DMARCbis uitgelegd - wat er verandert en hoe je je kunt voorbereiden
door
Leestijd: 4 min
De domeingebaseerde berichtenauthenticatie, -rapportage en -conformiteit (DMARC) protocol ondergaat een belangrijke update sinds de eerste publicatie. De geherdefinieerde specificatie staat bekend als DMARCbis en is nog in concept is, gericht op het aanpakken van al lang bestaande uitdagingen in e-mailverificatie. Dit is alles wat je moet weten over wat er verandert en hoe je je daarop kunt voorbereiden.
Huidige status: Internet Ontwerp
Fase: Laatste oproep
Verwachte publicatiedatum: Niet gespecificeerd
Komt te vervallen: RFC 7489 & 9091 (indien goedgekeurd)
Bron: DMARCbis Ontwerp
Belangrijkste opmerkingen
- DMARCbis is de bijgewerkte opvolger van het oorspronkelijke DMARC-protocol, met als doel de duidelijkheid en afstemming te verbeteren.
- Het herdefinieert de Public Suffix List (PSL) met een betrouwbaardere DNS Tree Walk om het organisatiedomein te identificeren.
- Tags zoals pct, rf en ri worden niet meer gebruikt om de implementatie te vereenvoudigen en verwarring te verminderen.
- Een paar nieuwe tags, zoals psd, np en t worden geïntroduceerd om publieke suffixdomeinen duidelijk te definiëren en beleidserfenis te helpen beheren.
- De DMARC recordversie blijft hetzelfde (v=DMARC1) voor achterwaartse compatibiliteit.
- Bestaande DMARC-instellingen met geldige basisdomeinrecords blijven werken zonder onmiddellijke wijzigingen.
- PowerDMARC kan uw overgang vereenvoudigen door documentbeheer te automatiseren, deskundige begeleiding te bieden en inzicht te bieden in al uw domeinen.
Wat is DMARCbis?
DMARCbis is een bijgewerkte versie van de oorspronkelijke DMARC-specificatie, ontwikkeld door de IETF (Internet Engineering Task Force). Het bouwt voort op de fundamenten van RFC 7489 en RFC 9091 en, indien goedgekeurd, vervangt het deze door herzieningen die dubbelzinnigheden in het protocol verduidelijken. Terwijl zijn voorganger een Informatieve RFCDMARCbis ligt op schema om gepubliceerd te worden als een Voorgestelde StandaardDit duidt op een bredere consensus en bereidheid van de industrie.
DMARCbis zal zich voornamelijk richten op duidelijkheid, beveiliging en een betere afstemming op domeinen. Ondanks de nieuwe definitie blijft de v=DMARC1 tag ongewijzigd om achterwaartse compatibiliteit te behouden.
Belangrijkste wijzigingen in DMARCbis
| Functie | Origineel DMARC | DMARCbis (Nieuwe wijzigingen) |
|---|---|---|
| Methode voor domein opzoeken | Gebruikt openbare suffixlijst (PSL) | Opnieuw gedefinieerd met DNS Tree Walk (gaat omhoog in domeinhiërarchie, stopt bij psd=y of psd=n). Max. 8 niveaus. |
| Tags | Ondersteunt pct, rf, ri | Verwijdert pct , ri en rf (vereenvoudigt protocol). |
| Nieuw label | Geen | Voegt psd (markeert expliciet openbare suffixdomeinen), np en t-tags toe. |
| Beleidsduidelijkheid | Geen richtlijnen voor beleid erfenis | Duidelijke regels voor domeineigenaren om overerving via psd te regelen. |
| Specificatie | Complex, minder gestructureerd | Vereenvoudigde documenten, betere voorbeelden en terminologie. |
| Compatibiliteit | v=DMARC1 records | Geen verandering - oude records werken nog steeds. |
1. DNS Tree Walk herdefinieert openbare suffixlijst
De Public Suffix List (PSL) wordt opnieuw gedefinieerd met een DNS-native Tree Walk-methode om het Organisational Domain te bepalen.
Het DNS Tree Walk-algoritme doorkruist de domeinhiërarchie om een geldig DMARC-record te vinden. Hierdoor kunnen domeingrenzen direct in het DNS worden gedefinieerd en zijn er geen suffixlijsten van derden nodig. De wandeling stopt wanneer een geldig DMARC-beleidsrecord wordt gevonden dat de tag psd=y (openbaar suffixdomein) of psd=n (organisatiedomein) bevat. Dit vertelt het systeem waar het organisatiedomein is.
Als er geen beleid wordt gevonden, wordt er verder gezocht tot maximaal 8 niveaus.
