten die statistische gegevens tonen van hoeveel e-mail de rapporteur van elke bron heeft gezien, wat de authenticatieresultaten waren, en hoe de berichten door de rapporteur werden behandeld. Aggregate reports zijn ontworpen om door machines te worden verwerkt, zodat de gegevens op een plek kunnen worden opgeslagen voor algemene verkeersanalyse, het auditen van de berichtstromen van ons domein, en misschien de identificatie van trends in bronnen van niet-geauthentiseerde, mogelijk frauduleuze e-mails.
Forensic reports, dit zijn individuele kopieën van berichten die de authenticatie niet hebben doorstaan, elk bijgevoegd in een volledig e-mailbericht met behulp van een formaat genaamd AFRF. De forensic reports zouden volledige kopteksten en berichtlichamen moeten bevatten, maar veel rapporteurs verwijderen of redigeren sommige informatie vanwege privacyoverwegingen. Niettemin kan het forensic report nog steeds nuttig zijn, zowel voor het oplossen van de authenticatieproblemen van ons eigen domein als voor het identificeren, via URIs in de berichtlichamen, van kwaadaardige domeinen en websites die worden gebruikt voor fraude met de klanten van onze domeineigenaar.
De voorbereiding op het ontvangen van deze rapporten houdt in dat eerst twee mailboxen in ons domein worden aangemaakt om deze rapporten af te handelen, zoals agg_reports@ourdomain.com en afrf_reports@ourdomain.com. Merk op dat die mailboxnamen volledig willekeurig zijn en dat er geen vereisten zijn voor het benoemen van het lokale deel van de mailbox; we zijn vrij om namen naar wens te kiezen, maar houd ze gescheiden voor eenvoudigere verwerking.
Zodra de mailboxnamen zijn geselecteerd en aangemaakt in ons domein, is de volgende stap hier het opzetten van tools om deze mailboxen te lezen en de gegevens te gebruiken, vooral de aggregate data reporten, die opnieuw zijn ontworpen om door machines te worden verwerkt in plaats van door een mens te worden gelezen. De forensic reports daarentegen zouden beheersbaar kunnen zijn door ze zelf te lezen, maar ons vermogen om dit te doen zal afhangen van zowel ons mailclient's begrip van hoe berichten in het AFRF-formaat moeten worden weergegeven als van het aantal rapporten dat we ontvangen.
Hoewel het mogelijk is voor ons om onze eigen tools te schrijven om DMARC-rapporten te verwerken, totdat Bird dergelijke diensten biedt voor bird.com-klanten (iets wat we overwegen, maar nog niet beloven), raden we aan om gebruik te maken van tools die al beschikbaar zijn voor deze taak.
Welke DMARC Policy te Gebruiken
De DMARC-specificatie biedt domeineigenaren drie keuzes om hun voorkeur behandeling van e-mail die geen DMARC-validatiecontrole doorstaat te specificeren. Ze zijn:
none, wat betekent dat de e-mail hetzelfde behandeld wordt als zonder DMARC-validatiecontroles
quarantine, wat betekent dat de e-mail geaccepteerd wordt, maar ergens anders geplaatst wordt dan de Inbox van de ontvanger (meestal de spammap)
reject, wat betekent dat het bericht direct afgewezen wordt
Het is belangrijk om te onthouden dat de domeineigenaar alleen een dergelijke behandeling kan verzoeken in zijn DMARC-record; het is aan de ontvanger van het bericht om te beslissen of ze het gevraagde beleid eerbiedigen of niet. Sommigen zullen dat doen, terwijl anderen misschien wat toegeeflijker zijn in het toepassen van beleid, zoals alleen e-mail naar de spambox sturen wanneer het beleid van de domein afwijzen is.
Wij raden al onze klanten aan om te beginnen met een beleid van none, simpelweg om veilig te zijn. Hoewel we vertrouwen hebben in ons vermogen om uw e-mail correct te verifiëren via DKIM-signing, is het nog steeds het beste om wat tijd te nemen om rapporten over uw domein te onderzoeken voordat u agressiever wordt met uw DMARC-beleid.
Uw DMARC-beleid publiceren
Het DMARC-beleid van een domein wordt aangekondigd door het publiceren van een DNS TXT-record op een specifieke plaats in de DNS-namespace, namelijk "_dmarc.domainname.tld" (let op de onderstrepingstekening aan het begin). Een eenvoudig DMARC-beleidsrecord voor ons voorbeeld van eerder, joesbaitshop.com, kan er als volgt uitzien:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Als we dit record nader bekijken, hebben we:
v=DMARC1 geeft de DMARC-versie aan (1 is de enige keuze op dit moment)
p=none geeft de gewenste behandeling aan, of het DMARC-beleid
rua=mailto:agg_reports@joesbait.com is de mailbox waarnaar samenvattende rapporten moeten worden verzonden
ruf=mailto:afrf_reports@joesbait.com is de mailbox waarnaar forensische rapporten moeten worden verzonden
pct=100 is het percentage e-mail waarop de domeineigenaar zijn beleid zou willen laten toepassen. Domeinen die net beginnen met DMARC, vooral die welke waarschijnlijk een groot aantal rapporten genereren, willen hier misschien met een veel lager cijfer beginnen om te zien hoe hun proces voor het verwerken van rapporten bestand is tegen de belasting.
Er zijn ook andere configuratieopties beschikbaar voor een domeineigenaar om in zijn DMARC-beleidsrecord te gebruiken, maar de tips die we hebben gegeven, zouden een goed begin moeten zijn.
Samenvatting
Er valt veel te ontrafelen in de bovenstaande informatie! We hopen dat u de handleiding voor het maken van een DMARC-beleidsrecord nuttig vindt. We hopen ook dat onze uitleg over waarom DMARC belangrijk is, het duidelijk maakt waarom u dit belangrijke hulpmiddel zou moeten gaan gebruiken om uw e-mailreputatie te beschermen.
Natuurlijk is dit geen complete of gezaghebbende documentatie over het onderwerp. Als u dieper wilt graven of meer hulp wilt, is een geweldige plek om te beginnen de officiële DMARC FAQ. En het spreekt voor zich dat het Bird-ondersteuningsteam klaar staat om u te helpen uw Bird-account ook voor DMARC te configureren.
Bedankt voor het lezen—en begin vandaag nog met het beschermen van uw domeinen met DMARC!
