Domain-based Message Authentication, Reporting, and Conformance, of DMARC, is een technische standaard die e-mailverzenders en ontvangers helpt beschermen tegen spam, spoofing en phishing.
Domain-gebaseerde Berichtauthenticatie, Rapportage en Conformiteit, of DMARC, is een technische standaard die helpt om e-mailverzenders en ontvangers te beschermen tegen spam, vervalsing en phishing. DMARC stelt een organisatie in staat om een beleid te publiceren dat zijn praktijken voor e-mailauthenticatie definieert en geeft instructies aan ontvangende mailservers over hoe deze moeten worden gehandhaafd. In deze editie van “DMARC Uitgelegd” leer je wat DMARC is en hoe het werkt.
Specifiek stelt DMARC een methode vast voor een domeineigenaar om:
Zijn e-mailauthenticatiepraktijken te publiceren
Aan te geven welke acties moeten worden ondernomen bij mail die niet slaagt voor authenticatiecontroles
Rapportage van deze acties mogelijk te maken die worden ondernomen bij mails die beweren van zijn domein afkomstig te zijn
DMARC zelf is geen e-mailauthenticatieprotocol, maar het bouwt voort op belangrijke authenticatiestandaarden SPF en DKIM. Met hen, vult het SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat SMTP zelf geen mechanismen bevat voor het implementeren of definiëren van beleid voor e-mailauthenticatie.
Hoe werkt DMARC?
DMARC vertrouwt op de gevestigde SPF- en DKIM-standaarden voor e-mailauthenticatie. Het maakt ook gebruik van het goed gevestigde Domain Name System (DNS). In algemene termen werkt het proces van DMARC-validatie als volgt:
Een domeinbeheerder publiceert het beleid waarin de e-mailauthenticatiepraktijken worden gedefinieerd en hoe inkomende mailservers moeten omgaan met e-mails die dit beleid schenden. Dit DMARC-beleid wordt vermeld als onderdeel van de DNS-records van het domein.
Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, gebruikt het DNS om het DMARC-beleid voor het domein te zoeken dat in de "From" (RFC 5322) header van het bericht staat. De inkomende server controleert en evalueert vervolgens het bericht op drie belangrijke factoren:
Valideert de DKIM-handtekening van het bericht?
Kwam het bericht van IP-adressen die zijn toegestaan door de SPF-records van het verzendende domein?
Vertonen de headers in het bericht een juiste "domeinafstemming"?
Met deze informatie is de server klaar om het DMARC-beleid van het verzendende domein toe te passen om te beslissen of het de e-mail accepteert, afwijst of anderszins markeert.
Nadat het DMARC-beleid is gebruikt om de juiste verwerking van het bericht te bepalen, zal de inkomende mailserver het resultaat rapporteren aan de eigenaar van het verzendende domein.
Wat is een DMARC-record?
Een DMARC-record is opgenomen in de DNS-database van een organisatie. Een DMARC-record is een speciaal geformatteerde versie van een standaard DNS TXT-record met een specifieke naam, namelijk “_dmarc.mydomain.com” (let op de leidende underscore). Een DMARC-record ziet er ongeveer zo uit: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Van links naar rechts in gewoon Engels, zegt dit record:
v=DMARC1 specificeert de DMARC-versie
p=none specificeert de gewenste behandeling, of DMARC-beleid
rua=mailto:dmarc-aggregate@mydomain.com is de mailbox waarnaar samenvattende rapporten moeten worden verzonden
ruf=mailto:dmarc-afrf@mydomain.com is de mailbox waarnaar forensische rapporten moeten worden verzonden
pct=100 is het percentage e-mail waarop de domeineigenaar zijn beleid toegepast wil zien
Aanvullende configuratieopties zijn beschikbaar voor een domeineigenaar om te gebruiken in zijn DMARC-beleidsrecord, maar dit zijn de basisprincipes.
Wat betekent DMARC domeinuitlijning?
“Domeinuitlijning” is een concept in DMARC dat de domeinvalidatie uitbreidt die inherent is aan SPF en DKIM. DMARC-domeinuitlijning zorgt ervoor dat het 'from'-domein van een bericht overeenkomt met informatie die relevant is voor deze andere standaarden:
Voor SPF moeten het From-domein van het bericht en zijn Return-Path-domein overeenkomen
Voor DKIM moeten het From-domein van het bericht en zijn DKIM d= domein overeenkomen
De uitlijning kan ontspannen zijn (overeenkomende basisdomeinen, maar verschillende subdomeinen toestaan) of streng (het gehele domein precies overeen laten komen). Deze keuze wordt gespecificeerd in het gepubliceerde DMARC-beleid van het verzendende domein.
Wat zijn DMARC p= policies?
De DMARC-specificatie biedt domeineigenaren drie keuzes om hun voorkeur voor de behandeling van e-mails die niet slagen voor DMARC-validatiechecks, te specificeren. Deze “p= beleid” zijn:
geen: behandel de e-mail hetzelfde als zonder enige DMARC-validatie
quarantaine: accepteer de e-mail, maar plaats deze ergens anders dan de inbox van de ontvanger (meestal de spammap)
weigeren: weiger het bericht onmiddellijk
Onthoud dat de domeineigenaar alleen kan verzoeken, niet afdwingen, dat zijn DMARC-record wordt nageleefd; het is aan de inkomende mailserver om te besluiten of hij het gevraagde beleid al dan niet honoreert.
Wat is een DMARC-rapport?
DMARC-rapporten worden gegenereerd door inkomende mailservers als onderdeel van het DMARC-validatieproces. Er zijn twee formaten van DMARC-rapporten:
Aggregatierapporten, dit zijn XML-documenten die statistische gegevens tonen over de ontvangen berichten die beweerden van een bepaald domein te zijn. De gerapporteerde gegevens omvatten verificatieresultaten en berichtafhandeling. Aggregatierapporten zijn ontworpen om door machines gelezen te worden.
Forensische rapporten, dit zijn individuele kopieën van berichten die authenticatie hebben gefaald, elk opgesloten in een volledige e-mailbericht met behulp van een speciaal formaat genaamd AFRF. Forensische rapporten kunnen nuttig zijn zowel voor het oplossen van authenticatieproblemen van een domein als voor het identificeren van kwaadaardige domeinen en websites.
Hoe verhoudt DMARC zich tot SPF, DKIM of andere standaarden?
DKIM, SPF en DMARC zijn alle standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze pakken aanvullende kwesties aan.
SPF stelt afzenders in staat te bepalen welke IP-adressen zijn toegestaan om mail te versturen voor een bepaald domein.
DKIM biedt een encryptiesleutel en digitale handtekening die verifieert dat een e-mailbericht niet vervalst of gewijzigd is.
DMARC verenigt de SPF- en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe zij willen dat e-mail van dat domein wordt behandeld als het een autorisatietest niet doorstaat.
Heb ik DMARC nodig?
Als u een bedrijf bent dat commerciële of transactionele e-mails verzendt, moet u zeker een of meer vormen van e-mailauthenticatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van DMARC helpt ontvangende mailservers bepalen hoe zij berichten moeten beoordelen die beweren van uw domein te zijn, en het is een van de belangrijkste stappen die u kunt nemen om uw afleverbaarheid te verbeteren.
Echter, standaarden zoals DMARC gaan maar tot op zekere hoogte; MessageBird en andere e-mailexperts raden aan een DMARC-e-mailauthenticatiebeleid te implementeren in de context van een complete berichtenstrategie.