
In deze post vertellen we je alles wat je moet weten over het gebruik van DMARC om je e-mailreputatie te beschermen, en geven we je tips over hoe je het voor je domeinen kunt instellen.
Een Effectieve Tool om Frauduleuze Mail te Bestrijden
Vaak genoemd in dezelfde adem als de e-mailauthenticatieprotocollen SPF en DKIM, is DMARC, of Domain-based Message Authentication, Reporting, and Conformance, op zichzelf geen authenticatieprotocol. In plaats daarvan is het doel van DMARC om ons, de domeineigenaren, in staat te stellen onze e-mailreputatie te beschermen door:
Het aankondigen van e-mailauthenticatiepraktijken,
Het verzoeken om behandeling voor e-mail die niet slaagt voor authenticatiecontroles, en
Het verzamelen van rapporten over e-mail die beweert van het domein te zijn.
DMARC kan een effectief hulpmiddel zijn voor ons in de strijd tegen frauduleuze e-mail die op onze domeinnaam gericht is (bijv. phishing en spoofing), en dat kan een hoger vertrouwen onder onze ontvangers voor onze e-mail promoten. Voor organisaties die end-to-end encryptie vereisen bovenop authenticatie, biedt het implementeren van S/MIME met efficiënte methoden voor het verzamelen van openbare sleutels van ontvangers extra beveiligingslagen. Dit hogere vertrouwen zou op zijn beurt moeten leiden tot een hogere betrokkenheid bij onze e-mail, en e-mail die geopend en genererende klikken krijgt, verhoogt de verkoop en een hogere ROI voor onze e-mailcampagnes.
Naast het beschermen van ons domein, voorspellen we dat het nu implementeren van DMARC een uitstekende manier zal zijn om ons domein "future-proof" te maken. Hier bij Bird geloven we dat naarmate de industrie overgaat op IPv6, het bijna zeker is dat het van een IP-gebaseerd reputatiemodel naar een domeingebaseerd reputatiemodel zal gaan. Domeingebaseerde reputatie vereist domeingebaseerde authenticatie, en DMARC, in samenwerking met DKIM en SPF, zal domeinen helpen een domeingebaseerde reputatie op te bouwen lang voordat dat absoluut noodzakelijk is.
In deze post vertellen we je alles wat je moet weten over het benutten van DMARC om je e-mailreputatie te beschermen en geven we je tips over hoe je het voor je domeinen instelt.
Termen om te weten
Hoe DMARC Werkt om Uw Emailreputatie te Beschermen
Wanneer we spreken van een mailboxprovider of een ander domein dat "DMARC controleert", of "DMARC valideert", of "DMARC-beleid toepast", bedoelen we dat het domein dat een bericht ontvangt de volgende stappen uitvoert:
Vaststellen van het bericht's RFC5322.From-domein
Opzoeken van dat domein's DMARC-beleid in DNS
Uitvoeren van DKIM-handtekeningvalidatie
Uitvoeren van SPF-validatie
Controleren van domeinuitlijning
Toepassen van DMARC-beleid
Om een bericht DMARC-validatie te laten doorstaan, moet het bericht slechts één van de twee authenticatie- en uitlijningscontroles doorstaan. Dus, een bericht zal DMARC-validatie doorstaan als een van de volgende waar is:
Het bericht slaagt voor SPF-controles en het RFC5322.From-domein en Return-Path-domein zijn op één lijn, of
Het bericht slaagt voor DKIM-validatie en het RFC5322.From-domein en DKIM d= domein zijn op één lijn, of
Beide bovenstaande zijn waar
DMARC Werkend Maken voor Uw Domein
Nu we de mechanica van DMARC hebben uitgelegd, laten we het hebben over hoe we DMARC voor ons kunnen laten werken, wat de volgende drie stappen omvat:
Voorbereidingen treffen om DMARC-rapporten te ontvangen
Beslissen welk DMARC-beleid voor je domein te gebruiken
Je DMARC-record publiceren
We zullen elk van deze hieronder in detail behandelen, maar we vertellen je direct dat stap 1 hierboven ongeveer 95% van je voorbereidingstijd zal innemen.
Voorbereiding voor het ontvangen van DMARC-rapporten
Elke domein dat een DMARC-beleid publiceert, moet eerst voorbereidingen treffen om rapporten over zijn domein te ontvangen. Deze rapporten zullen worden gegenereerd door elk domein dat DMARC-validatie uitvoert en mail ziet die beweert van ons domein te zijn, en zullen ons dagelijks worden toegezonden. De rapporten zullen in twee formaten komen:
Geaggregeerde rapporten, dit zijn XML-documenten die statistische gegevens tonen over hoeveel mail door de rapporteur van elke bron werd gezien, wat de authenticatieresultaten waren, en hoe de berichten door de rapporteur werden behandeld. Geaggregeerde rapporten zijn ontworpen om door machines te worden geparseerd, waarbij hun gegevens ergens worden opgeslagen om een algemene verkeersanalyse, controle van de berichtstromen van ons domein te kunnen uitvoeren, en wellicht trends te identificeren in bronnen van niet-geauthenticeerde, mogelijk frauduleuze e-mails.
