E-mail is een van de meest gebruikte communicatiemiddelen. Maar het is zeer gevoelig voor aanvallen van hackers en spammers. Het implementeren van SPF, DKIMen DMARC je e-mailconversaties afschermen en voorkomen dat bedreigers ze kapen. In deze blog bespreken we de belangrijkste DMARC-parameters die je helpen om aan de slag te gaan.
Wat is DMARC?
Om te begrijpen welke parameters bij DMARC horen, moet u eerst weten wat DMARC is en hoe het werkt.
DMARC staat voor Domain-based Message Authentication Reporting and Conformance. Het is een e-mailverificatieprotocol waarmee u een specifiek beveiligingsbeleid voor uw e-mailverificatieproces kunt opstellen en publiceren. Het geeft de mailbox van de ontvanger instructies over de behandeling van niet-authentieke e-mails die van uw officiële domein zijn verzonden.
Hoe werkt DMARC?
DMARC wordt geïmplementeerd in combinatie met SPF en DKIM. De domeineigenaar maakt een DMARC DNS-record aan en publiceert dit bij zijn DNS-provider. Wanneer een e-mail wordt verzonden vanaf dat domein (door u en uw werknemers of door cybercriminelen), valideert de e-mailserver van de ontvanger de echtheid ervan door te controleren of het domein een DMARC-record heeft gepubliceerd op DNS.
Daarnaast voert de server van de ontvanger DKIM- en SPF-controles uit om te weten of de afzender werkelijk is wie hij zegt dat hij is. De volgende controles worden uitgevoerd:
- Als het bericht een geldige DKIM-handtekening?
- Als het IP-adres van de afzender overeenkomt met de geautoriseerde afzenders in het SPF-record?
- Voldoen de berichtkoppen aan de domeinuitlijningstests?
Zodra de SPF- en DKIM-resultaten bekend zijn, past de mailserver het beleid toe. Uiteindelijk wordt een rapport met de naam DMARC Aggregate Report gestuurd naar het e-mailadres dat is opgegeven voor het ontvangen van rapporten.
DMARC-beleid
Een van de primaire DMARC-parameters zijn de drie DMARC-beleidslijnen. U kunt enige tijd controleren en dan beslissen hoe u wilt dat ontvangende mailboxen niet-geauthenticeerde e-mails die vanaf uw domein worden verzonden, behandelen. Dit zijn de drie beleidslijnen:
Monitorbeleid: p=none
Dit DMARC beleid vertelt e-mailservers om rapporten af te leveren aan het adres dat vermeld staat in de rua of ruf tag van uw DMARC-record. Het wordt een monitoring-only beleid genoemd dat in de eerste fase van DMARC-compliance wordt toegepast om de activiteit van uw e-mailkanaal te analyseren.
Het biedt inzicht in het e-mailkanaal, maar vertelt de ontvangende servers niet hoe zij e-mails moeten behandelen die de DMARC-controles niet doorstaan.
quarantinebeleid: p=quarantine
Deze DMARC recordparameter instrueert ontvangende servers om e-mails die de DMARC-authenticatie niet doorstaan in de spammap te plaatsen. E-mails die de authenticatietest doorstaan komen in de inbox terecht. Dit minimaliseert de kans dat je per ongeluk een phishing-e-mail ontvangt, maar dergelijke schadelijke e-mails komen nog steeds in de spammap terecht.
Afwijzingsbeleid: p=afwijzen
De parameter p=reject DMARC instrueert e-mailservers om de invoer van e-mails die de DMARC-verificatiecontroles niet doorstaan volledig te weigeren. Alle goedgekeurde e-mails worden in de inbox afgeleverd. Er is echter kans op valse mislukkingen, waardoor zinvolle en authentieke e-mails soms ook de beoogde ontvangers niet bereiken.
DMARC Tag Types en wat ze doen
DMARC-tags specificeren aspecten van DMARC-parameters en ze zijn niet allemaal even belangrijk en worden niet allemaal evenveel gebruikt. Ze zijn onderverdeeld in drie categorieën.
- Vereist: Dit zijn verplichte tags. Elke DMARC TXT record moet beginnen met de verplichte 'v' of version tag en de waarde ervan toevoegen als 'DMARC1'.
- Facultatief maar aanbevolen: Het is niet nodig om deze tags toe te voegen, maar ze helpen bij het genereren van rapporten.
