DMARC instellen: Handleiding voor instellen en configureren van DMARC

Aangezien phishing en op e-mail gebaseerde aanvallen steeds populairder worden, moet u uw DMARC-instellingen configureren om uw verdediging tegen dreigende cyberaanvallen te versterken. Het instellen van het DMARC-protocol (Domain-based Message Authentication Reporting and Conformance) is de eerste stap op weg naar compliance met je e-mails. De snelst mogelijke manier om dit te bereiken is door een DNS-record aan te maken en het te laten publiceren met de hulp van je hostingprovider.

Om DMARCmoet je beginnen met het maken van een DMARC record. Hoe ingewikkeld het ook klinkt, het instellen van DMARC is relatief eenvoudig!

DMARC-instelling uitgelegd

Een DMARC-instelling is een e-mailverificatieproces dat organisaties helpt bij het bestrijden van e-mailspoofing, phishing en e-mailfraude. Om de authenticiteit van e-mailcommunicatie te valideren, werken DMARC-instellingen samen met andere e-mailverificatiesystemen zoals SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail).

Waarom moet je DMARC configureren?

90% van de phishingaanvallen gebruikt e-mail als vector, waardoor e-mailverificatie onmisbaar is. Het Internet Crime Complaint Center van de FBI van 2020 (FBI IC3-rapport 2020) meldt dat er in de VS 28.500 klachten zijn binnengekomen over aanvallen via e-mail. Dit brengt DMARC direct op de voorgrond.

Wist je dat?

• 75% van de organisatiedomeinen van over de hele wereld werden in 2020 gespoofed om phishing e-mails naar slachtoffers
• 74% van die phishing campagnes waren succesvol
• De frequentie van BEC is sinds vorig jaar met 15% gestegen
• IBM meldt dat een op de vijf bedrijven het afgelopen jaar te maken heeft gehad met een datalek als gevolg van kwaadaardige e-mails

Controleer uw domein nu om te zien hoe beschermd u bent tegen e-mailfraude!

Vereisten voor een DMARC-installatie 

Als je een DMARC-record instelt en besluit ervoor te gaan, zijn er bepaalde voorwaarden die je moet vervullen voordat je overgaat tot implementatie.

• U heeft toegang nodig tot uw DNS management console
• Zorg ervoor dat u al uw geautoriseerde e-mail afzenders herkent
• Gepubliceerd SPF en/of DKIM record in uw DNS

Basiselementen van uw DMARC-instelling: SPF en DKIM afstemming

Uw DMARC-beleid moet je het Sender Policy Framework (SPF) of DomainKeys Identified Mail (DKIM) of beide implementeren.

SPF vertelt mailservers welke IP-adressen of verzendbronnen uitgaande mail van uw domein mogen verzenden. DKIM voegt een digitale handtekening toe aan uitgaande mail om te voorkomen dat berichten worden gewijzigd. Dit voorkomt dat spamberichten en frauduleuze e-mails uw e-mailclients bereiken door zich voor te doen als uw merk in phishing-zwendel.

Je kunt je domeinafstemming configureren om gedeeltelijke overeenkomsten door te geven voor je SPF en DKIM headervelden met het Van: domein, of je kunt kiezen voor een strengere verificatie door in plaats daarvan te kiezen voor een exacte overeenkomst. 

Hoe DMARC instellen? Een stap-voor-stap handleiding

Volg de onderstaande stappen om de DMARC DNS setup te starten:

Stap 1: Het DMARC-record aanmaken

Je begint met het aanmaken van een DNS-record dat je beleid definieert en de implementatie vastlegt.

Gebruik onze DMARC generator zoals te zien is in de schermafbeelding hierboven. Zodra je het scherm van de tool opent, zijn er een aantal verplichte criteria die je moet invullen.

Stap 2: Kies een geschikt DMARC-beleid voor uw e-mails

De p= policy tag is een verplichte tag die moet worden geconfigureerd in je DMARC setup. Als je deze overslaat, is je record ongeldig. 

De p= policy tag is een verplichte tag die moet worden geconfigureerd in je DMARC setup. Als je deze overslaat, is je record ongeldig.