Forensische rapporten, dit zijn individuele kopieën van berichten die niet door de authenticatie kwamen, elk ingesloten in een volledige e-mailbericht met een formaat genaamd AFRF. De forensische rapporten zouden volledige headers en berichtenlichamen moeten bevatten, maar veel rapporteurs verwijderen of redigeren enige informatie vanwege privacyoverwegingen. Niettemin kan het forensisch rapport nog steeds nuttig zijn voor zowel het oplossen van onze eigen authenticatieproblemen van het domein als voor het identificeren, aan de hand van URI's in de berichtenlichamen, van kwaadaardige domeinen en websites die worden gebruikt om klanten van de domeineigenaar te bedriegen.
De voorbereiding om deze rapporten te ontvangen houdt in dat eerst twee mailboxen in ons domein worden aangemaakt om deze rapporten te verwerken, zoals agg_reports@ourdomain.com en afrf_reports@ourdomain.com. Merk op dat die mailboxnamen volledig willekeurig zijn en er geen vereisten zijn voor de naamgeving van het lokale deel van de mailbox; we zijn vrij om namen te kiezen die we willen, maar houd ze gescheiden voor eenvoudigere verwerking.
Zodra de mailboxnamen zijn geselecteerd en aangemaakt in ons domein, is de volgende stap om tools in te zetten om deze mailboxen te lezen en gebruik te maken van de gegevens, vooral de geaggregeerde datarapporten, die weer zijn ontworpen om door machines te worden geparseerd, en niet door een mens te worden gelezen. De forensische rapporten daarentegen kunnen simpelweg beheersbaar zijn door ze zelf te lezen, maar onze mogelijkheid om dit te doen zal zowel afhangen van het begrip van onze mailclient over hoe berichten in het AFRF-formaat worden weergegeven als van het volume van de rapporten die we ontvangen.
Hoewel het voor ons mogelijk is om onze eigen tools te schrijven voor het verwerken van DMARC-rapporten, totdat Bird dergelijke diensten biedt aan bird.com klanten (iets waar we over nadenken, maar nog niet beloven), raden we aan om gebruik te maken van al beschikbare tools voor de taak.
Welke DMARC Policy te Gebruiken
De DMARC-specificatie biedt domeineigenaren drie keuzes om hun voorkeur behandeling van e-mail die geen DMARC-validatiecontrole doorstaat te specificeren. Ze zijn:
none, wat betekent dat de e-mail hetzelfde behandeld wordt als zonder DMARC-validatiecontroles
quarantine, wat betekent dat de e-mail geaccepteerd wordt, maar ergens anders geplaatst wordt dan de Inbox van de ontvanger (meestal de spammap)
reject, wat betekent dat het bericht direct afgewezen wordt
Het is belangrijk om te onthouden dat de domeineigenaar alleen een dergelijke behandeling kan verzoeken in zijn DMARC-record; het is aan de ontvanger van het bericht om te beslissen of ze het gevraagde beleid eerbiedigen of niet. Sommigen zullen dat doen, terwijl anderen misschien wat toegeeflijker zijn in het toepassen van beleid, zoals alleen e-mail naar de spambox sturen wanneer het beleid van de domein afwijzen is.
Wij raden al onze klanten aan om te beginnen met een beleid van none, simpelweg om veilig te zijn. Hoewel we vertrouwen hebben in ons vermogen om uw e-mail correct te verifiëren via DKIM-signing, is het nog steeds het beste om wat tijd te nemen om rapporten over uw domein te onderzoeken voordat u agressiever wordt met uw DMARC-beleid.
Uw DMARC-beleid publiceren
Het DMARC-beleid van een domein wordt aangekondigd door een DNS TXT-record te publiceren op een specifieke plaats in de DNS-naamruimte, namelijk “_dmarc.domainname.tld” (let op de voorloopunderscore). Een eenvoudig DMARC-beleidsrecord voor ons eerdere voorbeeld, joesbaitshop.com, zou er als volgt uit kunnen zien:
Bij het ontleden van dit record hebben we:
v=DMARC1 specificeert de DMARC-versie (1 is momenteel de enige keuze)
p=none specificeert de voorkeurbehandeling, of DMARC-beleid
rua=mailto:agg_reports@joesbait.com is de mailbox waarnaar geaggregeerde rapporten moeten worden verzonden
ruf=mailto:afrf_reports@joesbait.com is de mailbox waarnaar forensische rapporten moeten worden verzonden
pct=100 is het percentage e-mails waarop de domeineigenaar zijn beleid wil toepassen. Domeinen die net beginnen met DMARC, vooral die waarschijnlijk een groot aantal rapporten genereren, willen misschien hier met een veel lager aantal beginnen om te zien hoe hun rapportafhandelingsprocessen bestand zijn tegen de belasting.
Er zijn ook andere configuratie-opties beschikbaar voor een domeineigenaar om te gebruiken in zijn DMARC-beleidsrecord, maar de tips die we hebben gegeven zouden een goed begin moeten zijn.
Samenvatting
Er valt veel te ontdekken in de bovenstaande informatie! We hopen dat je de handleiding voor het maken van een DMARC-beleidsrecord nuttig vindt. We hopen ook dat onze uitleg over waarom DMARC belangrijk is, duidelijk maakt waarom je dit belangrijke hulpmiddel zou moeten gaan gebruiken om je e-mailreputatie te beschermen.
Natuurlijk is dit geen volledig of gezaghebbend document over dit onderwerp. Als je dieper wilt graven of meer hulp wilt, is een geweldige plek om te beginnen de officiële DMARC FAQ. En, het spreekt voor zich dat het Bird supportteam ook klaarstaat om je te helpen je Bird-account voor DMARC te configureren.
Bedankt voor het lezen—en begin vandaag nog met het beschermen van je domeinen met DMARC!