• "DMARC Best Guess Pass' uitgelegd: Wat het betekent en hoe het te verhelpen

"DMARC Best Guess Pass' uitgelegd: Wat het betekent en hoe het te verhelpen

Blog, DMARC

In de war door "DMARC Best Guess Pass" in uw rapporten? Leer wat het betekent, waarom het gebeurt, wat de risico's zijn en hoe u problemen met DMARC Best Guess Pass kunt oplossen om uw e-mail te beveiligen.

door YunesTarada

Leestijd: 5 min
"DMARC Best Guess Pass' uitgelegd: Wat het betekent en hoe het te verhelpen
Inhoudsopgave-

Belangrijkste punten

  • "Beste gok geslaagd" is een informele term in e-mailverificatierapporten die aangeeft dat berichten geslaagd zijn voor SPF- en/of DKIM-controles, maar dat er geen DMARC-record bestaat.
  • Het is niet gedefinieerd in de officiële DMARC-specificatie (RFC 7489).
  • Microsoft Exchange Online Beveiliging gebruikt het om afstemming met het domein van de afzender weer te geven.
  • Gmail en sommige providers passen voornamelijk "best guess" toe op SPF door een ontbrekend record te synthetiseren.
  • De aanwezigheid van "Best Guess Pass" wijst op een ontbrekend DMARC-recordwaardoor een beveiligingslek ontstaat.
  • Een DMARC record publiceren met een duidelijk beleid (geen, quarantaine of afwijzen) voorkomt dit probleem en versterkt de domeinbescherming.

"Best Guess Pass" is geen officiële DMARC resultaat en komt niet voor in de DMARC-specificatie (RFC 7489). De term komt van de manier waarop sommige ontvangende mailservers, zoals Microsoft Exchange Online Protection, omgaan met e-mails die door de SPF- of DKIM-controles komen maar geen DMARC-record hebben. In deze gevallen interpreteert de server de authenticatie als geldig en bestempelt het als een "best guess pass", wat betekent dat als DMARC was geconfigureerd, de e-mail zou zijn geslaagd. Hoewel de uitdrukking "best guess" vaker in verband wordt gebracht met SPF, wijst het voorkomen ervan in DMARC-rapporten op een kritiek probleem: het ontbreken van een DMARC-beleid. Het onderkennen van deze leemte is essentieel voor het verbeteren van e-mailbeveiliging.

Niet verwarren:

  • Microsoft → labelt DMARC-rapporten met dmarc=besteGuesspass.
  • Gmail → synthetiseert ontbrekende SPF-records (geen DMARC).

Hoe DMARC werkt in normale scenario's

Om het probleem met een "beste gok" te begrijpen, laten we snel samenvatten hoe DMARC verondersteld wordt te werken. DMARC is afhankelijk van twee andere e-mailverificatieprotocollen, SPF en DKIM:

  • SPF: Dit is een DNS-record met de IP-adressen die het recht hebben om e-mail te versturen namens jouw domein. U kunt een gratis SPF generator om uw SPF record te maken als u er geen heeft. Als u er wel een heeft, maar niet zeker bent van de nauwkeurigheid, gebruik dan een SPF checker.
  • DKIM: Dit protocol biedt een cryptografische handtekening die controleert of een bericht al dan niet onderweg is gemanipuleerd. A DKIM record generator en DKIM record checker kunnen je helpen als je problemen hebt met het instellen van DKIM.

DMARC controleert vervolgens of ten minste een van deze methoden (SPF of DKIM) niet alleen slaagt, maar ook overeenkomt met het domein in het "Van"-adres (d.w.z. het domein dat de ontvanger ziet).

Op basis van deze controle produceert een DMARC-conforme ontvanger een van de twee officiële resultaten (maar de details van de rapportage kunnen verschillen):

  • Pas: De e-mail is geverifieerd en uitgelijnd.
  • Mislukt: De e-mail is niet geverifieerd of aangepast.

Uw DMARC beleid instrueert de ontvanger vervolgens hoe om te gaan met e-mails die de controle niet doorstaan:

  • p=geen: Alleen bewaken. Lever de e-mail af. Merk op dat, terwijl e-mails nog steeds worden afgeleverd, de geaggregeerde rapportage begint, wat het belangrijkste voordeel is van p=none.
  • p=quarantaine: Stuur de e-mail naar de map voor spam of ongewenste e-mail.
  • p=afwijzen: Blokkeer de e-mail volledig.

Wat veroorzaakt een "DMARC Best Guess Pass"?

Een "Best Guess Pass" resultaat verschijnt meestal wanneer er geen DMARC record bestaat en de onderliggende SPF/DKIM controles slagen.

Dit is het typische scenario:

  1. U of een andere bevoegde partij verstuurt een e-mail vanaf uw domein.
  2. Je domein heeft geldige SPF- en/of DKIM-records.
  3. De ontvangende server controleert SPF/DKIM en deze zijn goed uitgelijnd.
  4. De ontvanger zoekt vervolgens naar een DMARC-record om te zien welk beleid moet worden toegepast.
  5. Er wordt geen DMARC record gevonden.
  6. Omdat de onderliggende authenticatie geslaagd is, maakt de ontvanger een "beste gok" en laat de e-mail door zonder DMARC actie te ondernemen. Het logt dit als iets als dmarc=bestguesspass.

Dit is een terugvalmechanisme. De provider probeert te voorkomen dat mogelijk legitieme e-mail wordt geblokkeerd omdat er een DMARC-record ontbreekt, maar het benadrukt een belangrijke fout in de configuratie.

Waarom is "Best Guess Pass" een probleem?