Om te voorkomen dat je e-mails worden gespoofed, moet je een DMARC beleid van p=quarantine of hoger. Je kunt echter een "geen" beleid kiezen als je je e-mails wilt controleren voordat je overgaat tot volledige handhaving.

Stap 3: Rapportage inschakelen en op "Genereren" klikken 

De rest van de criteria zijn niet verplicht, maar als je afstemmingsflexibiliteit voor DKIM en SPF wilt instellen of DMARC-rapportage wilt inschakelen, dan kan dat. RUA- en RUF-rapporten kunnen je helpen je mailstroom en authenticatieresultaten te volgen om inconsistenties snel op te sporen.

Klik ten slotte op de knop "genereren" om je DMARC-instellingen af te ronden en het aanmaken van je record te voltooien.

Stap 4: De recordinstelling publiceren en valideren

Zodra je klaar bent met het aanmaken van het TXT-record, gebruik je de knop "Kopiëren" om de syntax direct te kopiëren en ga je naar je DNS-beheerconsole. Plak het record in je DNS om je DMARC-instelling te voltooien.

Lees onze gedetailleerde handleiding over het publiceren van een DMARC record op je DNS voor meer informatie.

DMARC Setup Voorbeeld

Hier is een voorbeeld van een typische DMARC-opstelling:

v=DMARC1; p=afwijzing; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;

Opmerking: Als je begint met e-mailverificatie, kun je je DMARC-beleid (p) op geen in plaats van afwijzen houden om je e-mailstroom te controleren en problemen op te lossen voordat je overstapt op een strikt beleid.

De Record Syntax ontkrachten

De syntaxis van je DMARC-configuratie is het belangrijkste onderdeel van je implementatie, omdat deze bepaalt hoe je e-mails worden geverifieerd en welke actie er na verificatie wordt ondernomen. Laten we enkele primaire mechanismen verkennen:

1. Het veld "v" bepaalt de protocolversie van DMARC, namelijk DMARC1.
2. Het veld "p" is het verplichte DMARC-beleidsveld dat kan worden ingesteld op geen/weigeren/quarantinebeleid
3. De velden "rua" geaggregeerde feedback en "ruf" forensische rapporten zijn DMARC-rapportageopties die ontvangende ESP's helpen feedback te geven over e-mails die naar uw ontvangers zijn verzonden en die naar uw opgegeven e-mailadres of speciale mailbox zouden worden verzonden.

Dit zijn er maar een paar om op te noemen, je kunt meer ontdekken in onze gedetailleerde blog over DMARC-tags.

Uw DMARC Record-instelling controleren

Nadat u DMARC hebt ingesteld, moet u uw configuraties controleren om er zeker van te zijn dat het protocol naar behoren werkt. Zonder de juiste controles en bewaking kan het verifiëren van je e-mails erg lastig worden en leiden tot fout-positieven of mislukkingen, met alle gevolgen van dien voor je mailafleveringsprestaties.

Om je setup te controleren kun je gratis de DMARC checker van PowerDMARC gebruiken. Het is een direct en effectief hulpmiddel om je DNS TXT-record te valideren dat niet alleen de status van de geldigheid van je record toont, maar ook fouten aangeeft en verbeteringen voorstelt om sneller compliance te bereiken!

Om het te gebruiken:

1. Voer uw domeinnaam in het doelvak in (bijv. als de URL van uw website is https://company.com wordt uw domeinnaam bedrijf.com)
2. Klik op de knop "Lookup
3. Bekijk je resultaten op het scherm

We raden deze verificatiemethode aan als alternatief voor handmatige verificatie voor een snellere, nauwkeurigere en probleemloze ervaring.

Kun je DMARC instellen zonder DKIM of SPF?

Nee. Je moet een van de twee configureren om ervoor te zorgen dat je e-mails worden geverifieerd. Je kunt ervoor kiezen om beide in te stellen, wat de aanbevolen aanpak is voor maximale beveiliging, maar dat is volledig optioneel.

We hebben beide benaderingen uitgebreid behandeld in onze kennisbank.

