Wat is DMARC-beleid? Geen, quarantaine en afwijzen
De steeds groter wordende dreiging van e-mailvervalsing gericht tegen echte en bekende organisaties heeft ervoor gezorgd dat het implementeren van een sterke DMARC (Domain-based Message Authentication, Reporting, and Conformance) tot een kritieke praktijk in cyberbeveiliging. Volgens Forbesworden de kosten van cybercriminaliteit geschat op $10,5 biljoen per jaar in 2025.
DMARC wordt als een speciaal tekstrecord in het DNS (Domain Name System) van uw organisatie geplaatst en valideert en beveiligt uw e-mails. Het biedt een reeks instructies, bekend als een DMARC-beleid, voor ontvangende e-mailservers om op te volgen wanneer ze berichten tegenkomen die verificatiecontroles niet doorstaan. DMARC kan phishing, e-mailspoofing en ransomwareaanvallen voorkomen en de e-mailafleveringsgraad verbeteren.
Er zijn drie DMARC-beleidstypes:
- DMARC Geen: Een "alleen monitoring" beleid dat geen bescherming biedt - goed voor de beginstadia van je implementatietraject. E-mails worden afgeleverd, maar er worden rapporten gegenereerd voor niet-geauthenticeerde berichten.
- DMARC quarantaine: Verdachte e-mails worden gemarkeerd en ter controle in de spammap van de ontvanger geplaatst.
- DMARC weigeren: De strengste optie. Hiermee worden ontvangende servers geïnstrueerd om niet-geverifieerde e-mails volledig te weigeren.
Waarom DMARC belangrijk is
E-mails kunnen gemakkelijk worden vervalst, waardoor het moeilijk is om het echte werk van een gevaarlijke vervalsing te onderscheiden. Dat is waar DMARC om de hoek komt kijken. DMARC is als een e-mailbeveiliging controlepunt dat de identiteit van de afzender verifieert voordat het berichten doorlaat. Sterker nog, Verizon meldt dat meer dan 30% van alle gecompromitteerde gegevens het gevolg is van phishingaanvallen, wat de noodzaak van krachtige bescherming zoals DMARC onderstreept. Door DMARC te gebruiken, kun je pogingen tot spoofing blokkeren en ervoor zorgen dat je inbox veilig blijft voor frauduleuze e-mails.
Volgens RFC 7489 van de IETF heeft DMARC de unieke mogelijkheid om e-mailverzenders voorkeuren voor authenticatie te laten instellen. Door het in te schakelen, kun je ook rapporten krijgen over de afhandeling van e-mail en mogelijk domeinmisbruik. Hierdoor onderscheidt DMARC zich echt op het gebied van domeinvalidatie.
Om het installatieproces voor DMARC te starten, moet je een paar DNS-aanpassingen doorvoeren en DNS TXT-records voor de protocollen opnemen. Handmatige implementatie van dit protocol kan echter behoorlijk complex zijn voor niet-technische gebruikers. Het kan zelfs behoorlijk duur worden als je een externe CISO inhuurt om het voor je bedrijf te beheren. PowerDMARC's DMARC-analyzer is daarom een eenvoudig alternatief. Wij automatiseren het instellen van uw DMARC-beleid, waardoor u zowel tijd als geld bespaart.
Ik vond PowerDMARC nadat de nieuwe eisen voor e-mailafzenders van Google en Yahoo waren gepubliceerd. PowerDMARC voorzag ons in een mum van tijd van een DMARC controlebeleid! Het hielp ons langzaam (maar zeker) over te stappen op een afgedwongen beleid voor betere bescherming.", meldde eigenaresse van kleine bedrijven Rachel R.
Wat is een DMARC beleid?
DMARC-beleid is een beveiligingsmaatregel voor e-mail die DNS gebruikt om ontvangende mailservers te instrueren hoe ze e-mails moeten behandelen die beweren van uw domein afkomstig te zijn, maar die de verificatiecontroles niet doorstaan. Het wordt aangeduid met de tag "p" in het DMARC record dat de actie specificeert die mailservers moeten ondernemen als een e-mail niet slaagt voor DMARC-validatie.
Met een DMARC-beleid kun je bepalen hoe streng je wilt omgaan met e-mails die proberen zich voor te doen als jouw merk. Zie het als een bewaker voor je domein. Afhankelijk van je ID bepaalt de bewaker of hij je binnenlaat in het gebouw (in dit geval de inbox van je ontvanger). Hij kan voorkomen dat je binnenkomt (weigeren), hij kan je naar een speciale plaats sturen voor verdere controle (quarantaine), of hij kan je gewoon binnenlaten (geen).
