Bereik

Grow

Manage

Automate

Bereik

Grow

Manage

Automate

DMARC: Hoe bescherm je je e-mailreputatie

Bird

13 apr 2016

E-mail

1 min read

DMARC: Hoe bescherm je je e-mailreputatie

Bird

13 apr 2016

E-mail

1 min read

DMARC: Hoe bescherm je je e-mailreputatie

In deze post vertellen we je alles wat je moet weten over het gebruik van DMARC om je e-mailreputatie te beschermen, en geven we je tips over hoe je het voor je domeinen kunt instellen.

Een Effectieve Tool om Frauduleuze Mail te Bestrijden

Vaak genoemd in dezelfde adem als de e-mailauthenticatieprotocollen SPF en DKIM, is DMARC, of Domain-based Message Authentication, Reporting, and Conformance, op zichzelf geen authenticatieprotocol. In plaats daarvan is het doel van DMARC om ons, de domeineigenaren, in staat te stellen onze e-mailreputatie te beschermen door:

  • Het aankondigen van e-mailauthenticatiepraktijken,

  • Het verzoeken om behandeling voor e-mail die niet slaagt voor authenticatiecontroles, en

  • Het verzamelen van rapporten over e-mail die beweert van het domein te zijn.


DMARC kan een effectief hulpmiddel zijn voor ons in de strijd tegen frauduleuze e-mail die op onze domeinnaam gericht is (bijv. phishing en spoofing), en dat kan een hoger vertrouwen onder onze ontvangers voor onze e-mail promoten. Voor organisaties die end-to-end encryptie vereisen bovenop authenticatie, biedt het implementeren van S/MIME met efficiënte methoden voor het verzamelen van openbare sleutels van ontvangers extra beveiligingslagen. Dit hogere vertrouwen zou op zijn beurt moeten leiden tot een hogere betrokkenheid bij onze e-mail, en e-mail die geopend en genererende klikken krijgt, verhoogt de verkoop en een hogere ROI voor onze e-mailcampagnes.

Naast het beschermen van ons domein, voorspellen we dat het nu implementeren van DMARC een uitstekende manier zal zijn om ons domein "future-proof" te maken. Hier bij Bird geloven we dat naarmate de industrie overgaat op IPv6, het bijna zeker is dat het van een IP-gebaseerd reputatiemodel naar een domeingebaseerd reputatiemodel zal gaan. Domeingebaseerde reputatie vereist domeingebaseerde authenticatie, en DMARC, in samenwerking met DKIM en SPF, zal domeinen helpen een domeingebaseerde reputatie op te bouwen lang voordat dat absoluut noodzakelijk is.

In deze post vertellen we je alles wat je moet weten over het benutten van DMARC om je e-mailreputatie te beschermen en geven we je tips over hoe je het voor je domeinen instelt.

Termen om te weten

Voordat we beginnen met het instellen van DMARC voor uw domein, willen we ervoor zorgen dat we dezelfde taal spreken. Laten we beginnen met het definiëren van enkele termen die we door de rest van dit document zullen gebruiken.

RFC5322.From Domain

De RFC5322.From Domain is het domeindeel van het e-mailadres dat meestal wordt gezien door een ontvanger van onze e-mail wanneer deze wordt gelezen. In het volgende voorbeeld is het RFC5322.From domein "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM is een authenticatieprotocol dat een domein in staat stelt verantwoordelijkheid te nemen voor een bericht op een manier die door de ontvanger van het bericht kan worden gevalideerd; dit wordt gedaan door het gebruik van cryptografische handtekeningen die in de headers van het bericht worden ingevoegd terwijl deze het oorsprongspunt verlaten. Deze handtekeningen zijn feitelijk momentopnames van hoe het bericht er op dat moment uitzag, en de ontvanger kan deze momentopnames gebruiken om te zien of het bericht ongewijzigd op zijn bestemming is aangekomen. Het proces van het produceren en invoegen van deze momentopnames wordt DKIM-ondertekening genoemd, en het domein dat verantwoordelijk is voor het bericht door het te ondertekenen, voegt zijn naam in de header in een sleutel-waarde tag in als "d=signingDomain", en daarom wordt het aangeduid als het DKIM d= domein.

