In dit artikel wordt in detail uitgelegd wat DMARC policy overrides zijn, hoe ze werken, wat het verschil is tussen een DMARC policy override en een DMARC policy failure en of het overriden van DMARC records legitiem is of niet.
Belangrijkste opmerkingen
- DMARC-beleid overschrijven gebeurt wanneer een ontvangende e-mailserver het opgegeven DMARC-beleid van de afzender niet respecteert.
- De ontvangende mailserver kan zijn eigen beleid hebben dat kan leiden tot het overschrijven van de strengere DMARC-instellingen van de afzender.
- De DMARC-specificatie moedigt e-mailontvangers aan om het DMARC-beleid van de domeineigenaar zo goed mogelijk te respecteren.
- Overschrijven is toegestaan onder RFC 7489, maar gaat in tegen de geest van DMARC.
- Het is belangrijk dat verzenders DMARC-beleidswijzigingen bijhouden om spoofing van e-mails te voorkomen en de beveiliging te handhaven.
DMARC beleid overschrijven: Uitgelegd
DMARC-beleid wordt overschreven wanneer de ontvangende e-mailserver het DMARC record overschrijft dat is ingesteld door de afzender. Dit gebeurt wanneer de afzender heeft aangegeven dat hij wil dat zijn e-mail wordt geweigerd als deze niet overeenkomt met het beleid van een inkomende mailserver, maar de ontvangende mailserver besluit dat dit niet past bij zijn eigen beleid.
Bijvoorbeeld als de afzender een strikt beleid heeft opgegeven (zoals "p=weiger alle mail zonder SPF of DKIM") en de ontvangende e-mailserver een ontspannen of los beleid heeft (zoals "accepteer alle mail zonder SPF of DKIM"). In deze situatie kan de ontvangende server het DMARC-beleid van de afzender overschrijven met zijn eigen lokale beleid en het bericht afleveren in de inbox van de ontvanger, zelfs als het niet door de DMARC-controles komt.
Vereenvoudig DMARC-beleid met PowerDMARC!
DMARC-beleid opheffen mechanisme begrijpen
DMARC wordt gebruikt om beleidsinstellingen door te geven die e-mailontvangers kunnen gebruiken om af te dwingen tegen e-mails die vanaf uw domein zijn verzonden.
Je kunt bijvoorbeeld een beleid voor DMARC gebruiken om de e-mailserver van de ontvanger te vertellen wat hij moet doen (p=verwerpen of p=geen of p=quarantaine) als een SPF- of DKIM-controle mislukt in e-mails die vanaf jouw domein worden verzonden.
Dit vat de kracht van DMARC wel samen, toch?
Maar wat als de ontvangende mailserver zijn eigen lokale beleid heeft om ontvangen e-mails te behandelen? Zal hij zich houden aan het DMARC-beleid dat is ingesteld door de afzender OF zal hij het beleid van de afzender overschrijven met zijn eigen lokale beleid?
Nou...
Volgens de DMARC-specificatie moeten e-mailontvangers te goeder trouw proberen het gepubliceerde DMARC-beleid van de domeineigenaars te respecteren. Dus als een test van de SPF-, DKIM- en From-header van de afzender mislukt op een bericht, moet dat leiden tot wat in het DMARC-beleid van de afzender is bepaald (p), zoals quarantine, afwijzing of GEEN.
Laten we aannemen dat de situatie als volgt is:
Uw domein (mypersonaldomain.org) heeft DMARC-beleid (p=none).
De e-mailserver van de ontvanger (theirdomain.org) weigert alle e-mailberichten die niet voldoen aan de SPF-controle. Dit betekent dat als een e-mail verstuurd naar (theirdomain.org) niet voldoet aan de SPF-controle, deze wordt geweigerd. Toch?
Maar...
Wat gebeurt er als een e-mail van uw domein (mypersonaldomain.org) met DMARC-beleid p=none wordt ontvangen op somedomain.org en niet door de SPF-controle komt?
In dit geval is het afhankelijk van de ontvangende mailserver (hoe deze is geconfigureerd) om akkoord te gaan met het DMARC-beleid dat is ingesteld door de afzender OF de e-mail af te wijzen door het beleid van de afzender op te heffen met regels die zijn gedefinieerd in het lokale beleid van p=afwijzen bij mislukte SPF-controle.