Als je DMARC-beleid op p=reject staat, kun je spoofing, phishing en misbruik van domeinnamen voorkomen en fungeren als een 'verboden toegang'-teken voor slechte acteurs die zich proberen voor te doen als jouw merk.
3 Soorten DMARC-beleid: p=afwijzen, p=geen, p=quarantine
Er zijn 3 hoofdtypen DMARC-beleidsmodi: geen, quarantaine en afwijzen. Dit is afhankelijk van het handhavingsniveau dat eigenaars van e-maildomeinen willen instellen. Het belangrijkste verschil tussen deze beleidsopties wordt bepaald door de actie die wordt ondernomen door de ontvangende e-mail transfer agent wanneer deze zich houdt aan het gespecificeerde beleid dat is gedefinieerd door de afzender van de e-mail in zijn DNS-record.
1. DMARC Geen beleid
DMARC beleid geen (p=none) is een ontspannen modus die geen actie veroorzaakt aan de kant van de ontvanger. Dit beleid kan worden gebruikt om e-mailactiviteit te controleren. Het biedt geen bescherming tegen cyberaanvallen.
Geen Beleidsimplementatie Gebruikssituaties
Voorbeeld: v=DMARC1; p=none; rua= mailto:(e-mailadres);
- Het belangrijkste doel van domeineigenaren die kiezen voor het beleid "geen" zou moeten zijn om informatie te verzamelen over versturende bronnen en hun communicatie en afleverbaarheid in de gaten te houden zonder enige neiging tot strikte authenticatie. Dit kan zijn omdat ze nog niet bereid zijn zich te verplichten tot handhaving en de tijd nemen om de huidige situatie te analyseren.
- Ontvangende e-mailsystemen behandelen berichten die zijn verzonden van domeinen die met dit beleid zijn geconfigureerd als "geen actie", wat betekent dat zelfs als deze berichten niet voldoen aan DMARC, er geen actie wordt ondernomen om ze te verwijderen of in quarantine te plaatsen. Deze berichten zullen uw klanten met succes bereiken.
- DMARC-rapporten worden nog steeds gegenereerd als je "p=none" hebt ingesteld. De MTA van de ontvanger stuurt geaggregeerde rapporten naar de domeineigenaar, met gedetailleerde informatie over de status van de e-mailverificatie voor de berichten die afkomstig lijken te zijn van hun domein.
2. DMARC quarantinebeleid
p=quarantine biedt een zekere mate van bescherming omdat de domeineigenaar de ontvanger kan vragen om e-mails terug te sturen naar de spammap om ze later te bekijken alsDMARC mislukt.
Gebruikssituaties voor implementatie van quarantinebeleid
Voorbeeld: v=DMARC1; p=quarantine; rua=mailto:(e-mailadres);
- In plaats van niet-geauthenticeerde e-mails zonder meer te verwijderen, biedt het "quarantine"-beleid domeineigenaren de mogelijkheid om de beveiliging te handhaven en tegelijkertijd de optie te bieden om e-mails te controleren voordat ze worden geaccepteerd, volgens het principe "eerst verifiëren dan vertrouwen".
- Je DMARC-beleid wijzigen in DMARC quarantaine zorgt ervoor dat legitieme berichten die niet voldoen aan de DMARC-authenticatie niet verloren gaan voordat je ze nauwkeurig hebt geïnspecteerd.
- Deze aanpak kan worden beschouwd als intermediair in termen van handhaving en vergemakkelijkt een soepele overgang naar p=verwerpen, waarbij domeineigenaren a) de impact van DMARC op uw e-mailberichten kunnen beoordelen en b) weloverwogen beslissingen kunnen nemen over het al dan niet verwijderen van de gemarkeerde e-mails.
- Het quarantinebeleid helpt ook om rommel in de inbox te verminderen, zodat je inbox niet wordt overladen met spamberichten.
3. DMARC afwijzingsbeleid
Het beleid DMARC verwerpen (p=reject) ten slotte is een handhavingsbeleid. Het zorgt ervoor dat berichten die de authenticatie voor DMARC niet doorstaan, worden geweigerd. DMARC reject biedt maximale handhaving door e-mails te weigeren die niet door jou zijn geautoriseerd.