Return-Path Domain

Het Return-Path domein, soms het RFC5321. From Domain of het Mail From domein genoemd, is het domein waarnaar bounces worden gerouteerd; het is ook het domein waarop SPF-controles worden uitgevoerd tijdens de e-mailtransactie. Dit domein wordt meestal niet gezien door de ontvanger, tenzij de ontvanger voldoende bekend is om alle headers in een bepaald bericht te bekijken.

Standaard zal alle e-mail die via bird.com wordt verzonden birdmail.com als zijn Return-Path domein hebben, zoals in het volgende voorbeeld:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Om DMARC echter te laten werken voor uw domein, wilt u profiteren van een aangepast bounce-domein, een dat zal eindigen in hetzelfde domein als uw zendende domein, bijvoorbeeld bounces.yourdomain.com wanneer u yourdomain.com als uw zendende domein gebruikt.

Organisatorisch Domein

De term "Organisatorisch Domein" verwijst naar het domein dat werd ingediend bij een registrar om de aanwezigheid van het domein op het internet te creëren. Voor Bird zijn onze organisatorische domeinen bird.com en birdmail.com.

Domeinuitlijning

De laatste term om te begrijpen met betrekking tot DMARC is "Domeinuitlijning," en het komt in twee varianten: "relaxed" en "strict."

Ontspannen Domeinuitlijning

Twee domeinen worden gezegd een ontspannen domeinuitlijning te hebben wanneer hun organisatorische domeinen hetzelfde zijn. Bijvoorbeeld, a.mail.bird.com en b.foo.bird.com hebben een ontspannen domeinuitlijning vanwege hun gemeenschappelijke organisatorische domein, bird.com.

Strikte Domeinuitlijning

Twee domeinen worden gezegd in strikte domeinuitlijning te zijn als en alleen als ze identiek zijn. Dus, foo.bird.com en foo.bird.com zijn in strikte uitlijning, aangezien de twee domeinen identiek zijn. Aan de andere kant zijn foo.bird.com en bar.foo.bird.com alleen in ontspannen uitlijning.

DMARC Domeinuitlijning Eisen

Om DMARC-validatiecontroles te laten slagen, vereist DMARC dat er domeinuitlijning is als volgt:

  • Voor SPF moeten het RFC5322.From domein en het Return-Path domein in uitlijning zijn

  • Voor DKIM moeten het RFC5322.From domein en het DKIM d= domein in uitlijning zijn

De uitlijning kan ontspannen of strikt zijn, gebaseerd op het gepubliceerde beleid van het zendende domein.

Voordat we beginnen met het instellen van DMARC voor uw domein, willen we ervoor zorgen dat we dezelfde taal spreken. Laten we beginnen met het definiëren van enkele termen die we door de rest van dit document zullen gebruiken.

RFC5322.From Domain

De RFC5322.From Domain is het domeindeel van het e-mailadres dat meestal wordt gezien door een ontvanger van onze e-mail wanneer deze wordt gelezen. In het volgende voorbeeld is het RFC5322.From domein "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM is een authenticatieprotocol dat een domein in staat stelt verantwoordelijkheid te nemen voor een bericht op een manier die door de ontvanger van het bericht kan worden gevalideerd; dit wordt gedaan door het gebruik van cryptografische handtekeningen die in de headers van het bericht worden ingevoegd terwijl deze het oorsprongspunt verlaten. Deze handtekeningen zijn feitelijk momentopnames van hoe het bericht er op dat moment uitzag, en de ontvanger kan deze momentopnames gebruiken om te zien of het bericht ongewijzigd op zijn bestemming is aangekomen. Het proces van het produceren en invoegen van deze momentopnames wordt DKIM-ondertekening genoemd, en het domein dat verantwoordelijk is voor het bericht door het te ondertekenen, voegt zijn naam in de header in een sleutel-waarde tag in als "d=signingDomain", en daarom wordt het aangeduid als het DKIM d= domein.

