Business in a box.
Ontdek onze oplossingen.
Praat met ons verkoopteam
Op domein gebaseerde berichtenauthenticatie, rapportage en conformiteit, of DMARC, is een technische standaard die helpt bij het beschermen van e-mailverzenders en ontvangers tegen spam, spoofing en phishing.
Begrijpen van DMARC
Domain-gebaseerde Berichauthenticatie, Rapportage en Conformiteit, ofwel DMARC, is een technische standaard die helpt om e-mailafzenders en -ontvangers te beschermen tegen spam, spoofing en phishing. DMARC stelt een organisatie in staat om een beleid te publiceren dat haar e-mailauthenticatie praktijken definieert en instructies te geven aan ontvangende mailservers over hoe deze af te dwingen. In deze editie van “DMARC uitgelegd” leer je wat DMARC is en hoe het werkt.
Specifiek legt DMARC een methode vast voor een domeineigenaar om:
Zijn e-mailauthenticatie praktijken te publiceren
Aan te geven welke acties moeten worden ondernomen op mail die authenticatiecontroles niet doorstaat
Rapportage in te schakelen van deze acties die worden ondernomen op mail die beweert van zijn domein te komen
DMARC zelf is geen zelfstaand e-mailauthenticatieprotocol, maar het bouwt voort op belangrijke authenticatiestandaarden SPF en DKIM. Met deze standaarden vult het SMTP aan, het basisprotocol dat wordt gebruikt om e-mail te verzenden, omdat SMTP zelf geen mechanismen bevat voor het implementeren of definiëren van beleidsregels voor e-mailauthenticatie.
Hoe werkt DMARC?
DMARC vertrouwt op de gevestigde SPF- en DKIM-standaarden voor e-mailauthenticatie. Het maakt ook gebruik van het goed gevestigde Domeinnaamsysteem (DNS). In het algemeen werkt het proces van DMARC-validatie als volgt:
Een domeinbeheerder publiceert het beleid dat zijn e-mailauthenticatiepraktijken definieert en hoe ontvangende mailservers e-mails moeten behandelen die dit beleid schenden. Dit DMARC-beleid is opgenomen als onderdeel van de DNS-records van het domein.
Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, gebruikt deze DNS om het DMARC-beleid op te zoeken voor het domein in de "Van" (RFC 5322) header van het bericht. De inkomende server controleert vervolgens het bericht op drie belangrijke factoren:
Valideert de DKIM-handtekening van het bericht?
Kwam het bericht van IP-adressen die zijn toegestaan door de SPF-records van het verzendende domein?
Toont de headers in het bericht een juiste "domeinafstemming"?
Met deze informatie is de server klaar om het DMARC-beleid van het verzendende domein toe te passen om te beslissen of het e-mailbericht moet worden geaccepteerd, afgewezen of anderszins gemarkeerd.
Na het gebruik van het DMARC-beleid om de juiste bestemming voor het bericht te bepalen, zal de ontvangende mailserver het resultaat rapporteren aan de eigenaar van het verzendende domein.
Wat is een DMARC-record?
Een DMARC-record is opgenomen in de DNS-database van een organisatie. Een DMARC-record is een speciaal geformatteerde versie van een standaard DNS TXT-record met een specifieke naam, namelijk "_dmarc.mydomain.com" (let op de voorloopunderscore). Een DMARC-record ziet er ongeveer zo uit: _dmarc.mydomain.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100"
Van links naar rechts in eenvoudig Engels leest dit record als volgt:
v=DMARC1 specificeert de DMARC-versie
p=none specificeert de gewenste behandeling, of DMARC-beleid
rua=mailto:dmarc-aggregate@mydomain.com is de mailbox waarnaar verzamelde rapporten moeten worden gestuurd
ruf=mailto:dmarc-afrf@mydomain.com is de mailbox waarnaar forensische rapporten moeten worden gestuurd
pct=100 is het percentage e-mails waarop de domeineigenaar zijn beleid wil toepassen
Aanvullende configuratieopties zijn beschikbaar voor een domeineigenaar om te gebruiken in zijn DMARC-beleidsrecord, maar dit zijn de basisprincipes.
