Als externe domeinen in je DMARC geen toestemming geven om je rapporten naar hen te sturen, dan is deze handleiding voor jou. Wist je dat je DMARC-rapporten buiten je eigen domein? Het is mogelijk om je DMARC-rapporten naar een e-mailadres te sturen dat niet binnen je eigen domein valt via DMARC Externe Bestemmingsverificatie. Als u eigenaar bent van het domein bedrijf.com, kunt u uw rapporten naar een adres sturen (voorbeeld) [email protected]waarbij company.com geen autoriteit heeft over mailreports.net en het twee volledig gescheiden domeinen zijn.

Om dit te bereiken moet het domein dat het rapport ontvangt (mailreports.net) toestemming geven om rapporten te ontvangen die de DMARC-gegevens van uw domein (company.com) bevatten. (company.com).

De methode die dit mogelijk maakt heet "Externe Domein Verificatie" en vandaag bespreken we wat het is en hoe het je helpt bij je authenticatieproces.

DMARC externe domeinverificatie - Uitleg

Laten we zeggen dat u de eigenaar bent van het domein bedrijf.com en DMARC hebt ingeschakeld voor uw domein. U wilt nu informatie ontvangen over uw e-mailverzendbronnen via verzamelde DMARC-rapporten, maar om de inbox van uw interne domeinen en subdomeinen niet te spammen, wilt u deze rapporten omleiden naar een externe bestemming, bijvoorbeeld mailreports.net.

Dit is een veelgebruikte tactiek door bedrijven met meerdere geregistreerde domeinen, derden en een grote stroom informatie van en naar hun domeinen. 

Als je dat doet, ziet je volgende DMARC-record er ongeveer zo uit: 

v=DMARC1; p=quarantaine; rua=mailto:[email protected]

[Gebruik onze DMARC record generator hulpmiddel]

De rua tag specificeert het e-mailadres waarop je je DMARC-rapporten ontvangt. Merk op dat het feit dat je een record hebt gepubliceerd in je DNS met het verzoek om je gegevens naar mailreports.net te sturen, niet betekent dat dit ook zo zal zijn. Zo eenvoudig is het niet.

Het domein dat het rapport ontvangt, moet digitaal toestemming geven om de rapporten te ontvangen van bedrijf.comanders kunnen ze niet worden verzonden. Dit staat bekend als Externe domeinverificatie of Externe bestemmingsverificatie (zoals vermeld onder RFC 7489 7.1).

Externe bestemmingsverificatie vereenvoudigen met PowerDMARC!

Waarom is verificatie van een externe bestemming vereist? Potentiële bedreigingen en kwetsbaarheden

De volgende redenen kunnen je dwingen om te kiezen voor Externe Domeinverificatie:

• Externe domeinen in je DMARC geven geen toestemming om je rapporten naar hen te sturen.
• U bezit een domein dat geen mailservers beheert
• Zonder externe domeinverificatie kunnen cyberaanvallers eenvoudig een DMARC-record aanmaken waarin een extern domein (van een slachtoffer) wordt genoemd om meldingen te ontvangen. De inbox van het slachtoffer wordt nu overspoeld met rapporten van alle slechte e-mails die door de aanvaller zijn verzonden. 

Door middel van Externe Bestemmingsverificatie kunnen actoren van bedreigingen worden tegengehouden bij het uitvoeren van hun kwaadaardige daden en kunnen domeineigenaren meldingen routeren naar een extern domein dat mailservers beheert. 

Hoe werkt externe domeinverificatie?

Externe rapportageplaatsen controleren 

Wanneer een domein met een gepubliceerd DMARC-record een e-mail verzendt, controleert de server die de e-mail ontvangt of het organisatiedomein waarop het record is gepubliceerd een exacte match is met het organisatiedomein dat wordt vermeld in de rua (of ruf) tag van het DMARC-record. 

Als er geen overeenkomst is en er een extern domein is opgegeven om rapporten te ontvangen, wordt het verificatieproces gestart. 

Om dit te doen, wordt de DNS van de host die de rapporten ontvangt, opgevraagd om te controleren of ze toestemming hebben gegeven om de rapporten te ontvangen. Als er in hun DNS een DMARC-record wordt gevonden dat hetzelfde bevestigt, is de verificatiecontrole geslaagd en worden de rapporten naar het externe domein verzonden. Als de controle mislukt, worden de rapporten niet afgeleverd. 

