DMARC-uitlijning: Relaxte vs. strikte uitlijningsmodi

Blog

DMARC alignment is het uitlijnen (of matchen) van domeinen onder verschillende secties van je e-mailheader tijdens verificatiecontroles.

door Maitham Al Lawati

Leestijd: 8 min
DMARC-uitlijning: Relaxte vs. strikte uitlijningsmodi
Inhoudsopgave-

Door DMARC (Domain-based Message Authentication Reporting and Conformance) in te schakelen, wordt een reeks verificatiecheckmarkeringen ingeschakeld om te bepalen of een e-mail afkomstig is van de bron die wordt geclaimd. DMARC biedt een ongelooflijke flexibiliteit in termen van beleidsregels en afstemmingsmodi die door de domeineigenaar kunnen worden geconfigureerd om het gewenste beveiligingsniveau te bereiken.

DMARC Identifier alignment bevestigt dat de domeinnaam die is toegevoegd aan verschillende delen van een e-mailbericht correct is uitgelijnd, wat aangeeft dat de e-mail legitiem is en waarschijnlijk geen deel uitmaakt van phishing- of spoofingpogingen.

Belangrijkste conclusies

  1. DMARC-verificatie biedt een robuust kader om de legitimiteit van een e-mailbron te verifiëren.
  2. Afstemming van SPF- en DKIM-identifiers is essentieel voor het bereiken van DMARC-compliance en bescherming tegen spoofing.
  3. De keuze tussen een ontspannen en een strikte afstemming op DMARC hangt af van de e-mailpraktijken en beveiligingsdoelen van je organisatie.
  4. Het doorsturen van e-mails kan de afstemming op DMARC bemoeilijken en leidt vaak tot mislukte verificatie als dit niet goed wordt beheerd.
  5. Het controleren en aanpassen van je DMARC-instellingen kan de deliverability van e-mails aanzienlijk verbeteren en het risico op fraude verkleinen.

Wat is DMARC Alignment?

DMARC alignment is het uitlijnen (of matchen) van domeinen onder verschillende secties van je e-mailheader tijdens verificatiecontroles. DMARC alignment voor je e-mail als het bericht slaagt voor één of beide SPF en DKIM identifier alignments.

Om ervoor te zorgen dat uw e-mails legitiem zijn en beschermd tegen een reeks aanvallen van e-mailfraude, waaronder phishing, spoofing, ransomware en meer.

spf dkim

Het DMARC-verificatieprotocol controleert of DMARC identifiers overeenkomen om vast te stellen of een e-maildomein mogelijk spoofed is. Wanneer je e-mail wordt gevalideerd, controleert DMARC 3 identifiers:

Als de verificatie-identifiers voor SPF of DKIM op elkaar zijn afgestemd, is de e-mail DMARC-gericht en slaagt hij voor DMARC-verificatie en wordt hij veilig afgeleverd bij de inbox van de gebruiker.

Beveiliging vereenvoudigen met PowerDMARC!

15 dagen op proefBoek een demo

Hoe werkt DMARC Alignment?

spf dkim header

Om DMARC afstemming te begrijpen, moeten we begrijpen hoe het werkt. Wanneer je DMARC implementeert, koppel je de resultaten van SPF en DKIM om alle e-mails die van jouw domein komen te verifiëren. Voor elke e-mail gebruikt DMARC de zogenaamde 'centrale identiteit', het domein in de Van header. Dit wordt beschouwd als het domein van herkomst van je e-mail en bevat de domeinnaam van je organisatie.

Wanneer een e-mail van uw domein de ontvangende server bereikt, SPF het Return Path en DKIM valideert de gecodeerde handtekening. Beide controles vinden afzonderlijk plaats op twee verschillende domeinen. DMARC neemt het verificatieresultaat van beide en controleert of het domein dat wordt gebruikt in SPF of DKIM overeenkomt met het Van-domein (de centrale identiteit). Als een van beide waar is, is DMARC afgestemd.

Er is echter één klein probleem. Iedereen, inclusief criminelen, kan een domein kopen en SPF en DKIM. Theoretisch zou het dus mogelijk moeten zijn dat iemand een e-mail verstuurt met het domein van jouw organisatie in het Van: adres (de centrale identiteit) en het Return Path van zijn eigen domein door de SPF-verificatie laat komen. Gebruikers zien meestal alleen het Van: adres en niet het Return Path, dus ze zullen niet eens weten dat er een discrepantie is tussen de twee.

De rol van SPF en DKIM Identifier Alignment

Uw authenticatie-identificatie geeft aan of de afzender van uw e-mail al dan niet gemachtigd is om de e-mail namens uw domein te verzenden. Dit kan worden bepaald door de authenticiteit van de e-mail te controleren met SPF (Sender Policy Framework) of DKIM (DomainKeys Identified Mail). Op elkaar afgestemde e-mails passeren uiteindelijk verificatiecontroles van de afzender, die door ontvangende mailservers als basisvoorbeeld kunnen worden gebruikt om kwaadaardige of ongeautoriseerde e-mails af te bakenen en uit te filteren. 

