Domain-based Message Authentication, Reporting, and Conformance, of DMARC, is een technische standaard die e-mailverzenders en ontvangers helpt beschermen tegen spam, spoofing en phishing.
Business in a box.
Ontdek onze oplossingen.
Praat met ons verkoopteam
Het begrijpen van DMARC
Domain-based Message Authentication, Reporting, and Conformance, or DMARC, is a technical standard that helps protect email senders and recipients from spam, spoofing, and phishing. DMARC allows an organization to publish a policy that defines its email authentication practices and provides instructions to receiving mail servers for how to enforce them. In this edition of “DMARC Explained” you’ll learn what DMARC is and how it works.
Specifically, DMARC establishes a method for a domain owner to:
Publish its email authentication practices
State what actions should be taken on mail that fails authentication checks
Enable reporting of these actions taken on mail claiming to be from its domain
DMARC itself is not itself an email authentication protocol, but it builds on key authentication standards SPF and DKIM. With them, it supplements SMTP, the basic protocol used to send email, because SMTP does not itself include any mechanisms for implementing or defining policies for email authentication.
Hoe werkt DMARC?
DMARC maakt gebruik van de gevestigde SPF- en DKIM-standaarden voor e-mailauthenticatie. Het maakt ook gebruik van het goed gevestigde Domain Name System (DNS). In algemene termen werkt het proces van DMARC-validatie als volgt:
Een domeinbeheerder publiceert het beleid dat zijn e-mailauthenticatiepraktijken definieert en hoe ontvangende mailservers moeten omgaan met mails die dit beleid schenden. Dit DMARC-beleid wordt vermeld als onderdeel van de algehele DNS-records van het domein.
Wanneer een inkomende mailserver een e-mail ontvangt, gebruikt hij DNS om het DMARC-beleid op te zoeken voor het domein dat is opgenomen in de "From" (RFC 5322) header van het bericht. De inkomende server controleert vervolgens het bericht op drie belangrijke factoren:
Valideert de DKIM-handtekening van het bericht?
Kwam het bericht van IP-adressen die zijn toegestaan door de SPF-records van het verzendende domein?
Toont de headers in het bericht correcte "domeinafwijking"?
Met deze informatie is de server klaar om het DMARC-beleid van het verzendende domein toe te passen om te beslissen of het e-mailbericht moet worden geaccepteerd, geweigerd of anders gemarkeerd.
Na het toepassen van het DMARC-beleid om de juiste afhandeling voor het bericht te bepalen, meldt de ontvangende mailserver de uitkomst aan de eigenaar van het verzendende domein.
Wat is een DMARC-record?
A DMARC record is included in an organization’s DNS database. An DMARC record is a specially-formatted version of a standard DNS TXT record with a particular name, namely “_dmarc.mydomain.com” (note the leading underscore). A DMARC record looks something like this: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Reading left-to-right in plain English, this record says:
v=DMARC1 specifies the DMARC version
p=none specifies the preferred treatment, or DMARC policy
rua=mailto:dmarc-aggregate@mydomain.com is the mailbox to which aggregate reports should be sent
ruf=mailto:dmarc-afrf@mydomain.com is the mailbox to which forensic reports should be sent
pct=100 is the percentage of mail to which the domain owner would like to have its policy applied
Additional configuration options are available for a domain owner to use in its DMARC policy record as well, but these are the basics.
Wat betekent DMARC domeinuitlijning?
“Domain alignment” is a concept in DMARC that expands the domain validation intrinsic to SPF and DKIM. DMARC domain alignment matches a message’s “from” domain with information relevant to these other standards:
For SPF, the message’s From domain and its Return-Path domain must match
For DKIM, the message’s From domain and its DKIM d= domain must match
The alignment can be relaxed (matching base domains, but allowing different subdomains) or strict (precisely matching the entire domain). This choice is specified in the published DMARC policy of the sending domain.
Wat zijn DMARC p= policies?
The DMARC specification provides three choices for domain owners to use to specify their preferred treatment of mail that fails DMARC validation checks. These “p= policies” are:
none: treat the mail the same as it would be without any DMARC validation
quarantine: accept the mail but place it somewhere other than the recipient’s inbox (typically the spam folder)
reject: reject the message outright
Remember that the domain owner can only request, not force, enforcement of its DMARC record; it’s up to the inbound mail server to decide whether or not to honor the requested policy.
Wat is een DMARC-rapport?
DMARC reports are generated by inbound mail servers as part of the DMARC validation process. There are two formats of DMARC reports:
Aggregate reports, which are XML documents showing statistical data about the messages received that claimed to be from a particular domain. Date reported includes authentication results and message disposition. Aggregate reports are designed to be machine-readable.
Forensic reports, which are individual copies of messages which failed authentication, each enclosed in a full email message using a special format called AFRF. Forensic report can be useful both for troubleshooting a domain’s own authentication issues and for identifying malicious domains and web sites.
Hoe verhoudt DMARC zich tot SPF, DKIM of andere standaarden?
DKIM, SPF, and DMARC are all standards that enable different aspects of email authentication. They address complementary issues.
SPF allows senders to define which IP addresses are allowed to send mail for a particular domain.
DKIM provides an encryption key and digital signature that verifies that an email message was not faked or altered.
DMARC unifies the SPF and DKIM authentication mechanisms into a common framework and allows domain owners to declare how they would like email from that domain to be handled if it fails an authorization test.
Heb ik DMARC nodig?
Als u een bedrijf bent dat commerciële of transactionele e-mails verzendt, moet u zeker een of meer vormen van e-mailauthenticatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van DMARC helpt ontvangende mailservers bepalen hoe zij berichten moeten beoordelen die beweren van uw domein te zijn, en het is een van de belangrijkste stappen die u kunt nemen om uw afleverbaarheid te verbeteren.
Echter, standaarden zoals DMARC gaan maar tot op zekere hoogte; MessageBird en andere e-mailexperts raden aan een DMARC-e-mailauthenticatiebeleid te implementeren in de context van een complete berichtenstrategie.