Beleidsimplementatie afwijzen Gebruikscases
Voorbeeld: v=DMARC1; p=reject; rua= mailto:(e-mailadres);
- DMARC-weigering verbetert de beveiliging van je e-mail. Het kan voorkomen dat aanvallers phishing-aanvallen of directe domain spoofing uitvoeren. Het DMARC reject beleid houdt frauduleuze e-mails tegen door berichten die er verdacht uitzien te blokkeren.
- Als je er genoeg vertrouwen in hebt om verdachte berichten niet in quarantine te plaatsen, is het beleid "verwerpen" geschikt voor jou.
- Het is belangrijk om grondig te testen en te plannen voordat je kiest voor DMARC reject.
- Zorg ervoor dat rapportage is ingeschakeld voor je domein als DMARC wordt geweigerd.
- Begin met p=none en ga dan langzaam over naar reject terwijl je je dagelijkse rapporten controleert.
- Kies bij voorkeur voor onze gehoste DMARC oplossing voor deskundige hulp. Onze professionals begeleiden uw DMARC-implementatie en uw handhavingstraject.
Voordelen van het afdwingen van uw DMARC-beleid
Laten we eens kijken naar de voordelen van het instellen van een strikt DMARC-beleid voor je domein:
1. Directe bescherming tegen phishing en BEC
Bij DMARC weigeren (bij DMARC handhaving) worden e-mails die afkomstig zijn van niet-geverifieerde bronnen verwijderd. Dit voorkomt dat frauduleuze e-mails de inbox van je ontvanger bereiken. Het biedt daarom directe bescherming tegen phishingaanvallen, spoofing, BEC en CEO-fraude.
Dit is vooral belangrijk omdat:
- Uit het onderzoeksrapport Uit het onderzoeksrapport naar datalekken van 2023 blijkt dat bij 36% van alle datalekken phishing is betrokken.
- Fortra's BEC-rapport 2023 concludeert dat cybercriminelen zich graag voordoen als bekende merken
2. Eerste verdedigingslinie tegen kwaadaardige software
Ransomware en Malware worden vaak verspreid via valse e-mails die verstuurd worden vanaf vervalste domeinnamen. Ze kunnen je besturingssysteem infiltreren en volledig overnemen. Een DMARC-beleid bij afwijzing zorgt ervoor dat niet-geverifieerde e-mails worden geblokkeerd uit de inbox van je klanten. Dit voorkomt automatisch dat je klanten op schadelijke bijlagen klikken. En minimaliseert verder de kans dat ze onbewust ransomware of malware downloaden naar hun systeem. Hier fungeert je DMARC-beleid als een elementaire verdedigingslinie tegen deze aanvallen.
3. Uw e-mailkanalen bewaken
Als je gewoon je berichttransacties en verzendbronnen wilt controleren, is een DMARC op p=none voldoende. Dit beschermt je echter niet tegen cyberaanvallen.
4. Verdachte e-mails controleren voordat ze worden afgeleverd
Als je onbevoegde e-mails niet helemaal wilt blokkeren, kun je ze in quarantine plaatsen. Gebruik gewoon het DMARC-beleid voor quarantine om verdachte berichten te controleren voordat je ze accepteert. Hierdoor worden e-mails in je quarantine folder geplaatst in plaats van in je inbox.
Wat is het beste DMARC-beleidstype en waarom?
DMARC reject is het beste DMARC-beleid als je je e-mailbeveiligingsinspanningen wilt maximaliseren en de blauwe vinkfunctie van Gmail wilt inschakelen.. Dit komt doordat domeineigenaren bij p=afwijzen actief onbevoegde berichten blokkeren uit de inbox van hun klanten. Je DMARC-beleid biedt een hoge mate van bescherming tegen cyberaanvallen. Dit omvat direct-domain spoofing, phishing en andere vormen van imitatiebedreigingen. Het is dus ook een effectief anti-phishingbeleid.
Bij DMARC-handhaving kun je ook BIMI. Met BIMI kun je blauwe vinkjes inschakelen voor je e-mails in Gmail- en Yahoo-inboxen - dat is best cool!
Veelvoorkomende mythes over DMARC-beleid ontkrachten
Er zijn een aantal veelvoorkomende misvattingen over DMARC-beleid. Sommige daarvan kunnen vreselijke gevolgen hebben voor je mailaflevering. Laten we eens kijken wat ze zijn en wat de waarheid erachter is:
1. DMARC kan spoofing niet voorkomen
DMARC geen is een "no-action" beleid en kan je domein niet beschermen tegen cyberaanvallen. Het beleid p=none wordt vaak gebruikt als een achterpoortje in de beveiliging door aanvallers om domeinnamen en e-mails te misbruiken.
