Als e-mailverificatie en DMARC-analysezijn er een paar DMARC-regels die je vanaf vandaag moet volgen en die een spelbreker kunnen zijn in je reis naar e-mailverificatie. Om een paar van de meest elementaire regels samen te vatten:
1. Gebruik geen beleid dat geen authenticatie toestaat
4. Stel ook SPF records in voor uw domein(en)
5. Stel een DKIM handtekening in voor uw domein(en)
Laten we nu dieper ingaan en deze DMARC regels samen met andere onderzoeken, om u te helpen uw algemene authenticatie infrastructuur te versterken.
We hebben allemaal gehoord over DMARC, maar wat is het?
DMARC staat voor Domain-based Message Authentication, Reporting & Conformance. Het is een e-mailbeveiligingsprotocol dat ervoor zorgt dat uw e-mail wordt geverifieerd voordat deze wordt afgeleverd om vervalsing van domeinen te minimaliseren. Het is ontwikkeld om phishing en andere e-mailaanvallen te voorkomen door te verifiëren dat de afzender van een e-mail is wie hij zegt dat hij is.
Hoe gebruik je DMARC?
Het is eenvoudig! Ten eerste, je stelt de DNS records van je domein in om aan te geven dat je DMARC wilt gebruiken. Dan, als iemand probeert een e-mail van uw domein te verzenden zonder DMARC te gebruiken, zullen ze niet in staat zijn om het te verzenden, tenzij ze een publieke sleutel hebben die is gekoppeld aan hun domein - wat alleen mogelijk is als ze geautoriseerd zijn. Dit zorgt ervoor dat alleen legitieme e-mails de inbox van de ontvanger bereiken, terwijl mensen ook meldingen kunnen instellen voor berichten die van buiten hun netwerk komen.
Het proces werkt als volgt:
- Een verzender maakt een DMARC record voor hun domein met een SPF record en zet DKIM ondertekening (optioneel maar aanbevolen) aan in hun DNS records.
- Wanneer een e-mail vanaf dat domein wordt verzonden, bevat deze een header met informatie over welke instellingen zijn gebruikt en waarop deze zijn ingesteld. Deze header kan door ontvangers zoals Gmail worden gebruikt om na te gaan of het bericht al dan niet volgens het verwachte formaat is verzonden.
- Als er een probleem is met een van deze instellingen, dan wordt het gemarkeerd als "failing" of "soft failing", afhankelijk van het feit of de afzender dit al dan niet opzettelijk heeft gedaan; als dat het geval is, kan hij ervoor kiezen het te negeren totdat hij de oorzaak heeft verholpen.
Een van de dingen die we leuk vinden aan DMARC is hoe eenvoudig het is om het op te zetten - het kan in slechts een paar stappen!
DMARC-regels 101 voor bedrijven
Wanneer u een DMARC beleidzijn er een aantal regels die je moet volgen. Hier is een lijst van de top 5 meest belangrijke DMARC regels:
- Het beleid moet een TXT record zijn, en het moet gepubliceerd zijn in uw DNS. Als u geen TXT record in uw DNS hebt, hebt u het protocol niet geïmplementeerd.
- Het beleid moet p=reject of p=quarantine zijn als u berichten wilt blokkeren die niet geauthenticeerd zijn.
- Als u meerdere policies gebruikt en voor elke policy verschillende authenticatieniveaus instelt (zoals "mijn merk" vs "mijn organisatie"), zorg er dan voor dat ze allemaal unieke SPF records en DKIM signaturen hebben! Anders worden ze allemaal samengevoegd onder één regel en zullen ze niet goed synchroniseren.
- DMARC vereist ook dat je SPF- en/of DKIM-records instelt voor je domein. Deze regel is verplicht, zelfs als je DMARC niet wilt gebruiken, omdat het helpt spoofing-aanvallen te voorkomen waarbij een aanvaller het e-mailadres of de domeinnaam van iemand anders kan gebruiken om phishing-e-mails te verzenden die legitiem lijken, maar eigenlijk niet van een geautoriseerde bron afkomstig zijn.
- Een andere belangrijke DMARC-regel vereist dat je een DMARC-record met je e-mailadres publiceert, zodat andere organisaties eventuele problemen met betrekking tot je e-mails via dit systeem kunnen melden. Dit staat bekend als DMARC-rapporten.
Extra DMARC regels voor betere bescherming
- Overweeg een DMARC-beleid op te zetten voor uw geparkeerde domeinen (inactieve domeinen), aangezien zelfs deze door aanvallers kunnen worden gespooft om zich met succes voor te doen als uw merk.
- Het opzetten van meerdere SPF of DMARC records voor hetzelfde domein wordt ten strengste afgeraden. Een enkel domein mag slechts één SPF en DMARC record bevatten. U kunt er wel voor kiezen om meer dan één DKIM record voor hetzelfde domein in te stellen om periodieke sleutelrotatie mogelijk te maken voor een betere bescherming.
- U kunt het opzetten van een beleid voor uw subdomeinen overslaan, tenzij u een andere manier van handhaving voor hen wilt implementeren. Dit komt omdat DMARC policies voor uw hoofddomein automatisch worden overgeërfd door subdomeinen.
- Als je DMARC rapporten buiten je domein wilt ontvangen (op een extern email adres dat niet binnen je eigen domein valt) moet je externe domein verificatie aanzetten om servers te vertellen dat het externe domein toestemt in het ontvangen van die rapporten.
- Tot slot is het belangrijk op te merken dat DMARC geen wondermiddel is en u niet tegen alle aanvallen beschermt. U moet een betrouwbare antivirus en firewall hebben samen met DMARC om uw beveiliging te verhogen.
In welke fase van uw authenticatieproces moet u deze DMARC regels implementeren?
Als u net begint, hoeft u zich niet helemaal aan het begin van uw authenticatieproces aan alle bovengenoemde DMARC regels te houden. Bijvoorbeeld, een p=reject policy om mee te beginnen kan complicaties in deliverability veroorzaken. In plaats daarvan is het aan te raden om te beginnen met een none policy om uw e-mailkanalen te monitoren voordat u overgaat tot handhaving.
Hier wordt het misschien een beetje ingewikkeld. Het is van cruciaal belang dat u een tempo bepaalt dat het beste werkt voor u en uw bedrijf. Begin langzaam met de invoering van een soepel beleid voor uw protocollen, zodat u er volledige controle over hebt, totdat u klaar bent om voor handhaving te kiezen.