Microsoft 365 is hier een realtime voorbeeld van, omdat het alle p=afgewezen e-mails naar de junk/spam-map van de gebruiker stuurt in plaats van ze af te wijzen. Dit komt omdat O365 het prima vindt dat de ontvanger de uiteindelijke beslissing neemt.
De vijf waarden van DMARC-beleid overschrijven
doorgestuurd - De e-mail is waarschijnlijk doorgestuurd, gebaseerd op lokale algoritmen die doorstuurpatronen identificeren. Authenticatie zal waarschijnlijk mislukken.
lokaal_beleid - het lokale beleid van de e-mailontvanger heeft de e-mail vrijgesteld van de gevraagde actie door de Domeineigenaar. Als het aangevraagde beleid bijvoorbeeld is ingesteld op "afwijzen", maar de ARC-controle is geslaagd, kan een e-mailontvanger deze beslissing opheffen en ervoor kiezen om een e-mail niet af te wijzen.
Wat is ARC? ARC staat voor Authentiek Ontvangen Keten (ARC). Met ARC worden de DKIM- en SPF-protocollen van een e-mail niet langer verbroken door doorsturen of mailinglijsten. Dit komt omdat ARC de resultaten van e-mailverificatie over routers, tussenpersonen en andere systemen ("hops") bewaart die een bericht kunnen wijzigen terwijl het van het ene knooppunt op het internet naar het andere gaat. Dus als er een ARC-keten aanwezig is, kan de ontvangende mailserver, die anders de berichten zou verwijderen, ervoor kiezen om de testresultaten te evalueren en een uitzondering te maken, waardoor legitieme berichten van deze indirecte mailflows hun bestemming bereiken. |
mailinglijst - De e-mail was verzonden vanaf een mailinglijst, dus het filterprogramma besloot dat de e-mail waarschijnlijk niet legitiem was.
bemonsterd_uit - Het bericht was niet van toepassing op het beleid omdat de instelling "pct" was ingesteld in het DMARC-record.
vertrouwde_forward - De fout werd voorzien door bewijs dat de e-mail koppelde aan een lokaal bijgehouden lijst van vertrouwde doorstuurders.
andere - Sommige beleidsregels bevatten uitzonderingen die niet werden behandeld door de andere vermeldingen in de lijst.
DMARC-beleid overschrijven: Is het toegestaan?
Sectie 6 van RFC 7489 stelt dat mailservers berichten moeten honoreren en afhandelen in overeenstemming met het beleid van de afzender. Hoewel overschrijven tegen de geest van DMARC is, behouden postbusproviders zich het recht voor om het beleid van een afzender te overschrijven. Dus ja, het is toegestaan dat de ontvangende server het DMARC-beleid overschrijft met zijn lokale beleid.
Dit betekent dat een e-mailserver nog steeds een vervalst bericht kan afleveren, ook al zegt het beleid dat het zou moeten volgen iets anders.
Moet u rapporten verzenden over het overschrijden van DMARC-beleid?
DMARC Policy Overrides vinden meestal plaats wanneer:
- De heuristiek van de ontvanger identificeert een bericht dat niet geverifieerd kon worden, maar verzonden zou kunnen zijn door een geautoriseerde bron.
- een mailboxprovider heeft een bericht dat niet geslaagd is voor DMARC vanwege e-mail doorsturen maar genoeg vertrouwen heeft in de legitimiteit ervan, kan hij het beleid omzeilen en het bericht toch afleveren.
Hoewel DMARC Policy Overrides zijn toegestaan, stellen secties 6 en 7.2 van de RFC 7489 dat wanneer een ontvanger ervoor kiest om af te wijken van het gepubliceerde beleid van de domeineigenaar, hij dit feit en de redenen hiervoor (met behulp van een geaggregeerd feedbackrapportageformaat) moet rapporteren aan de domeineigenaar.
Hoe is overschrijding van DMARC-beleid toegestaan?
DMARC bestaat uit twee delen:
DMARC-beleid - Dit wordt ingesteld door de verzendende organisatie (op de publiekelijk gerichte DNS van de verzendende organisatie, samen met SPF en DKIM) en definieert hoe de ontvangende partij berichten moet afhandelen die niet voldoen aan haar beleid.