Return-Path Domain

Het Return-Path domein, soms het RFC5321. From Domain of het Mail From domein genoemd, is het domein waarnaar bounces worden gerouteerd; het is ook het domein waarop SPF-controles worden uitgevoerd tijdens de e-mailtransactie. Dit domein wordt meestal niet gezien door de ontvanger, tenzij de ontvanger voldoende bekend is om alle headers in een bepaald bericht te bekijken.

Standaard zal alle e-mail die via bird.com wordt verzonden birdmail.com als zijn Return-Path domein hebben, zoals in het volgende voorbeeld:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Om DMARC echter te laten werken voor uw domein, wilt u profiteren van een aangepast bounce-domein, een dat zal eindigen in hetzelfde domein als uw zendende domein, bijvoorbeeld bounces.yourdomain.com wanneer u yourdomain.com als uw zendende domein gebruikt.

Organisatorisch Domein

De term "Organisatorisch Domein" verwijst naar het domein dat werd ingediend bij een registrar om de aanwezigheid van het domein op het internet te creëren. Voor Bird zijn onze organisatorische domeinen bird.com en birdmail.com.

Domeinuitlijning

De laatste term om te begrijpen met betrekking tot DMARC is "Domeinuitlijning," en het komt in twee varianten: "relaxed" en "strict."

Ontspannen Domeinuitlijning

Twee domeinen worden gezegd een ontspannen domeinuitlijning te hebben wanneer hun organisatorische domeinen hetzelfde zijn. Bijvoorbeeld, a.mail.bird.com en b.foo.bird.com hebben een ontspannen domeinuitlijning vanwege hun gemeenschappelijke organisatorische domein, bird.com.

Strikte Domeinuitlijning

Twee domeinen worden gezegd in strikte domeinuitlijning te zijn als en alleen als ze identiek zijn. Dus, foo.bird.com en foo.bird.com zijn in strikte uitlijning, aangezien de twee domeinen identiek zijn. Aan de andere kant zijn foo.bird.com en bar.foo.bird.com alleen in ontspannen uitlijning.

DMARC Domeinuitlijning Eisen

Om DMARC-validatiecontroles te laten slagen, vereist DMARC dat er domeinuitlijning is als volgt:

  • Voor SPF moeten het RFC5322.From domein en het Return-Path domein in uitlijning zijn

  • Voor DKIM moeten het RFC5322.From domein en het DKIM d= domein in uitlijning zijn

De uitlijning kan ontspannen of strikt zijn, gebaseerd op het gepubliceerde beleid van het zendende domein.

Voordat we beginnen met het instellen van DMARC voor uw domein, willen we ervoor zorgen dat we dezelfde taal spreken. Laten we beginnen met het definiëren van enkele termen die we door de rest van dit document zullen gebruiken.

RFC5322.From Domain

De RFC5322.From Domain is het domeindeel van het e-mailadres dat meestal wordt gezien door een ontvanger van onze e-mail wanneer deze wordt gelezen. In het volgende voorbeeld is het RFC5322.From domein "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM is een authenticatieprotocol dat een domein in staat stelt verantwoordelijkheid te nemen voor een bericht op een manier die door de ontvanger van het bericht kan worden gevalideerd; dit wordt gedaan door het gebruik van cryptografische handtekeningen die in de headers van het bericht worden ingevoegd terwijl deze het oorsprongspunt verlaten. Deze handtekeningen zijn feitelijk momentopnames van hoe het bericht er op dat moment uitzag, en de ontvanger kan deze momentopnames gebruiken om te zien of het bericht ongewijzigd op zijn bestemming is aangekomen. Het proces van het produceren en invoegen van deze momentopnames wordt DKIM-ondertekening genoemd, en het domein dat verantwoordelijk is voor het bericht door het te ondertekenen, voegt zijn naam in de header in een sleutel-waarde tag in als "d=signingDomain", en daarom wordt het aangeduid als het DKIM d= domein.