Wat betekent DMARC domeinuitlijning?
“Domeinuitlijning” is een concept in DMARC dat het domeinvalidatieproces uitbreidt dat inherent is aan SPF en DKIM. DMARC-domeinuitlijning stemt het 'from' domein van een bericht af met informatie die relevant is voor deze andere standaarden:
Voor SPF moeten het From-domein van het bericht en het Return-Path-domein overeenkomen
Voor DKIM moeten het From-domein van het bericht en het DKIM d= domein overeenkomen
De uitlijning kan worden versoepeld (overeenkomende basisdomeinen, maar verschillende subdomeinen toestaan) of strikt (het gehele domein precies laten overeenkomen). Deze keuze wordt gespecificeerd in het gepubliceerde DMARC-beleid van het verzendende domein.
Wat zijn DMARC p= beleidsregels?
De DMARC-specificatie biedt drie keuzes voor domeineigenaren om hun voorkeursbehandeling van e-mails die niet slagen voor de DMARC-validatiecontroles te specificeren. Deze "p= beleidsregels" zijn:
geen: behandel de e-mail hetzelfde als zonder enige DMARC-validatie
quarantaine: accepteer de e-mail maar plaats deze ergens anders dan de inbox van de ontvanger (meestal de spammap)
weigeren: wijs het bericht direct af
Vergeet niet dat de domeineigenaar alleen kan verzoeken en niet kan afdwingen, de handhaving van zijn DMARC-record; het is aan de inkomende mailserver om te beslissen of de aangevraagde beleidsregel wordt gehonoreerd of niet.
Wat is een DMARC-rapport?
DMARC-rapporten worden gegenereerd door inkomende mailservers als onderdeel van het DMARC-validatieproces. Er zijn twee formaten van DMARC-rapporten:
Geaggregeerde rapporten, dit zijn XML-documenten die statistische gegevens tonen over de berichten die beweerden van een specifiek domein te zijn. Gerapporteerde gegevens omvatten authenticatieresultaten en berichttoewijzing. Geaggregeerde rapporten zijn ontworpen om machineleesbaar te zijn.
Forensische rapporten, dit zijn individuele kopieën van berichten die de authenticatie niet hebben gehaald, elk ingesloten in een volledige e-mailbericht met behulp van een speciaal format genaamd AFRF. Forensische rapporten kunnen nuttig zijn voor zowel het oplossen van authenticatieproblemen van een eigen domein als voor het identificeren van kwaadaardige domeinen en websites.
Hoe verhoudt DMARC zich tot SPF, DKIM of andere standaarden?
DKIM, SPF en DMARC zijn allemaal standaarden die verschillende aspecten van e-mailauthenticatie mogelijk maken. Ze pakken complementaire problemen aan.
SPF stelt verzenders in staat om te bepalen welke IP-adressen zijn toegestaan om e-mail te verzenden voor een bepaald domein.
DKIM biedt een encryptiesleutel en digitale handtekening die verifieert dat een e-mailbericht niet is vervalst of gewijzigd.
DMARC verenigt de SPF- en DKIM-authenticatiemechanismen in een gemeenschappelijk kader en stelt domeineigenaren in staat te verklaren hoe ze willen dat e-mail van dat domein wordt behandeld als het een autorisatietest niet doorstaat.
Heb ik DMARC nodig?
Als u een bedrijf bent dat commerciële of transactionele e-mails verzendt, moet u zeker een of meer vormen van e-mailauthenticatie implementeren om te verifiëren dat een e-mail daadwerkelijk van u of uw bedrijf afkomstig is. Het correct configureren van DMARC helpt ontvangende mailservers bepalen hoe berichten moeten worden geëvalueerd die beweren van uw domein te zijn, en het is een van de belangrijkste stappen die u kunt nemen om uw bezorgbaarheid te verbeteren.
Standards zoals DMARC gaan echter maar zo ver; MessageBird en andere e-mailexperts raden aan om een DMARC e-mailauthenticatiebeleid te implementeren in de context van een complete berichtenstrategie.
