DMARC-uitlijning: Strikte versus ontspannen uitlijningsmodi

DMARC afstemming

Door DMARC in te schakelen, wordt een reeks verificatiecheckmarks ingesteld om te bepalen of een e-mail afkomstig is van de bron die wordt geclaimd. DMARC biedt een ongelooflijke flexibiliteit in termen van beleidsregels en afstemmingsmodi die door de domeineigenaar kunnen worden geconfigureerd om het gewenste beveiligingsniveau te bereiken. 

DMARC Identifier alignment bevestigt dat de domeinnaam die is toegevoegd aan verschillende delen van een e-mailbericht correct is uitgelijnd, wat aangeeft dat de e-mail legitiem is en waarschijnlijk geen deel uitmaakt van phishing- of spoofingpogingen.

Wat is DMARC Alignment?

DMARC-uitlijning is het proces van het uitlijnen (of matchen) van domeinen onder verschillende secties van je e-mailheader tijdens verificatiecontroles om ervoor te zorgen dat je e-mails legitiem zijn en beschermd tegen een reeks aanvallen van e-mailfraude zoals phishing, spoofing, ransomware en meer.

spf dkim

Het DMARC-verificatieprotocol controleert of DMARC identifiers overeenkomen om vast te stellen of een e-maildomein mogelijk spoofed is. Wanneer je e-mail wordt gevalideerd, controleert DMARC 3 identifiers:

  • De Van: koptekst
  • Het adres van het retourpad
  • De domeinnaam in de DKIM handtekening

Als de identifiers voor SPF of DKIM zijn uitgelijnd, is de e-mail DMARC uitgelijnd en voldoet hij aan de DMARC-verificatie en wordt hij veilig afgeleverd bij de inbox van de gebruiker.

Hoe werkt DMARC Alignment?

spf dkim header

Om DMARC alignment te begrijpen moeten we begrijpen hoe het werkt. Wanneer u DMARC implementeert, koppelt u de resultaten van SPF en DKIM om alle emails te authenticeren die van uw domein komen. Voor een gegeven e-mail, gebruikt DMARC wat bekend staat als de 'centrale identiteit', dat is het domein gevonden in de From: header. Dit wordt beschouwd als het domein van herkomst voor uw e-mail, en zal de domeinnaam van uw organisatie bevatten.

Wanneer een e-mail van uw domein de ontvangende server bereikt, SPF het Return Path en DKIM valideert de gecodeerde handtekening. Beide controles vinden afzonderlijk plaats op twee verschillende domeinen. DMARC neemt het verificatieresultaat van beide en controleert of het domein dat wordt gebruikt in SPF of DKIM overeenkomt met het Van: domein (de centrale identiteit). Als een van beide waar is, is DMARC afgestemd.

Er is echter één klein probleem. Iedereen, inclusief criminelen, kan een domein kopen en SPF en DKIM. Theoretisch zou het dus mogelijk moeten zijn dat iemand een e-mail verstuurt met het domein van jouw organisatie in het Van: adres (de centrale identiteit) en het Return Path van zijn eigen domein om langs SPF-verificatie te komen. Gebruikers zien meestal alleen het Van: adres en niet het Return Path, dus ze zullen niet eens weten dat er een discrepantie is tussen de twee.

DMARC ontspannen uitlijning: Het configureren van topleveldomeinmatches 

Specifiek voor SPF en DKIM zijn er 2 soorten afstemming: relaxed en strikt. Als relaxte afstemming voor beide is geconfigureerd, betekent dit in wezen dat je relaxte afstemming hebt geïmplementeerd voor je algehele DMARC-implementatie. 

Voor zowel SPF als DKIM geldt in een ontspannen situatie dat zelfs als het domein in de Van header en de domeinen in de Return-path (voor SPF) en DKIM signature (voor DKIM) headers een organisatorische match zijn, DMARC alignment een match is. Vervolgens worden in dit scenario zelfs subdomeinen uitgelijnd op DMARC. 

DMARC ontspannen afstemming voorbeeld 

v=DMARC1; p=afgewezen; rua=mailto:[email protected]; aspf=r; adkim=r

De DMARC-tags "aspf" en "adkim" zijn de respectieve uitlijningstags om de modus van je keuze te definiëren, en "r" staat voor relaxed. 

DMARC strikte uitlijning: Exacte domeinmatches configureren 

Als de domeineigenaren strikte afstemming inschakelen voor zowel SPF als DKIM, betekent dit in wezen dat je strikte afstemming hebt geïmplementeerd voor je algehele DMARC-implementatie. 

Voor beide protocollen geldt in een strikte opzet dat alleen als het domein in de Van header en de domeinen in de Return-path (voor SPF) en DKIM signature (voor DKIM) headers exact overeenkomen, DMARC alignment een match is. Daarom worden subdomeinen in dit scenario niet uitgelijnd op DMARC. 

DMARC ontspannen afstemming voorbeeld 

v=DMARC1; p=afgewezen; rua=mailto:[email protected]; aspf=s; adkim=s

De DMARC-tags "aspf" en "adkim" zijn de respectieve uitlijningstags om de modus van je keuze te definiëren en "s" staat voor strikt. 

Relaxed vs. Streng: Welke DMARC-uitlijningsmodus is beter?

De keuze tussen ontspannen en strikte DMARC-afstemmingsmodi hangt af van het beleid voor e-mailverificatie van je organisatie, je tolerantie voor fout-positieven en je algemene beveiligingsdoelen.

De Relaxed modus biedt meer flexibiliteit en zal minder snel valse positieven produceren. Deze modus kan handig zijn als meerdere e-mailsystemen of -services e-mails verzenden namens uw domein en ze verschillende subdomeinen kunnen gebruiken. Deze modus is echter ook minder streng en kan sommige e-mails met kleine afwijkingen doorlaten, waardoor er ruimte ontstaat voor spoofing of phishingpogingen.

Het Strict-model dwingt een strikter afstemmingsbeleid af en zorgt ervoor dat het exacte domein in de "From"-header overeenkomt met de domeinen die zijn opgegeven in SPF en DKIM. Hoewel dit een betere bescherming biedt tegen spoofing en phishing, kan het minder vergevingsgezind zijn als uw e-mailinfrastructuur verschillende subdomeinen gebruikt voor legitieme doeleinden. Het implementeren van strikte afstemming kan een zorgvuldige configuratie en controle vereisen om te voorkomen dat legitieme e-mails worden geblokkeerd.

Hoe bewaak je e-mails op strikte DMARC-afstemming?

PowerDMARC helpt je bij het bewaken van je e-mails met een strikt DMARC-beleid met behulp van onze DMARC-analyser tool. Wij helpen u bij het traceren van uw e-mailverzendbronnen, bij het controleren op afstemmingsfouten en bij het optimaliseren van uw verificatieconfiguratie, rechtstreeks vanuit ons dashboard.

Neem contact met ons op vandaag nog om te beginnen!

DMARC afstemming

Nieuwste berichten van Ahona Rudra (zie alle)
/door
Dit is wat e-mail phishing kan doen met uw merkimagomerkimago blogforensisch rapport ruf blogZijn DMARC Failure Forensic Reports (RUF) dood? Mist u deze invalshoek van...