Return-Path Domain

Het Return-Path domein, soms het RFC5321. From Domain of het Mail From domein genoemd, is het domein waarnaar bounces worden gerouteerd; het is ook het domein waarop SPF-controles worden uitgevoerd tijdens de e-mailtransactie. Dit domein wordt meestal niet gezien door de ontvanger, tenzij de ontvanger voldoende bekend is om alle headers in een bepaald bericht te bekijken.

Standaard zal alle e-mail die via bird.com wordt verzonden birdmail.com als zijn Return-Path domein hebben, zoals in het volgende voorbeeld:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Om DMARC echter te laten werken voor uw domein, wilt u profiteren van een aangepast bounce-domein, een dat zal eindigen in hetzelfde domein als uw zendende domein, bijvoorbeeld bounces.yourdomain.com wanneer u yourdomain.com als uw zendende domein gebruikt.

Organisatorisch Domein

De term "Organisatorisch Domein" verwijst naar het domein dat werd ingediend bij een registrar om de aanwezigheid van het domein op het internet te creëren. Voor Bird zijn onze organisatorische domeinen bird.com en birdmail.com.

Domeinuitlijning

De laatste term om te begrijpen met betrekking tot DMARC is "Domeinuitlijning," en het komt in twee varianten: "relaxed" en "strict."

Ontspannen Domeinuitlijning

Twee domeinen worden gezegd een ontspannen domeinuitlijning te hebben wanneer hun organisatorische domeinen hetzelfde zijn. Bijvoorbeeld, a.mail.bird.com en b.foo.bird.com hebben een ontspannen domeinuitlijning vanwege hun gemeenschappelijke organisatorische domein, bird.com.

Strikte Domeinuitlijning

Twee domeinen worden gezegd in strikte domeinuitlijning te zijn als en alleen als ze identiek zijn. Dus, foo.bird.com en foo.bird.com zijn in strikte uitlijning, aangezien de twee domeinen identiek zijn. Aan de andere kant zijn foo.bird.com en bar.foo.bird.com alleen in ontspannen uitlijning.

DMARC Domeinuitlijning Eisen

Om DMARC-validatiecontroles te laten slagen, vereist DMARC dat er domeinuitlijning is als volgt:

  • Voor SPF moeten het RFC5322.From domein en het Return-Path domein in uitlijning zijn

  • Voor DKIM moeten het RFC5322.From domein en het DKIM d= domein in uitlijning zijn

De uitlijning kan ontspannen of strikt zijn, gebaseerd op het gepubliceerde beleid van het zendende domein.

Hoe DMARC Werkt om Uw Emailreputatie te Beschermen

Wanneer we spreken van een mailboxprovider of een ander domein dat "DMARC controleert", of "DMARC valideert", of "DMARC-beleid toepast", bedoelen we dat het domein dat een bericht ontvangt de volgende stappen uitvoert:

  1. Vaststellen van het bericht's RFC5322.From-domein

  2. Opzoeken van dat domein's DMARC-beleid in DNS

  3. Uitvoeren van DKIM-handtekeningvalidatie

  4. Uitvoeren van SPF-validatie

  5. Controleren van domeinuitlijning

  6. Toepassen van DMARC-beleid


Om een bericht DMARC-validatie te laten doorstaan, moet het bericht slechts één van de twee authenticatie- en uitlijningscontroles doorstaan. Dus, een bericht zal DMARC-validatie doorstaan als een van de volgende waar is:

  • Het bericht slaagt voor SPF-controles en het RFC5322.From-domein en Return-Path-domein zijn op één lijn, of

  • Het bericht slaagt voor DKIM-validatie en het RFC5322.From-domein en DKIM d= domein zijn op één lijn, of

  • Beide bovenstaande zijn waar

DMARC Werkend Maken voor Uw Domein

Nu we de mechanica van DMARC hebben uitgelegd, laten we het hebben over hoe we DMARC voor ons kunnen laten werken, wat de volgende drie stappen omvat:

  1. Voorbereidingen treffen om DMARC-rapporten te ontvangen

  2. Beslissen welk DMARC-beleid voor je domein te gebruiken

  3. Je DMARC-record publiceren

We zullen elk van deze hieronder in detail behandelen, maar we vertellen je direct dat stap 1 hierboven ongeveer 95% van je voorbereidingstijd zal innemen.