Bij PowerDMARC gaan we nog een stap verder door uw berichten af te stemmen op zowel SPF- als DKIM-identifiers om u te helpen 100% DMARC-compliance voor uw e-mails te bereiken met een p=afwijzingsbeleid. Hierdoor ziet u zichtbare verbeteringen in de deliverability van uw e-mails en merkt u duidelijke verschillen in uw spam- en bouncepercentages in slechts een paar weken met adequate monitoring en hulp van ons toegewijde technische ondersteuningsteam. 

Welke factoren kunnen van invloed zijn op het uitlijnen van SPF- en DKIM-identificaties? 

  • Uw e-mailclients en e-mailserviceproviders van derden kunnen complicaties en mislukte afstemming veroorzaken
  • Uw doorgestuurde berichten kunnen niet worden uitgelijnd  

Wat is de oplossing?

PowerDMARC helpt u om al uw externe leveranciers correct en nauwkeurig op één lijn te brengen en om uw records op de portal eenvoudig aan te passen en bij te werken wanneer u meer services en leveranciers toevoegt, zodat uw legitieme e-mail de grootste kans heeft om uw klanten te bereiken. 

PowerDMARC helpt je bij het configureren van SPF, DKIM en ARC samen met DMARC om die lastige scenario's voor het doorsturen van e-mails aan te pakken waarbij tussenliggende servers wijzigingen in je e-mails kunnen aanbrengen, wat leidt tot ongewenste authenticatiefouten. 

Met de intuïtieve interface van PowerDMARC kunt u eenvoudig uw beleidsrecord upgraden naar maximale handhaving, waardoor uw domein adequaat wordt beschermd tegen e-mailspoofing en phishingaanvallen

DMARC uitlijningstypes: Strikte vs. Relaxte Identifier-uitlijningen 

DMARC identifier alignment kan van twee types zijn, gebaseerd op het niveau van ernst en precisie waarmee je je authenticatiecontroles wilt uitvoeren. Dit zijn ze: 

1. DMARC Ontspannen Uitlijning

Specifiek voor SPF en DKIM zijn er 2 soorten afstemming: relaxed en strikt. Als relaxte afstemming voor beide is geconfigureerd, betekent dit in wezen dat je relaxte afstemming hebt geïmplementeerd voor je algehele DMARC-implementatie.

Voor zowel SPF als DKIM geldt dat in een ontspannen uitlijningsmodus, zelfs als het domein in de opdracht Mail Van en de domeinen in de header Return-path of bounce e-mailadres (voor SPF) en DKIM handtekening (voor DKIM) organisatorisch overeenkomen, DMARC-uitlijning een overeenkomst is. Vervolgens worden in dit scenario zelfs subdomeinen uitgelijnd op DMARC.

De e-mail moet door de DMARC-authenticatie aan de kant van de e-mailontvanger komen als het headerdomein overeenkomt met een van de afstemmingsvereisten.

DMARC ontspannen afstemming voorbeeld

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r

Uitlijningsinstellingen gedecodeerd: De DMARC-tags "aspf" en "adkim" zijn de respectieve uitlijningstags om de modus van je keuze te definiëren, en "r" staat voor relaxed.

2. DMARC strikte afstemming

Als de domeineigenaren strikte afstemming inschakelen voor zowel SPF als DKIM, betekent dit in wezen dat je een strikte modus hebt geïmplementeerd voor je algehele DMARC-implementatie.

Voor beide protocollen geldt dat in een strikte uitlijningsmodus alleen als het domein in de Van header en de domeinen in de Return-path (voor SPF) en DKIM signature (voor DKIM) headers een exacte match zijn, de DMARC uitlijningscontrole een match is. Daarom worden subdomeinen in dit scenario niet uitgelijnd tegen DMARC.

DMARC strikte afstemming met voorbeelden

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s

Uitlijningsinstellingen gedecodeerd: De DMARC-tags "aspf" en "adkim" zijn de respectieve uitlijningsmodus-tags om de modus van je keuze te definiëren, en "s" staat voor het uitlijningsdoel, dat strikt is.

Welke DMARC-uitlijningsmodus is beter?

De keuze tussen ontspannen en strikte DMARC afstemmingsmodi hangt af van het beleid van je organisatie voor het protocol voor e-mailverificatie, je tolerantie voor fout-positieven en je algemene beveiligingsdoelen.

De Relaxed modus biedt meer flexibiliteit en zal minder snel valse positieven produceren. Deze modus kan handig zijn als meerdere e-mailsystemen of -services e-mails verzenden namens uw domein en ze verschillende subdomeinen kunnen gebruiken. Deze modus is echter ook minder streng en kan sommige e-mails met kleine afwijkingen doorlaten, waardoor er ruimte ontstaat voor spoofing of phishingpogingen.