Voordelen en gebruik van een DMARC-instelling

Een DMARC setup kan nuttig zijn in de volgende situaties:

• Om ervoor te zorgen dat alleen geautoriseerde afzenders e-mails namens uw e-maildomein mogen verzenden
• Om e-mail phishing en direct-domain spoofing aanvallen te voorkomen
• De IP-adressen of bronnen bekijken die namens u e-mails verzenden
• Om te voorkomen dat spamberichten uw ontvangers bereiken
• De bezorgbaarheid van legitiem e-mailverkeer verbeteren

Wat zijn de beste DMARC-instellingen?

De beste DMARC-instelling, als je maximale bescherming wilt tegen aanvallen via e-mail, is p=reject (waarbij p het mechanisme is dat wordt gebruikt om je recordbeleid op te geven). Een geschikte DMARC-instelling hangt af van de mate van handhaving die je wenst (hoe streng je wilt dat ontvangers e-mails behandelen die niet voldoen aan DMARC).

Alleen voor monitoring kun je DMARC instellen met een "geen" beleid, terwijl je "quarantine" kunt configureren als je ongeautoriseerde e-mails in je quarantine- of spammap wilt bekijken voordat je ze weggooit of accepteert.

DMARC gebruiken om domein-spoofing te voorkomen

Als je DMARC wilt configureren om te voorkomen dat je domein wordt gespoofed en om phishing- en BEC-aanvallen op afstand te houden, raden we je aan het volgende criterium te selecteren tijdens het genereren van je DMARC-record:

Stel uw DMARC-beleid in op p=afwijzen

Wat betekent dit?

Als je DMARC-handhaving in je organisatie configureert door DMARC-instellingen voor "afwijzen" te kiezen, betekent dit dat telkens wanneer een e-mailbericht dat vanuit jouw domein wordt verzonden, niet slaagt voor DMARC-verificatie, de schadelijke e-mail onmiddellijk wordt geweigerd door de ontvangende e-mailserver, in plaats van te worden afgeleverd in de inbox van je e-mailontvanger.

Hoe schakel je DMARC uit?

Het is belangrijk om in gedachten te houden dat het uitschakelen van e-mailverificatie voor uw domeinen niet wordt aanbevolen of aangemoedigd, omdat het uw domeinen kwetsbaar maakt voor een breed scala aan cyberaanvallen en cybercriminelen open toegang biedt om zich voor te doen als uw domein. Als je het protocol toch wilt uitschakelen, kun je de onderstaande stappen volgen:

1. Ga naar de beheerconsole van uw DNS-registrar
2. Navigeer naar de geavanceerde DNS-editor om uw DNS-instellingen te bewerken
3. Zoek het domein waarvoor u DMARC wilt uitschakelen
4. Het DMARC TXT-record verwijderen
5. Sla wijzigingen op en wacht enige tijd tot de wijzigingen worden weergegeven

U kunt ook contact opnemen met uw domeinregistrar om u te helpen het record te verwijderen als u geen toegang hebt tot de console. 

Als je de DNS-vermelding voor DMARC verwijdert, wordt het protocol automatisch uitgeschakeld voor het betreffende domein. Als je echter meerdere domeinen hebt waarop DMARC is ingeschakeld, moet je handmatig DNS-vermeldingen voor de genoemde domeinen verwijderen om deze voor je organisatie uit te schakelen.

DMARC eenvoudig instellen met PowerDMARC

Wanneer u een account aanmaakt op PowerDMARC, zorgen wij voor de implementatie en instelling van het protocol. Wij beheren en bewaken ook de gezondheid van uw domein en e-mails, analyseren uw verzamelde rapporten en organiseren uw verificatieresultaten op een speciaal dashboard.

Als je geen zin hebt in een handmatige installatie, kun je het proces automatiseren door ons gratis 15 dagen uit te proberen. Als je wilt profiteren van de voordelen van e-mailverificatie en DMARC zo wilt instellen dat je domein effectief wordt beschermd, meld je dan aan bij DMARC analyse vandaag nog!

• Over
• Laatste berichten

Maitham Al Lawati

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten )

• SPF-fout oplossen: Overwin SPF te veel DNS opzoekingen limiet - 26 april 2024
• Hoe publiceer je een DMARC Record in 3 stappen? - 2 april 2024
• Waarom faalt DMARC? DMARC-falen oplossen in 2024 - 2 april 2024