Waarom-is-"Best-Guess-Pass"-een-probleem?

Vertrouwen op een "Best Guess Pass" is riskant en ondermijnt het doel van DMARC.

Het creëert verwarring

Deze onofficiële status maakt DMARC-rapporten moeilijker te interpreteren. Je zou kunnen denken dat je domein beschermd is terwijl dat niet zo is.

Het verzwakt de zichtbaarheid van de beveiliging 

Een "Best Guess Pass" zegt niets over frauduleuze e-mails. Omdat je geen DMARC-beleid hebt, ontvang je geen rapporten over pogingen tot spoofing, waardoor je blind blijft voor aanvallen die op jouw domein zijn gericht.

Phishing en spoofing mogelijk

Zonder een p=quarantaine of p=afwijzen beleid, heb je geen verdediging. Oplichters kunnen nog steeds je domein spoofen en ontvangende servers die deze "best guess" controle niet uitvoeren (en dat zijn de meeste) hebben geen instructies om de frauduleuze e-mails te blokkeren.

Problemen met "DMARC Best Guess Pass" oplossen

De oplossing is eenvoudig: publiceer een DMARC record voor je domein. Dit voorkomt giswerk en vertelt de wereld precies wat er met je e-mail moet gebeuren.

1. Zorg voor de juiste SPF- en DKIM-instellingen

Voordat je een DMARC-record aanmaakt, moet je ervoor zorgen dat je SPF- en DKIM-records correct zijn geconfigureerd. Ze moeten alle legitieme verzendservices bevatten.

2. Controleer domein uitlijning

Zorg ervoor dat het domein dat wordt gebruikt voor SPF (het Return-Path-domein) en/of het domein in de DKIM-handtekening (de d=-tag) overeenkomt met het domein van het "Van"-adres.

3. Een DMARC record publiceren

Begin met een monitoringbeleid (p=none). Hiermee kun je gegevens verzamelen zonder de bezorgbaarheid van je e-mail te beïnvloeden. Een basis startrecord ziet er als volgt uit: v=DMARC1; p=none; rua=mailto:[email protected];

  • Plaats dit TXT-record op _dmarc.yourdomain.com.

4. Gebruik een DMARC-rapportageplatform

Ruwe DMARC-rapporten zijn XML-bestandenen ze zijn vrij moeilijk te lezen. A monitoring platform zet deze rapporten om in dashboards die leesbaar zijn voor mensen. Het geeft je duidelijk inzicht in wie e-mails verstuurt vanaf jouw domein.

Beste praktijken om foutieve pasresultaten te voorkomen

Beste praktijken om foute passerresultaten te voorkomen

DNS-records controleren

Controleer altijd je SPF-, DKIM- en DMARC-records om er zeker van te zijn dat ze correct en up-to-date zijn.

Dagelijks DMARC-rapporten controleren

Houd je DMARC-rapporten om nieuwe verzendbronnen of mogelijke authenticatiefouten te detecteren.

Een strenger beleid implementeren

Als je er eenmaal zeker van bent dat al je legitieme e-mails door de DMARC-controles komen, kun je geleidelijk overgaan op een strenger beleid zoals p=quarantaine en uiteindelijk p=verwerpen. Dit zal je helpen om frauduleuze e-mails actief te blokkeren.

Teams trainen

Train je IT- en beveiligingsteams zodat ze weten hoe ze DMARC-gegevens moeten interpreteren en kunnen reageren op potentiële bedreigingen.

Samenvattend

"Best Guess Pass" is geen teken van veilige e-mail; het is een waarschuwingsteken. Het betekent dat de e-mailbeveiliging van uw domein onvolledig is en afhankelijk is van het niet-standaard gedrag van een paar postbusproviders. U moet verder gaan dan giswerk en DMARC instellen om de reputatie en beveiliging van uw domein onder controle te krijgen.

Ons deskundige team bij PowerDMARC kan helpen. Wij zorgen voor alles wat met DMARC te maken heeft, zodat je met zekerheid kunt communiceren in plaats van in verwarring. Neem contact op met vandaag nog!

Veelgestelde vragen

Waarom zie ik "Best Guess Pass" in mijn rapporten? 

U ziet dit resultaat waarschijnlijk in rapporten van Microsoft 365 of Exchange. Het betekent dat het verzendende domein SPF/DKIM heeft ingesteld, maar geen DMARC-record heeft. Het systeem merkt op dat de e-mail door DMARC zou zijn gekomen als er een beleid bestond.

Is "Best Guess Pass" een veiligheidsrisico? 

Ja. Dit betekent dat er geen DMARC handhavingsbeleid (quarantaine of afwijzen) is. Zonder handhaving (quarantaine/afwijzen) kun je ontvangers niet opdragen ongeautoriseerde e-mails te blokkeren of om te leiden.

Hoe kan ik voorkomen dat "Best Guess Pass" wordt weergegeven in rapporten?

De eigenaar van het verzendende domein moet een geldig DMARC-record publiceren in zijn DNS. Als het jouw domein is, volg dan de stappen in sectie 5.

Betekent "Best Guess Pass" dat mijn e-mails veilig zijn? 

Nee. Het betekent dat je domein een kritieke beveiligingslaag mist. Je e-mails kunnen niet veilig zijn als je geen goed geconfigureerd DMARC-record hebt.

Laatste berichten van Yunes Tarada (Bekijk alle berichten)
Phishing in de sector: hoe phishingaanvallen zich richten op verschillende sectorenindustrie-phishingUw DMARC-provider migrerenUw DMARC-provider migreren: Een bruikbare gids met toegevoegde waarde