Voorbereiding voor het ontvangen van DMARC-rapporten

Elke domein dat een DMARC-beleid publiceert, moet eerst voorbereidingen treffen om rapporten over zijn domein te ontvangen. Deze rapporten zullen worden gegenereerd door elk domein dat DMARC-validatie uitvoert en mail ziet die beweert van ons domein te zijn, en zullen ons dagelijks worden toegezonden. De rapporten zullen in twee formaten komen:

  • Geaggregeerde rapporten, dit zijn XML-documenten die statistische gegevens tonen over hoeveel mail door de rapporteur van elke bron werd gezien, wat de authenticatieresultaten waren, en hoe de berichten door de rapporteur werden behandeld. Geaggregeerde rapporten zijn ontworpen om door machines te worden geparseerd, waarbij hun gegevens ergens worden opgeslagen om een algemene verkeersanalyse, controle van de berichtstromen van ons domein te kunnen uitvoeren, en wellicht trends te identificeren in bronnen van niet-geauthenticeerde, mogelijk frauduleuze e-mails.

  • Forensische rapporten, dit zijn individuele kopieën van berichten die niet door de authenticatie kwamen, elk ingesloten in een volledige e-mailbericht met een formaat genaamd AFRF. De forensische rapporten zouden volledige headers en berichtenlichamen moeten bevatten, maar veel rapporteurs verwijderen of redigeren enige informatie vanwege privacyoverwegingen. Niettemin kan het forensisch rapport nog steeds nuttig zijn voor zowel het oplossen van onze eigen authenticatieproblemen van het domein als voor het identificeren, aan de hand van URI's in de berichtenlichamen, van kwaadaardige domeinen en websites die worden gebruikt om klanten van de domeineigenaar te bedriegen.


De voorbereiding om deze rapporten te ontvangen houdt in dat eerst twee mailboxen in ons domein worden aangemaakt om deze rapporten te verwerken, zoals agg_reports@ourdomain.com en afrf_reports@ourdomain.com. Merk op dat die mailboxnamen volledig willekeurig zijn en er geen vereisten zijn voor de naamgeving van het lokale deel van de mailbox; we zijn vrij om namen te kiezen die we willen, maar houd ze gescheiden voor eenvoudigere verwerking.

Zodra de mailboxnamen zijn geselecteerd en aangemaakt in ons domein, is de volgende stap om tools in te zetten om deze mailboxen te lezen en gebruik te maken van de gegevens, vooral de geaggregeerde datarapporten, die weer zijn ontworpen om door machines te worden geparseerd, en niet door een mens te worden gelezen. De forensische rapporten daarentegen kunnen simpelweg beheersbaar zijn door ze zelf te lezen, maar onze mogelijkheid om dit te doen zal zowel afhangen van het begrip van onze mailclient over hoe berichten in het AFRF-formaat worden weergegeven als van het volume van de rapporten die we ontvangen.

Hoewel het voor ons mogelijk is om onze eigen tools te schrijven voor het verwerken van DMARC-rapporten, totdat Bird dergelijke diensten biedt aan bird.com klanten (iets waar we over nadenken, maar nog niet beloven), raden we aan om gebruik te maken van al beschikbare tools voor de taak.