- Optioneel: U kunt deze tags volledig overslaan.
Functies van DMARC Tags
Er zijn in totaal 11 tags belangrijk voor DMARC record parameters en de "v" en "p" tags zijn verplicht. Laten we eens kijken wat de functie is van elke tag.
| DMARC labelnaam | Type | Functie |
| v (versie) | Vereist | Deze DMARC tag specificeert de versie. Momenteel is er maar één versie, dus de waarde is vastgesteld op v=DMARC1. |
| p (beleid) | Vereist | De DMARC parameter toont de DMARC beleidsmodus. Deze stuurt de ontvanger aan om e-mails die de authenticatiecontroles niet doorstaan te rapporteren, in quarantine te plaatsen of af te wijzen. |
| adkim | Optioneel | Dit is de afkorting voor DKIM afstemmingsmodus. De waarde kan Strict (s) of Relaxed (r) zijn.
In de ontspannen modus geeft de validatie een positief resultaat indien het geverifieerde DKIM-record gericht is op een domein d=sample.com, en het e-mailadres van de afzender van de categorie email@news.sample.com is. In de strikte modus toont de validatie een geslaagd resultaat wanneer de e-mail afkomstig is van een adres op het domein sample.com. Subdomeinen kunnen niet worden gevalideerd. |
| aspf | Optioneel | Deze DMARC-parameter staat voor de SPF-aanpassingsmodus. De waarde ervan kan Streng (s) of Ontspannen (r) zijn. De standaardwaarde is Relaxed (r). |
| sp (subdomeinbeleid) | Optioneel | De tag DMARC sp specificeert het subdomeinbeleid. De beleidsmodus wordt geconfigureerd voor uw hoofddomein (p). |
| fo (storingsmelding) | Optioneel | De standaardwaarde van de DMARC fo tag is 0. Deze komt overeen met de opties voor storingsmelding waaruit de domeineigenaars kunnen kiezen.
De beschikbare opties zijn: fo=0: er wordt een DMARC failure/forensic report naar u gestuurd als uw e-mail niet voldoet aan zowel SPF als DKIM afstemming. fo=1: er wordt een DMARC failure/forensic report naar u gestuurd wanneer uw e-mail niet voldoet aan SPF of DKIM alignment. fo=d: er wordt een DKIM-foutmelding gestuurd als de DKIM-handtekening van de e-mail niet gevalideerd wordt, ongeacht de uitlijning. fo=s: er wordt een SPF-faalmelding gestuurd als de e-mail de SPF-evaluatie niet doorstaat, ongeacht de afstemming. |
| ruf (storingsmelding RUI) | Facultatief maar aanbevolen | Daarin staat waar het DMARC forensisch ruf-rapport naartoe moet worden gestuurd. Momenteel sturen slechts enkele DMARC-conforme bedrijven het. |
| rua (geaggregeerd verslag RUI) | Facultatief maar aanbevolen | Terwijl DMARC-parameters worden uitgelegd, geeft de rua-tag het e-mailadres of de webserver weer waaraan de rapporterende bedrijven moeten leveren. |
| rf (verslagformaat) | Optioneel | De standaardwaarde van deze DMARC-tag is "afrf". Hij registreert forensische rapportformaten. |
| pct (percentage) | Optioneel | De standaardwaarde is "100". Deze tag geeft het percentage e-mails aan waarop de beleidsmodus wordt geprobeerd
Bijvoorbeeld, "pct = 40" zal 40% van de e-mails filteren. |
| ri (meldingsinterval) | Optioneel | De standaardwaarde van de ri tag is "86400". Het specificeert het tijdsinterval in seconden tussen twee opeenvolgende geaggregeerde rapporten. |
Samenvatting
DMARC-parameters werken samen om u te helpen phishing- en spoofingaanvallen te voorkomen die in naam van uw merk worden uitgevoerd. Het werkt samen met SPF en DKIM, waarbij DMARC-beleid wordt toegepast om de ontvangende server te vertellen hoe hij moet omgaan met e-mails die de validatiecontroles niet doorstaan. De drie tags zijn p=geen (er wordt geen actie ondernomen op de mislukte e-mails), p=quarantine (mislukte e-mails komen in de spammap terecht in plaats van in de inbox), en p=verwerpen (mislukte e-mails worden volledig geweerd uit de mailbox van de beoogde ontvangers).