2. Afgeschreven tags
De volgende tags worden verwijderd om het protocol te stroomlijnen:
- pct (procentuele beleidstoepassing)
- rf (rapportformaat)
- ri (verslaginterval)
3. Nieuwe en bijgewerkte tags
- De nieuwe psd tag definieert Public Suffix Domains duidelijker, waardoor domeineigenaren de overerving van beleid in Tree Walks kunnen controleren.
- De t-tag is een signaal aan de ontvanger (validator) dat de domeineigenaar zich in een testfase bevindt en mogelijk geen volledige handhaving van het beleid (p, sp, np) wil. Het verandert niets aan de manier waarop DMARC-rapporten worden gegenereerd en heeft geen invloed op beleidsregels die al zijn ingesteld op geen. Het gedrag is adviserend omdat ontvangers kunnen kiezen of ze er wel of niet op willen reageren.
- De nieuwe np label (non-existent policy) specificeert het DMARC-beleid dat van toepassing is op subdomeinen die niet bestaan (d.w.z. domeinen die niet resolven of niet geregistreerd zijn als actieve zones).
4. "Vereisten voor "Volledige deelname
Nieuwe richtlijnen definiëren wat het betekent voor domeineigenaren en ontvangers om DMARC volledig te ondersteunen, waarbij duidelijkere verwachtingen worden gesteld en de interoperabiliteit wordt verbeterd.
5. Verbeterd specificatieformaat
Het document is geherstructureerd met betere voorbeelden, verduidelijkte terminologie en een schonere lay-out, waardoor de implementatie voor alle belanghebbenden eenvoudiger is geworden.
Wat blijft hetzelfde?
- Bestaande DMARC-records met v=DMARC1 blijven geldig.
- De DMARC-kernmechanismen voor SPF, DKIM en alignment zijn nog steeds van toepassing.
- De beleidstags (p, sp, rua, ruf) blijven centraal staan in de DMARC-functionaliteit.
Invloed op bestaande DMARC implementaties
De DMARCbis update is achterwaarts compatibel en heeft geen invloed op bestaande RFC 7489 compatibele implementaties. Nieuwe tags zijn optioneel, dus huidige opstellingen blijven onaangetast. Hoewel het voor een gestroomlijnde verificatie wordt aanbevolen om je records te controleren, is er geen onmiddellijke actie nodig als je DMARC correct is geconfigureerd.
Voorbereiding op DMARCbis
Hoewel de veranderingen niet storend zijnmoeten organisaties zich gaan voorbereiden om hun e-mailbeveiligingsbeleid klaar te maken voor de toekomst. Hier leest u hoe:
- Uw DMARC-records controleren: Controleer uw huidige record om ervoor te zorgen dat binnenkort verouderde tags zoals pct of rf worden verwijderd. Controleer of het basisdomein (organisatiedomein) een geldig DMARC-beleid heeft.
- Het Tree Walk Model begrijpen: Zorg ervoor dat uw subdomeinen het beleid erven zoals verwacht onder het nieuwe hiërarchiegebaseerde mechanisme. Voor complexe opstellingen simuleert u de DNS Tree Walk-logica om het gedrag te controleren.
- Overweeg de tag psd: Maak jezelf vertrouwd met psd=n of psd=y om expliciet domeingrenzen te definiëren als je domeinstructuur dit vereist.
- Uw beveiligingsteam opleiden: Zorg ervoor dat uw e-mail- en beveiligingsteams op de hoogte zijn van deze aankomende wijzigingen en de implicaties ervan voor verificatie en deliverability begrijpen.
Hoe kan PowerDMARC helpen?
PowerDMARC kan organisaties helpen naadloos over te stappen op DMARCbis door een combinatie van automatisering, zichtbaarheid en deskundige begeleiding.
- Geautomatiseerde instelling en beheer van DMARC, SPF en DKIM via een gecentraliseerd dashboard voor e-mailverificatie
- Vereenvoudigde rapportage met volledig inzicht in e-mailkanalen
- Gehoste oplossingen voor naadloze beleidsupgrades en recordoptimalisatie
- Een team van toegewijde experts om je in realtime te helpen bij problemen en veranderingen.
Klaar om DMARC te vereenvoudigen? Neem contact op met PowerDMARC voor een gratis 1:1 gesprek met een van onze interne experts!
Laatste gedachten
DMARCbis biedt meer flexibiliteit, duidelijkheid en controle, vooral als je DMARC-beleid voor subdomeinen afzonderlijk wilt beheren. Hoewel er geen dringende actie nodig is, kun je ervoor kiezen om de nodige voorbereidingen te treffen voor een beter beheer van domeinauthenticatie.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is een Operations Team Lead bij PowerDMARC met expertkennis in e-mailverificatie en -beveiliging. Yunes is een Microsoft-gecertificeerde Azure Administrator Associate met certificeringen in CompTIA A+ en nog veel meer.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