Het Strict-model dwingt een strikter afstemmingsbeleid af en zorgt ervoor dat het exacte domein in de "From"-header overeenkomt met de domeinen die zijn opgegeven in SPF en DKIM. Hoewel dit een betere bescherming biedt tegen spoofing en phishing, kan het minder vergevingsgezind zijn als uw e-mailinfrastructuur verschillende subdomeinen gebruikt voor legitieme doeleinden. Het implementeren van strikte afstemming kan een zorgvuldige configuratie en controle vereisen om te voorkomen dat legitieme e-mails worden geblokkeerd.

Hoe bewaak je e-mails op strikte DMARC-afstemming?

PowerDMARC helpt je bij het bewaken van je e-mails met een strikt DMARC-beleid met behulp van onze DMARC-analyser tool. Wij helpen u bij het traceren van uw e-mailverzendbronnen, controleren op uitlijningsfouten en optimaliseren uw verificatieconfiguratie rechtstreeks vanuit ons dashboard.

Neem contact met ons op vandaag nog om te beginnen!

Hoe DMARC-uitlijning voor e-mails controleren?

Om de DMARC-afstemming voor uw e-mailberichten te verifiëren, kunt u zich aanmelden bij de PowerDMARC-portal en de onderstaande stappen volgen: 

  • Ga naar Rapportage in het hoofdmenu 
  • Klik op DMARC-aggregaatrapporten en vouw de vervolgkeuzelijst uit
  • Selecteer Per resultaat uit de lijst
  • Bewaak je verzendbronnen per resultaat om DMARC-compliance en afstemmingsdetails voor elk individueel resultaat te bekijken

Wanneer DMARC Alignment slaagt 

DMARC-afstemming is geslaagd voor de e-mail als DKIM- en/of SPF-identifierafstemming geslaagd is, 

Waarom DMARC Alignment mislukt 

DMARC alignment failure treedt op wanneer DKIM noch SPF identifiers overeenkomen voor de e-mail. Dit gebeurt meestal wanneer het domein in de Mail From header niet overeenkomt met het domein in de return-path header en ook niet met het domein in de DKIM signature header. 

Wat is een Return Path-domein? 

Een return-path domein, ook bekend als het bounce adres of Envelope From domein is het domein dat je niet-bezorgde of gebouncede berichten ontvangt. In situaties waarin een e-mail wordt teruggestuurd of niet wordt afgeleverd, bevat het verborgen headerveld het Envelope From-domein waarnaar de e-mail wordt teruggestuurd. Zelfs als u als domeineigenaar services van derden inzet om uw e-mailberichten te routeren, kan de e-mail worden getraceerd naar het bovenliggende domein met behulp van het bounce-adres. Dit is een duidelijke afbakening tussen berichten die zijn verzonden door slechte acteurs en een echte afzender met goede bedoelingen.  

SPF-domein De SPF-uitlijning tijdens een DMARC-controle wordt bepaald door het domein in het retouradres. 

Wat is een DKIM-handtekeningdomein?

Een DKIM signature domain is de domeinnaam die wordt gebruikt tijdens het aanmaken van DKIM handtekeningen voor uw berichten, oftewel het signing domain. Wanneer de DKIM domein uitlijning validatie bezig is tijdens een DMARC controle, controleert de verzender of het DKIM handtekening domein in lijn is met het Van domein. DMARC alignment zal slagen in een relaxte DKIM modus als het organisatiedomein overeenkomt. In een strikte DKIM modus wordt DMARC alignment alleen geaccepteerd als er een exacte domeinovereenkomst is vastgesteld. 

Hoe het doorsturen van e-mails van invloed is op de afstemming op DMARC

Het doorsturen van e-mailservers en e-maildiscussielijsten zorgt voor complicaties bij de DMARC-afstemming doordat het "header from"-adres wordt herschreven naar het adres van de doorsturende server en er nieuwe elementen in de berichttekst en -inhoud worden opgenomen. Dit veroorzaakt mislukkingen bij SPF-uitlijning en DKIM-uitlijning doordat de identiteit van het Mail From-domein niet overeenkomt met het herschreven bounce-adres en de gewijzigde berichtinhoud. 

Hoe controleer je uitlijnfouten?

Om de afstemming te bewaken kun je samengevoegde rapporten en forensische rapporten (storingsrapportage) inschakelen, waarmee je je afstemmingsdoelen kunt bewaken en halen en deliverabilityproblemen sneller kunt oplossen.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten )
Webbeveiliging 101 - Beste praktijken en oplossingenWebbeveiliging 101 - Beste praktijken en oplossingenGoogle ARCGoogle neemt ARC op in de richtlijnen voor afzenders van e-mails in 2024