Wist je dat je DMARC-rapporten buiten je eigen domein? Ja, het is mogelijk om je DMARC-rapporten naar een e-mailadres te sturen dat niet binnen je eigen domein valt via DMARC Externe Bestemmingsverificatie. Als u eigenaar bent van het domein bedrijf.combezit, kunt u uw rapporten naar een adres sturen (voorbeeld) rua@mailreports.netwaarbij company.com geen autoriteit heeft over mailreports.net en het twee volledig gescheiden domeinen zijn.
Echter, om dit te bereiken, moet het domein dat het rapport ontvangt (mailreports.net) toestemming moeten geven om rapporten te ontvangen met de DMARC-gegevens van uw domein (company.com).
De methode die dit mogelijk maakt heet "Externe Domein Verificatie" en vandaag zullen we bespreken wat het is en hoe het u helpt in uw authenticatie reis.
DMARC Externe Domein Verificatie - Uitleg
Laten we zeggen dat u eigenaar bent van het domein company.com en u heeft DMARC ingeschakeld voor uw domein. U wilt nu informatie ontvangen over uw e-mailverzendbronnen via DMARC-aggregaatrapporten, maar om te voorkomen dat de inbox van uw interne domeinen en subdomeinen wordt gespamd, wilt u die rapporten doorsturen naar een externe bestemming, zeg bijvoorbeeld mailreports.net.
Dit is een gebruikelijke tactiek die wordt toegepast door bedrijven die meerdere geregistreerde domeinen hebben, derden, en een bulkstroom van informatie van en naar hun domeinen.
Om dit te doen, zou je volgende DMARC-record er ongeveer zo uitzien:
v=DMARC1; p=quarantine; rua=mailto:rua@mailreports.net
[Om uw aangepaste record gratis aan te maken, gebruik onze DMARC record generator tool]
De rua tag specificeert het e-mail adres waarop u uw DMARC rapporten zult ontvangen. Merk op dat alleen omdat je een record gepubliceerd hebt op je DNS met het verzoek om je gegevens naar mailreports.net te sturen, niet betekent dat het ook zo zal zijn. Het is niet zo eenvoudig.
Het domein dat de rapporten ontvangt moet digitaal toestemming geven om de rapporten te ontvangen van company.comanders kunnen ze niet worden verzonden. Dit staat bekend als Externe domeinverificatie of Externe bestemmingsverificatie (zoals vermeld onder RFC 7489 7.1).
Waarom is verificatie van de externe bestemming nodig? Potentiële bedreigingen en kwetsbaarheden
De volgende redenen kunnen u dwingen om te kiezen voor Externe Domein Verificatie:
- U bezit een domein dat geen mailservers beheert
- Zonder externe domeinverificatie kunnen cyberaanvallers gemakkelijk een DMARC-record aanmaken waarin een extern domein (van een slachtoffer) wordt vermeld om meldingen te ontvangen. Meldingen voor alle slechte e-mails die door de aanvaller zijn verzonden, zullen nu de inbox van het slachtoffer overspoelen
Door middel van verificatie van de externe bestemming kan worden voorkomen dat bedreigers hun kwaadaardige daden verrichten, en kunnen domeineigenaren meldingen doorsturen naar een extern domein dat mailservers beheert.
Hoe werkt externe domeinverificatie?
Verificatie van externe rapportbestemmingen
Wanneer een domein met een DMARC record gepubliceerd een e-mail verstuurt, controleert de ontvangende server of het organisatiedomein waarop het record is gepubliceerd een exacte match is met het organisatiedomein vermeld in de rua (of ruf) tag van het DMARC record.
Als het geen match is, en er is een extern domein opgegeven om rapporten te ontvangen, dan wordt het verificatieproces gestart.
Om dit te doen, wordt de DNS van de ontvangende host geraadpleegd om te verifiëren of zij toestemming hebben om de rapporten te ontvangen. Als in hun DNS een DMARC record wordt gevonden dat hetzelfde bevestigt, slaagt de verificatiecontrole en worden de rapporten naar het externe domein gestuurd. Als dit niet lukt, worden de rapporten niet afgeleverd.
Soms kan er als gevolg van DNS-time-out en andere kleine problemen een tijdelijke fout optreden waardoor de ontvangende servers het verificatieproces van de externe bestemming tijdelijk niet kunnen voltooien. Het wordt later echter opnieuw geprobeerd.
Externe bestemmingsverificatie configuraties voor specifieke domeinen (en subdomeinen)
Laten we ons vorige voorbeeld nemen om te bepalen hoe u ervoor kunt zorgen dat het verificatieproces van uw externe bestemming geen foutresultaten oplevert voor uw specifieke domeinen en subdomeinen.
Voorbeeld domeinnaam: company.com
Voorbeeld extern rapport ontvangend domein: mailreports.net
Een DMARC DNS record met de volgende informatie moet worden gepubliceerd op het mailreports.net domein:
| Veld | Beschrijving | Waarde |
| Gastheer | Dit is waar je het record publiceert op | company.com._report._dmarc.mailreports.net |
| Waarde | Uw TXT record waarde | v=DMARC1; |
Note: Vervang de domeinnamen door uw eigen domein en elk extern domein waar u uw rapporten op wilt ontvangen. Dit record moet NIET op uw domein worden gepubliceerd, maar op het externe domein waar u uw rapporten naar toe wilt sturen.
En u bent klaar! Tijdens de verificatie van de externe bestemming, zal dit nu de e-mail ontvangende servers informeren dat het externe voorkeursdomein dat in de rua of ruf tag wordt genoemd, inderdaad toestemming geeft om DMARC rapporten namens uw domein te ontvangen.
Optionele configuraties voor externe bestemmingsverificatie
In plaats van het bovengenoemde record te publiceren om toestemming te geven aan specifieke domeinen om rapporten naar hun adres te sturen, gebruiken externe domeinen vaak een jokerteken record (dat begint met een sterretje "*").
Dit is gewoon een kortere weg om extra moeite te vermijden aangezien een wildcard record in wezen aangeeft dat het extern domein toestemming geeft om DMARC rapporten te ontvangen van ELK domein (en niet alleen uw specifieke domein).
Hieronder staat de syntax (voorbeeld) voor een wildcard record dat gebruikt wordt voor externe domein verificatie:
| Veld | Beschrijving | Wildcard Record Waarde |
| Gastheer | Dit is waar je het record publiceert op | *._report._dmarc.domain.com |
| Waarde | Uw TXT record waarde | v=DMARC1; |
Potentiële risico's van het gebruik van jokertekens
Het gebruik van wildcard vermeldingen voor externe domein verificatie is geen aanbevolen praktijk en brengt potentiële risico's met zich mee. De reden hiervoor is dat wanneer een domein toestemming geeft om rapporten te ontvangen van een willekeurig domein, slechte actoren dit kunnen gebruiken om e-mailaccounts te spammen met bulkrapporten van kwaadaardige domeinen zonder dat er een mechanisme is om de rapporten te reguleren of te filteren. Dit kan potentieel schadelijk zijn voor het domein dat de rapporten ontvangt, en ook problemen veroorzaken voor u die dat domein gebruikt om uw eigen rapporten te ontvangen.
Hoe gaan we om met externe domeinverificatie bij PowerDMARC?
Voor klanten die een PowerDMARC account hebben aangemaakt en rapporten ontvangen op de DMARC rapport analyzer dashboard hoeft u zich geen zorgen te maken over externe domeinverificatie, aangezien wij dit voor u afhandelen. Alle rapporten die door ontvangers worden verzonden, worden automatisch gerouteerd en naar ons platform verzonden, netjes geparseerd en georganiseerd zodat u ze kunt bekijken zonder dat u records hoeft te publiceren om het verificatieproces van de externe bestemming te stroomlijnen. Het enige wat u hoeft te doen is ons aangepaste rua (of ruf) adres in uw DMARC record te specificeren.
Meld u nu aan om uw externe bestemming validatie en DMARC implementatie proces moeiteloos te maken met een gratis DMARC proef.
