Welke parameters moeten aan DMARC worden gekoppeld?
door
Leestijd: 5 min
E-mail is een van de meest gebruikte communicatiemiddelen. Maar het is zeer vatbaar voor aanvallen door hackers en spammers. Het implementeren van SPF, DKIMen DMARC je e-mailconversaties afschermen en voorkomen dat bedreigers ze kapen. In deze blog bespreken we de belangrijkste DMARC-parameters die je helpen om aan de slag te gaan.
Belangrijkste conclusies
- Het implementeren van DMARC met SPF en DKIM is essentieel voor het beveiligen van je e-mailcommunicatie tegen spoofing en phishingaanvallen.
- De drie DMARC beleidsregels - geen, quarantaine en afwijzen - bepalen hoe niet-geverifieerde e-mails worden behandeld door ontvangende mailboxen.
- Het gebruik van een monitorbeleid (p=none) helpt om e-mailactiviteit te analyseren zonder de aflevering te beïnvloeden tijdens de eerste fase van de DMARC-implementatie.
- Quarantainebeleid(p=quarantaine) leidt e-mailservers om verdachte phishingpogingen in de spammap te filteren voor verdere inspectie.
- Beleidsregels voor afwijzen (p=afwijzen) bieden het hoogste beveiligingsniveau door te voorkomen dat onbevoegde e-mails de inbox van ontvangers bereiken.
Wat is DMARC?
Om te begrijpen welke parameters moeten worden gekoppeld aan DMARC, moet je eerst weten wat DMARC is en hoe het werkt.
DMARC staat voor Domain-based Message Authentication Reporting and Conformance. Het is een e-mailverificatieprotocol waarmee je een specifiek beveiligingsbeleid rond je e-mailverificatieproces kunt opstellen en publiceren. Het instrueert de mailbox van de ontvanger hoe hij niet-authentieke e-mails moet behandelen die zijn verzonden vanaf jouw officiële domein.
Beveiliging vereenvoudigen met PowerDMARC!
Hoe werkt DMARC?
DMARC wordt geïmplementeerd in combinatie met SPF en DKIM. De domeineigenaar maakt een DMARC DNS-record aan en publiceert dit bij zijn DNS-provider. Wanneer een e-mail wordt verzonden vanaf dat domein (door u en uw werknemers of door cybercriminelen), valideert de e-mailserver van de ontvanger de echtheid ervan door te controleren of het domein een DMARC-record heeft gepubliceerd op DNS.
Daarnaast voert de server van de ontvanger DKIM- en SPF-controles uit om te weten of de afzender werkelijk is wie hij zegt dat hij is. De volgende controles worden uitgevoerd:
- Als het bericht een geldige DKIM-handtekening?
- Als het IP-adres van de afzender overeenkomt met de geautoriseerde afzenders in het SPF-record?
- Voldoen de berichtkoppen aan de domeinuitlijningstests?
Zodra de SPF- en DKIM-resultaten bekend zijn, past de mailserver het beleid toe. Uiteindelijk wordt een rapport met de naam DMARC Aggregate Report gestuurd naar het e-mailadres dat is opgegeven voor het ontvangen van rapporten.
DMARC-beleid
Een van de primaire DMARC-parameters zijn de drie DMARC-beleidslijnen. U kunt enige tijd controleren en dan beslissen hoe u wilt dat ontvangende mailboxen niet-geauthenticeerde e-mails die vanaf uw domein worden verzonden, behandelen. Dit zijn de drie beleidslijnen:
Monitorbeleid: p=none
Dit DMARC beleid vertelt e-mailservers om rapporten af te leveren op het adres dat staat vermeld in de rua of ruf tag van je DMARC-record. Het wordt een monitoring-only beleid genoemd en wordt geïmplementeerd in de beginfase van DMARC-compliance om de activiteit van je e-mailkanaal te analyseren.
Het biedt inzicht in het e-mailkanaal, maar vertelt de ontvangende servers niet hoe zij e-mails moeten behandelen die de DMARC-controles niet doorstaan.
quarantinebeleid: p=quarantine
Deze DMARC recordparameter instrueert ontvangende servers om e-mails die de DMARC-authenticatie niet doorstaan in de spammap te plaatsen. E-mails die de authenticatietest doorstaan komen in de inbox terecht. Dit minimaliseert de kans dat je per ongeluk een phishing-e-mail ontvangt, maar dergelijke schadelijke e-mails komen nog steeds in de spammap terecht.
Afwijzingsbeleid: p=afwijzen
De parameter p=reject DMARC instrueert e-mailservers om de invoer van e-mails die de DMARC-verificatiecontroles niet doorstaan volledig te weigeren. Alle goedgekeurde e-mails worden in de inbox afgeleverd. Er is echter kans op valse mislukkingen, waardoor zinvolle en authentieke e-mails soms ook de beoogde ontvangers niet bereiken.
DMARC Tag Types en wat ze doen
DMARC-tags specificeren aspecten van DMARC-parameters en ze zijn niet allemaal even belangrijk en worden niet allemaal evenveel gebruikt. Ze zijn onderverdeeld in drie categorieën.