DMARC Verificatie - Deze wordt gebruikt door de ontvangende organisatie (op de e-mailbeveiligingsgateway van de ontvangende organisatie) en controleert elk bericht dat wordt ontvangen van een bepaalde organisatie op de beleidsregels die zijn opgenomen in de DMARC-records van dat bedrijf. De mogelijkheid om de handhaving van het DMARC-beleid van een verzendende organisatie op te heffen, geldt echter ook voor ontvangende organisaties.
Een DMARC beleid is een "VERZOEK, GEEN VERPLICHTING"Het betekent in wezen dat je 'verzoekt' mailservers om aan te geven hoe ze moeten omgaan met e-mailberichten die worden verzonden vanaf of die zich voordoen als uw domein.
Ontvangers van e-mail zijn echter niet verplicht om een strikte reeks richtlijnen te volgen bij het verwerken van inkomende e-mails. Ze kunnen hun eigen beleid ontwikkelen met betrekking tot de berichten die ze accepteren of weigeren en deze normen dienovereenkomstig toepassen.
Bijvoorbeeld als de ontvanger het bericht als geldig beschouwt. Dus als een e-mail een DMARC-controle niet doorstaat, kan de ontvanger nog steeds zijn lokale beleid toepassen en het bericht in inboxen afleveren. Bovendien kan het beleid van de e-mailontvanger het beleid van de domeineigenaar opheffen.
Hoe kan een ontvangende organisatie mijn DMARC-beleid opheffen?
Andere organisaties kunnen je DMARC-beleidsconfiguratie overschrijven met hun eigen DMARC-verificatietools en hun eigen beleidsregels bepalen voor inkomende berichten. Afhankelijk van het systeem kan een gebruiker met beheerrechten alle domeinen of alleen bepaalde domeinen opheffen.
DMARC-beleidsregels worden ingesteld door de domeineigenaar en elke regel is alleen van toepassing op de domeinen van die organisatie. Een DMARC-beleid kan dus geen invloed hebben op de adressen of berichten van andere organisaties.
DMARC-beleid mislukt vs. DMARC-beleid overschrijven: Wat is het verschil?
DMARC mislukking Er is sprake van wanneer een mailserver DMARC niet correct implementeert, wat leidt tot een mislukte SPF- en DKIM-verificatie bij de ontvanger. Het onvermogen om je legitimiteit te verifiëren kan ertoe leiden dat inboxen je als spam markeren of je berichten weigeren. Hier respecteert de ontvangende mailserver het beleid van de afzender en overschrijft dit niet met zijn eigen lokale beleid.
DMARC-beleid wordt overschreven wanneer de ontvangende mailserver het beleid van de afzender niet respecteert. In plaats daarvan overschrijft hij het DMARC-beleid van de afzender met zijn eigen lokale beleid. Dit betekent dat als het bericht van de afzender een strikt beleid heeft van p=afwijzen zonder SPF of DKIM verificatie, de ontvangende mail het beleid terzijde schuift en het bericht toch in de inbox aflevert.
Houd DMARC-beleidsoverschrijdingen goed bij met PowerDMARC
Op de hoogte blijven van DMARC policy overrides is een cruciaal onderdeel van het voorkomen van e-mail spoofing en imitatie. De meeste organisaties hebben echter niet de tijd of de middelen om hun DMARC-beleid bij te houden.
Je kunt DMARC-beleidsoverschrijdingen niet stoppen, maar je kunt ze wel bijhouden met onze DMARC-service. We voorzien je van volledige rapporten over welke organisaties je beleidsmodus overschrijven en welk type berichten van welke en welke e-mails werden toegestaan aan de kant van de ontvanger. Dit helpt de verzender om bij te blijven en de nodige actie te ondernemen als spoofing of imitatie wordt geconstateerd.
Meld u aan voor onze Gratis DMARC proefversie vandaag nog en test het zelf!
- SPF Neutraal Mechanisme uitgelegd: Wanneer en hoe te gebruiken - 23 juni 2025
- DKIM domein uitlijning mislukt - RFC 5322 oplossingen - 5 juni 2025
- DMARCbis uitgelegd - wat verandert er en hoe bereid je je voor? - 19 mei 2025