Wat is DMARC?
DMARC is een e-mailauthenticatiestandaard voor het controleren wie e-mails verstuurt en of de verzender de rechtmatige eigenaar is van het e-mailadres en de domeinnaam waarmee gemaild wordt. DMARC bevat meerdere records om dit te kunnen controleren, zodat ongewenste (en soms gevaarlijke) e-mails sneller kunnen worden gevonden.
Waar staat DMARC voor en wat doet het?
DMARC staat voor Domain-based Message Authentication, Reporting, and Conformance. In het Nederlands noemen we het Domeingebaseerde Bericht Authenticatie, Rapportage en Conformiteit. DMARC controleert op basis van DNS-records en e-mailheaders de authenticiteit van e-mailberichten en verzenders. Er zijn in totaal 3 soorten DMARC-beleidsvormen voor de omgang met de DMARC-authenticatie:
1. p=none
Bij p=none is het DMARC-beleid ingesteld op ‘niets’. Dat betekent dat alle e-mails die binnenkomen wel door de authenticatie van DMARC gaan, maar daar niet aan hoeven te voldoen. De ontvanger onderneemt geen actie bij e-mails die niet aan het DMARC-beleid voldoen; alle e-mails worden doorgelaten. Wel wordt er een rapportage gemaakt van de uitkomst van de DMARC-controle. Zo kunnen bedrijven monitoren wat er precies binnenkomt aan e-mails en hoeveel er daarvan voldoen aan de DMARC-authenticatie zonder dat er meteen actie op wordt ondernomen.
2. p=quarantine
Bij p=quarantine wordt een beleid gehanteerd waarbij e-mails die niet voldoen aan de DMARC-authenticatie meteen in quarantaine worden geplaatst. De ontvanger kan de e-mails terugvinden in de spammap en ze daar bekijken. Alles wat in de spammap terechtkomt, is niet alleen minder snel zichtbaar (het komt tenslotte niet in je inbox terecht!), maar wordt vooral ook gezien als een potentieel verdachte e-mail. De spammap is dan ook vernoemd naar ‘spam’: ongewenste e-mails die vaak reclame bevatten of zelfs phishing of spoofing bevatten. De ontvanger kan uiteindelijk zelf beslissen wat ze met de e-mail willen doen (negeren of overzetten naar de inbox en oppakken), maar de ‘verdachte’ e-mails worden wel al op een aparte plek bewaard.
3.p=reject
Het laatste is het p=reject DMARC-beleid. Wanneer dit beleid gevolgd wordt, zullen alle e-mails gecontroleerd worden met de DMARC-authenticatie en als ze daar niet doorheen komen of aan voldoen, worden de e-mails volledig afgewezen. E-mails die dus niet aan de DMARC-controle voldoen, zullen worden geweigerd en de verzender ontvangt een bericht dat de e-mail is geweigerd.
Dit is een beleid dat zorgvuldig moet worden uitgevoerd met veel controles, omdat er ook e-mails afgewezen kunnen worden die legitiem zijn. Het biedt de hoogste mate van bescherming tegen spoofing en phishing, maar kan dus ook de verkeerde e-mails afwijzen.
Hoe helpt DMARC bij e-mailbeveiliging?
DMARC controleert e-mails op basis van verschillende DNS-records die moeten bevestigen of een e-mail legitiem is of niet. Hierdoor kan sneller en gemakkelijker worden gecontroleerd of een e-mail door een betrouwbare bron op een betrouwbare manier is verstuurd, zonder dat er iets aan is veranderd tussen het verzenden en ontvangen.
Hoe gebruik je DMARC en hoe werkt het?
Om je DMARC op orde te maken, moet je je DNS-records instellen. Als domeineigenaar stel je je DMARC-beleidsrecords in via de DNS-instellingen van je domein. In deze records staat beschreven hoe er moet worden omgegaan met het verifiëren van inkomend e-mailverkeer en hoe ontvangende e-mailservers moeten omgaan met e-mails die niet voldoen aan de gestelde eisen.
Bij je DNS-records stel je ook in welke records worden meegegeven wanneer je een e-mail verstuurt en iemand anders deze ontvangt. Een record bestaat meestal uit meerdere onderdelen, ook wel ’tags’ genoemd. Na de tag geef je aan welk DMARC-beleid er moet worden uitgevoerd. Een paar voorbeelden van DMARC-records zijn:
- v=DMARC1; p=none; rua=mailto:dmarcrapport@voorbeeld.com. Dit is een record dat alleen de e-mails controleert en verder geen actie onderneemt. Wel stuurt het samenvattende rapporten over de ontvangen e-mails.
- v=DMARC1; p=quarantine; rua:mailto:dmarcrapport@voorbeeld.com. Dit record plaatst alle e-mails die niet voldoen aan de DMARC-check in quarantaine en stuurt hierover samenvattende rapporten.
- v=DMARC1; p=reject; rua=mailto:dmarcrapport@voorbeeld.com; ruf=mailto:dmarcrapport@voorbeeld.com; adkim=s; aspf=s. Dit record wijst alle e-mails af die niet voldoen aan de DMARC-controle, stuurt samenvattende en uitgebreide rapporten, en hanteert een strikte afstemming van SPF en DKIM.
Nadat je je records hebt ingesteld, doorloopt je e-mail een aantal stappen bij het ontvangen van e-mails: op het moment dat een e-mail wordt ontvangen, wordt gecontroleerd welke DMARC-records er aanwezig zijn van het afzenderdomein om te bepalen hoe de e-mail moet worden behandeld (op basis van het beleid van de afzender). Vervolgens wordt gecontroleerd of de e-mail voldoet aan de eisen die in de DMARC-records staan vermeld, zoals het afzenderdomein, het SPF-record en het DKIM. Afhankelijk van de uitkomst van deze authenticatie en het beleid dat is vastgelegd in de records, kan de ontvangende partij de e-mail accepteren, weigeren of in quarantaine zetten.
Welke voordelen heeft DMARC?
DMARC biedt een standaardstructuur waarop e-mails gecontroleerd kunnen worden door middel van verschillende records. Doordat dit een standaard is die iedereen kan gebruiken, zijn er ook een aantal voordelen voor het gebruik van DMARC:
- DMARC zorgt ervoor dat er (extra) checks en controles zijn op e-mailverkeer, waardoor zaken zoals spam, spoofing en phishing zo goed mogelijk worden voorkomen.
- DMARC biedt domeineigenaren de mogelijkheid om rapportages te ontvangen waarin inzichtelijk staat vermeld hoe hun domein wordt gebruikt voor e-mailverzendingen. In deze rapportage zit onder andere een lijst met e-mails die zijn verzonden vanuit het domein en alle authenticatiepogingen. Daarmee kunnen ze zien hoe het DMARC-beleid van hen werkt.
- Het DMARC-beleid wordt bepaald door de domeineigenaar en kan naar wens worden versoepeld of aangescherpt. Wanneer de domeineigenaar merkt dat het huidige beleid niet goed werkt, kunnen ze zelf het beleid aanpassen.
Zou je meer willen weten?
Heb je ons artikel gelezen en zou je graag meer willen weten over veilig e-mailverkeer en alles dat daarmee te maken heeft? Lees dan snel meer bij onze andere artikelen: