Top 10 DMARC-regels die u in 2022 moet volgen

Blog

Een lijst met top 10 DMARC-regels die uw authenticatietraject in 2022 zullen katapulteren om de spoofingbescherming van uw e-mail te maximaliseren.

door Ahona Rudra

Leestijd: 5 min
Top 10 DMARC-regels die u in 2022 moet volgen
Inhoudsopgave-

Als e-mailverificatie en DMARC-analysezijn er een paar DMARC-regels die je vanaf vandaag moet volgen en die een spelbreker kunnen zijn in je reis naar e-mailverificatie. Om een paar van de meest elementaire regels samen te vatten:

1. Gebruik geen beleid dat geen authenticatie toestaat

4. Stel ook SPF-records in voor uw domein(en)

5. DKIM-handtekening instellen voor uw domein(en)

Laten we nu dieper ingaan op deze DMARC-regels en andere regels, zodat je je algehele authenticatie-infrastructuur kunt versterken.

Belangrijkste opmerkingen

  1. Het gebruik van een beleid dat geen authenticatie toestaat moet vermeden worden.
  2. SPF-records zijn essentieel voor het valideren van je domein en het voorkomen van spoofing.
  3. Het implementeren van een DKIM-handtekening wordt aanbevolen om de integriteit en authenticiteit van e-mail te waarborgen.
  4. Het publiceren van een DMARC-record is essentieel voor het rapporteren van problemen met e-mailverificatie.
  5. Een betrouwbare antivirus en firewall zijn nodig als aanvulling op DMARC voor uitgebreide beveiliging.

We hebben allemaal over DMARC gehoord, maar wat is het eigenlijk?

DMARC staat voor Domain-based Message Authentication, Reporting & Conformance. Het is een e-mailbeveiligingsprotocol dat ervoor zorgt dat uw e-mail wordt geverifieerd voordat deze wordt afgeleverd om vervalsing van domeinen te minimaliseren. Het is ontwikkeld om phishing en andere e-mailaanvallen te voorkomen door te verifiëren dat de afzender van een e-mail is wie hij zegt dat hij is.

Vereenvoudig DMARC met PowerDMARC!

15 dagen op proefBoek een demo

Hoe gebruik je DMARC?

Het is heel eenvoudig! Eerst stelt u de DNS-records van uw domein in om aan te geven dat u DMARC wilt gebruiken. Als iemand vervolgens een e-mail probeert te versturen vanaf uw domein zonder DMARC te gebruiken, kan hij deze niet versturen tenzij hij een publieke sleutel heeft die aan zijn domein is gekoppeld, wat alleen mogelijk is als hij is geautoriseerd. Dit zorgt ervoor dat alleen legitieme e-mails de inbox van ontvangers bereiken, terwijl mensen ook meldingen kunnen instellen voor berichten die van buiten hun netwerk komen.

Het proces werkt als volgt: 

  • Een verzender maakt een DMARC record voor zijn domein met een SPF record en schakelt DKIM ondertekening in (optioneel maar aanbevolen) in zijn DNS records.
  • Wanneer een e-mail vanaf dat domein wordt verzonden, bevat deze een header met informatie over welke instellingen zijn gebruikt en waarop ze zijn ingesteld. Deze header kan worden gebruikt door ontvangers zoals Gmail om te controleren of het bericht is verzonden volgens het verwachte formaat of niet. 
  • Als er een probleem is met een van deze instellingen, wordt dit gemarkeerd als mislukt of zacht mislukt, afhankelijk van of dit opzettelijk was van de verzender; als dat zo is, kunnen ze ervoor kiezen om het helemaal te negeren totdat ze de oorzaak hebben verholpen.

Wat we zo geweldig vinden aan DMARC is hoe eenvoudig het is om het in te stellen: het kan in slechts een paar stappen!