Soms kan er door DNS time-out en andere kleine problemen een tijdelijke fout optreden waardoor ontvangende servers het verificatieproces van de externe bestemming tijdelijk niet kunnen voltooien. Het wordt later echter opnieuw geprobeerd. 

Externe bestemmingsverificatie configuraties voor specifieke domeinen (en subdomeinen) 

Laten we ons vorige voorbeeld nemen om te bepalen hoe u ervoor kunt zorgen dat uw externe bestemmingsverificatieproces geen foutmelding geeft voor uw specifieke domeinen en subdomeinen.  

Voorbeeld domeinnaam: company.com 

Voorbeeld extern rapport dat domein ontvangt: mailreports.net 

Een DMARC DNS-record met de volgende informatie moet worden gepubliceerd op het domein mailreports.net: 

Opmerking: Vervang de domeinnamen door uw eigen domein en elk extern domein waarop u uw rapporten wilt ontvangen. Dit record moet NIET op uw domein worden gepubliceerd, maar op het externe domein waar u uw rapporten naartoe wilt sturen.

En je bent klaar! Tijdens de verificatie van externe bestemmingen worden ontvangende e-mailservers nu geïnformeerd dat het externe domein van uw voorkeur dat in de tag rua of ruf wordt genoemd, inderdaad toestemming geeft voor het ontvangen van DMARC-rapporten namens uw domein. 

Optionele configuraties voor externe bestemmingsverificatie

In plaats van het bovengenoemde record te publiceren om toestemming te geven aan specifieke domeinen voor het verzenden van rapporten naar hun adres, gebruiken externe domeinen vaak een wildcardrecord (dat begint met een sterretje "*").

Dit is gewoon een kortere weg om extra moeite te vermijden, omdat een wildcardrecord in wezen aangeeft dat het externe domein toestemming geeft om DMARC-berichten te ontvangen van ELK domein (en niet alleen uw specifieke domein).

Hieronder staat de syntaxis (voorbeeld) voor een wildcardrecord die wordt gebruikt voor externe domeinverificatie: 

Mogelijke risico's van het gebruik van jokertekens

Het gebruik van wildcardvermeldingen voor externe domeinverificatie wordt niet aanbevolen en brengt potentiële risico's met zich mee. Wanneer een domein toestemming geeft om rapporten te ontvangen van een willekeurig domein, kunnen kwaadwillenden dit gebruiken om e-mailaccounts te spammen met bulkrapporten van kwaadwillende domeinen zonder dat er een mechanisme is om de rapporten te reguleren of te filteren. Dit kan mogelijk schadelijk zijn voor het domein dat de rapporten ontvangt en ook problemen veroorzaken voor u die dat domein gebruikt om uw eigen rapporten te ontvangen. 

Hoe gaan we om met externe domeinverificatie bij PowerDMARC?

Voor klanten die een PowerDMARC-account hebben gemaakt en rapporten ontvangen op de DMARC rapport analyzer dashboard hoeven zich geen zorgen te maken over externe domeinverificatie omdat wij dat voor je afhandelen. Alle rapporten die worden verzonden door ontvangers worden automatisch gerouteerd en verzonden naar ons platform, netjes geparsed en georganiseerd voor u om te bekijken zonder dat u records hoeft te publiceren om het externe bestemmingsverificatieproces te stroomlijnen. Het enige wat je hoeft te doen is ons aangepaste rua (of ruf) adres in je DMARC-record op te geven.

Meld u nu aan om uw externe bestemmingsvalidatie en DMARC-implementatie moeiteloos te laten verlopen met een gratis DMARC proefversie.

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• Is koude e-mail nog steeds effectief in 2025? Beste praktijken voor bereik en veiligheid - 20 juni 2025
• DMARC MSP Praktijkstudie: Hoe PrimaryTech de beveiliging van klantdomeinen vereenvoudigde met PowerDMARC - 18 juni 2025
• DMARC fout-positieven: Oorzaken, oplossingen en preventiegids - 13 juni 2025