- Vereist: Dit zijn verplichte tags. Elke DMARC TXT record moet beginnen met de verplichte 'v' of version tag en de waarde ervan toevoegen als 'DMARC1'.
- Facultatief maar aanbevolen: Het is niet nodig om deze tags toe te voegen, maar ze helpen bij het genereren van rapporten.
- Optioneel: U kunt deze tags volledig overslaan.
Functies van DMARC Tags
Er zijn in totaal 11 tags belangrijk voor DMARC record parameters en de "v" en "p" tags zijn verplicht. Laten we eens kijken wat de functie is van elke tag.
| DMARC labelnaam | Type | Functie |
| v (versie) | Vereist | Deze DMARC tag specificeert de versie. Momenteel is er maar één versie, dus de waarde is vastgesteld op v=DMARC1. |
| p (beleid) | Vereist | De DMARC parameter toont de DMARC beleidsmodus. Deze stuurt de ontvanger aan om e-mails die de authenticatiecontroles niet doorstaan te rapporteren, in quarantine te plaatsen of af te wijzen. |
| adkim | Optioneel | Dit is de afkorting voor DKIM afstemmingsmodus. De waarde kan Strict (s) of Relaxed (r) zijn.
In de ontspannen modus geeft de validatie een positief resultaat indien het geverifieerde DKIM-record gericht is op een domein d=sample.com, en het e-mailadres van de afzender van de categorie [email protected] is. In de strikte modus toont de validatie een geslaagd resultaat wanneer de e-mail afkomstig is van een adres op het domein sample.com. Subdomeinen kunnen niet worden gevalideerd. |
| aspf | Optioneel | Deze DMARC-parameter staat voor de SPF-aanpassingsmodus. De waarde ervan kan Streng (s) of Ontspannen (r) zijn. De standaardwaarde is Relaxed (r). |
| sp (subdomeinbeleid) | Optioneel | De tag DMARC sp specificeert het subdomeinbeleid. De beleidsmodus wordt geconfigureerd voor uw hoofddomein (p). |
| fo (storingsmelding) | Optioneel | De standaardwaarde van de DMARC fo tag is 0. Deze komt overeen met de opties voor storingsmelding waaruit de domeineigenaars kunnen kiezen.
De beschikbare opties zijn: fo=0: er wordt een DMARC failure/forensic report naar u gestuurd als uw e-mail niet voldoet aan zowel SPF als DKIM afstemming. fo=1: er wordt een DMARC failure/forensic report naar u gestuurd wanneer uw e-mail niet voldoet aan SPF of DKIM alignment. fo=d: er wordt een DKIM-foutmelding verstuurd als de DKIM-handtekening van de e-mail de validatie niet doorstaat, ongeacht de uitlijning fo=s: er wordt een SPF-foutrapport verzonden als de e-mail de SPF-evaluatie niet doorstaat, ongeacht de uitlijning. |
| ruf (storingsmelding RUI) | Facultatief maar aanbevolen | Daarin staat waar het DMARC forensisch ruf-rapport naartoe moet worden gestuurd. Momenteel sturen slechts enkele DMARC-conforme bedrijven het. |
| rua (geaggregeerd verslag RUI) | Facultatief maar aanbevolen | Terwijl DMARC-parameters worden uitgelegd, geeft de rua-tag het e-mailadres of de webserver weer waaraan de rapporterende bedrijven moeten leveren. |
| rf (verslagformaat) | Optioneel | De standaardwaarde van deze DMARC-tag is "afrf". Hij registreert forensische rapportformaten. |
| pct (percentage) | Optioneel | De standaardwaarde is "100". Deze tag geeft het percentage e-mails aan waarop de beleidsmodus wordt geprobeerd
Bijvoorbeeld, "pct = 40" zal 40% van de e-mails filteren. |
| ri (meldingsinterval) | Optioneel | De standaardwaarde van de ri tag is "86400". Het specificeert het tijdsinterval in seconden tussen twee opeenvolgende geaggregeerde rapporten. |
Samenvatting
DMARC-parameters werken samen om je te helpen phishing- en spoofingaanvallen te voorkomen die in naam van je merk worden uitgevoerd. Het werkt samen met SPF en DKIM, waarbij DMARC-beleidsregels worden toegepast om de ontvangende server te vertellen hoe om te gaan met e-mails die de validatiecontroles niet doorstaan. De drie tags zijn p=geen (er wordt geen actie ondernomen op de mislukte e-mails), p=quarantaine (mislukte e-mails belanden in de spammap in plaats van in de inbox) en p=verwerpen (mislukte e-mails worden volledig geweerd uit de postvakken van de beoogde ontvangers).
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.
Nieuwste berichten van Ahona Rudra (zie alle)
- Microsoft versterkt de regels voor e-mailafzenders: Belangrijke updates die u niet mag missen - 3 april 2025
- DKIM instellen: Stap-voor-stap handleiding voor het configureren van DKIM voor e-mailbeveiliging (2025) - 31 maart 2025
- PowerDMARC erkend als Grid Leader voor DMARC in G2 Spring Reports 2025 - 26 maart 2025