Welke DMARC Policy te Gebruiken

De DMARC-specificatie biedt domeineigenaren drie keuzes om hun voorkeur behandeling van e-mail die geen DMARC-validatiecontrole doorstaat te specificeren. Ze zijn:

  • none, wat betekent dat de e-mail hetzelfde behandeld wordt als zonder DMARC-validatiecontroles

  • quarantine, wat betekent dat de e-mail geaccepteerd wordt, maar ergens anders geplaatst wordt dan de Inbox van de ontvanger (meestal de spammap)

  • reject, wat betekent dat het bericht direct afgewezen wordt


Het is belangrijk om te onthouden dat de domeineigenaar alleen een dergelijke behandeling kan verzoeken in zijn DMARC-record; het is aan de ontvanger van het bericht om te beslissen of ze het gevraagde beleid eerbiedigen of niet. Sommigen zullen dat doen, terwijl anderen misschien wat toegeeflijker zijn in het toepassen van beleid, zoals alleen e-mail naar de spambox sturen wanneer het beleid van de domein afwijzen is.

Wij raden al onze klanten aan om te beginnen met een beleid van none, simpelweg om veilig te zijn. Hoewel we vertrouwen hebben in ons vermogen om uw e-mail correct te verifiëren via DKIM-signing, is het nog steeds het beste om wat tijd te nemen om rapporten over uw domein te onderzoeken voordat u agressiever wordt met uw DMARC-beleid.

Uw DMARC-beleid publiceren

Het DMARC-beleid van een domein wordt aangekondigd door een DNS TXT-record te publiceren op een specifieke plaats in de DNS-naamruimte, namelijk “_dmarc.domainname.tld” (let op de voorloopunderscore). Een eenvoudig DMARC-beleidsrecord voor ons eerdere voorbeeld, joesbaitshop.com, zou er als volgt uit kunnen zien:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"

Bij het ontleden van dit record hebben we:

  • v=DMARC1 specificeert de DMARC-versie (1 is momenteel de enige keuze)

  • p=none specificeert de voorkeurbehandeling, of DMARC-beleid

  • rua=mailto:agg_reports@joesbait.com is de mailbox waarnaar geaggregeerde rapporten moeten worden verzonden

  • ruf=mailto:afrf_reports@joesbait.com is de mailbox waarnaar forensische rapporten moeten worden verzonden

  • pct=100 is het percentage e-mails waarop de domeineigenaar zijn beleid wil toepassen. Domeinen die net beginnen met DMARC, vooral die waarschijnlijk een groot aantal rapporten genereren, willen misschien hier met een veel lager aantal beginnen om te zien hoe hun rapportafhandelingsprocessen bestand zijn tegen de belasting.


Er zijn ook andere configuratie-opties beschikbaar voor een domeineigenaar om te gebruiken in zijn DMARC-beleidsrecord, maar de tips die we hebben gegeven zouden een goed begin moeten zijn.

Samenvatting

Er valt veel te ontdekken in de bovenstaande informatie! We hopen dat je de handleiding voor het maken van een DMARC-beleidsrecord nuttig vindt. We hopen ook dat onze uitleg over waarom DMARC belangrijk is, duidelijk maakt waarom je dit belangrijke hulpmiddel zou moeten gaan gebruiken om je e-mailreputatie te beschermen.

Natuurlijk is dit geen volledig of gezaghebbend document over dit onderwerp. Als je dieper wilt graven of meer hulp wilt, is een geweldige plek om te beginnen de officiële DMARC FAQ. En, het spreekt voor zich dat het Bird supportteam ook klaarstaat om je te helpen je Bird-account voor DMARC te configureren.

Bedankt voor het lezen—en begin vandaag nog met het beschermen van je domeinen met DMARC!

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.

Laten we je in contact brengen met een Bird-expert.
Bekijk de volledige kracht van de Bird in 30 minuten.

Door te verzenden, ga je ermee akkoord dat Bird contact met je mag opnemen over onze producten en diensten.

U kunt zich op elk moment afmelden. Zie Bird's Privacyverklaring voor details over gegevensverwerking.

R

Bereik

G

Grow

M

Manage

A

Automate

Nieuwsbrief

Blijf op de hoogte met Bird via wekelijkse updates in je inbox.