DMARC-regels 101 voor bedrijven 

Wanneer je een DMARC-beleidzijn er een paar regels die je moet volgen. Hier volgt een lijst met de top 5 belangrijkste DMARC-regels:

  1. Het beleid moet een TXT-record zijn en het moet gepubliceerd zijn in je DNS. Als je geen TXT-record in je DNS hebt, heb je het protocol niet geïmplementeerd.
  2. Het beleid moet p=reject of p=quarantine zijn als je berichten wilt blokkeren die niet geverifieerd zijn. 
  3. Als je meerdere policies gebruikt en verschillende authenticatieniveaus instelt voor elk (zoals "mijn merk" vs "mijn organisatie"), zorg er dan voor dat ze allemaal unieke SPF records en DKIM handtekeningen hebben! Anders worden ze allemaal samengevoegd onder één regel en zullen ze niet goed synchroniseren.
  4. DMARC vereist ook dat je SPF- en/of DKIM-records instelt voor je domein. Deze regel is verplicht, zelfs als je DMARC niet wilt gebruiken, omdat het helpt spoofing-aanvallen te voorkomen waarbij een aanvaller het e-mailadres of de domeinnaam van iemand anders kan gebruiken om phishing-e-mails te verzenden die legitiem lijken, maar eigenlijk niet van een geautoriseerde bron afkomstig zijn.
  5. Een andere belangrijke DMARC-regel vereist dat je een DMARC-record met je e-mailadres publiceert, zodat andere organisaties eventuele problemen met betrekking tot je e-mails via dit systeem kunnen melden. Dit staat bekend als DMARC-rapporten

Extra DMARC-regels voor betere bescherming

  1. Overweeg om een DMARC-beleid in te stellen voor je geparkeerde domeinen (inactieve domeinen), omdat zelfs deze door aanvallers kunnen worden gespoofed om zich met succes voor te doen als je merk. 
  2. Het opzetten van meerdere SPF- of DMARC-records voor hetzelfde domein wordt ten strengste afgeraden. Een enkel domein mag slechts één SPF- en DMARC-record bevatten. Je kunt er echter voor kiezen om meer dan één DKIM-record in te stellen voor hetzelfde domein om periodieke sleutelrotatie mogelijk te maken voor een betere bescherming.  
  3. Je kunt het instellen van een beleid voor je subdomeinen overslaan, tenzij je voor hen een andere handhavingsmodus wilt implementeren. DMARC-beleid voor je hoofddomein wordt namelijk automatisch overgenomen door subdomeinen. 
  4. Als je DMARC-rapporten buiten je domein wilt ontvangen (op een extern e-mailadres dat niet binnen het bereik van je eigen domein valt), moet je externe domeinverificatie inschakelen om servers te vertellen dat het externe domein toestemming geeft voor het ontvangen van die rapporten. 
  5. Tot slot is het belangrijk op te merken dat DMARC geen wondermiddel is en je niet tegen alle aanvallen beschermt. Je hebt naast DMARC een betrouwbare antivirus en firewall nodig om je beveiliging op te schalen. 

In welke fase van je authenticatieproces moet je deze DMARC-regels implementeren?

Als je net begint, hoef je je niet meteen aan het begin van je authenticatieproces aan alle bovengenoemde DMARC-regels te houden. Een p=verwerp beleid om mee te beginnen kan bijvoorbeeld complicaties veroorzaken in de deliverability. In plaats daarvan is het aan te raden om te beginnen met een geen-beleid om je e-mailkanalen te controleren voordat je overgaat tot handhaving.

Hier kunnen de zaken een beetje ingewikkeld worden. Het is cruciaal dat je een tempo bepaalt dat het beste werkt voor jou en je bedrijf. Begin langzaam met het implementeren van een ontspannen beleid voor je protocollen, zodat je er volledige controle over hebt totdat je klaar bent om te kiezen voor handhaving.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)
PowerDMARC helpt Hamdan Bin Mohammed Smart University hun e-mailbeveiliging te...PowerDMARC helpt Hamdan Bin Mohammed Smart University hun e-mailbeveiligingsproblemen op te lossenWat is Trusted ARC SealWat is een Trusted ARC Seal?