In de loop der jaren hebben verschillende domeineigenaren contact opgenomen met PowerDMARC om uit te leggen hoe ze worden gespoofed, zelfs als DMARC is geïmplementeerd. Bij nader onderzoek ontdekten onze experts dat de meeste van hen hun DMARC-beleid hadden geconfigureerd op "geen".
2. U ontvangt geen DMARC-rapporten bij p=none
Zelfs met p=none kun je dagelijkse DMARC-rapporten blijven ontvangen door gewoon een geldig e-mailadres voor de afzender op te geven.
3. DMARC "quarantine" is niet belangrijk
Het quarantinebeleid in DMARC, dat vaak over het hoofd wordt gezien, is zeer nuttig voor overgangsfasen. Domeineigenaren kunnen dit inzetten voor een soepele overgang van geen actie naar maximale handhaving.
4. DMARC afwijzen heeft invloed op bezorgbaarheid
Zelfs als DMARC wordt geweigerd, kun je ervoor zorgen dat je legitieme e-mails naadloos worden afgeleverd. Het monitoren en analyseren van de activiteiten van je afzenders kan hierbij helpen. Je moet ook je verificatieresultaten bekijken om mislukkingen sneller te detecteren.
Fouten in DMARC-beleid oplossen
Hieronder volgen enkele veelvoorkomende DMARC-beleidsfouten die je kunt tegenkomen:
- Syntaxfouten: Je moet op je hoede zijn voor syntaxfouten tijdens het instellen van je record om er zeker van te zijn dat je protocol correct functioneert.
- Configuratiefouten: Fouten bij het configureren van het DMARC-beleid komen vaak voor en kunnen worden voorkomen door een DMARC-controle tool te gebruiken.
- DMARC sp Beleid: Als u een DMARC afwijsbeleid configureert, maar uw subdomeinbeleid op geen, dan kun je geen compliance bereiken. Dit komt door een beleidsoverschrijving op uw uitgaande e-mails.
- Fout "DMARC-beleid niet ingeschakeld": Als je domein deze fout aangeeft, wijst dit op een ontbrekend DMARC-domeinbeleid in je DNS of een beleid dat is ingesteld op "geen". Bewerk uw record om p=reject/quarantaine op te nemen en het probleem zou moeten worden opgelost.
DMARC-beleid afdwingen met PowerDMARC
PowerDMARC's DMARC-analyse platform helpt je moeiteloos het DMARC-protocol in te stellen. Gebruik onze cloud-native interface om je records te controleren en te optimaliseren met een paar klikken op een knop. Laten we eens kijken naar de belangrijkste voordelen:
- PowerDMARC biedt 7 weergaven en filtermechanismen voor uw DMARC-aggregaatrapporten. Elke weergave is ontworpen om uw e-mailstromen effectief te controleren in elke DMARC-beleidsmodus.
- Samengevoegde rapporten zijn gemakkelijk te lezen, mensvriendelijk en exporteerbaar
- Forensische rapporten kunnen worden versleuteld om privégegevens te verbergen
- Met onze gehoste DMARC-functie kunt u uw DMARC-beleidsmodi eenvoudig bijwerken. Je kunt overschakelen naar p=afwijzen en je protocol effectief en in realtime bewaken. U hoeft hiervoor niet naar uw DNS-beheerconsole te gaan.
- Ons 24 uur per dag actieve ondersteuningsteam zal je helpen soepel over te stappen van een ontspannen naar een afgedwongen DMARC-beleid. Dit kan uw beveiliging maximaliseren en tegelijkertijd de deliverability garanderen.
- Je kunt aangepaste e-mailwaarschuwingen instellen om schadelijke activiteiten te detecteren en sneller actie te ondernemen tegen bedreigingen.
- We ondersteunen multi-tenancy en vertalingen in meerdere talen op het platform. Dit omvat Engels, Frans, Duits, Japans, Nederlands, Italiaans, Spaans, Russisch, Noors, Zweeds en Vereenvoudigd Chinees.
Neem contact met ons op vandaag nog om een DMARC-beleid te implementeren en uw resultaten eenvoudig te controleren!
Veelgestelde vragen over DMARC-beleid
Hoe weet ik of mijn e-mail voldoet aan DMARC?
Klanten van PowerDMARC kunnen eenvoudig hun compliance beoordelen door het dashboardoverzicht te bekijken. Ze kunnen ook hun huidige beveiligingsstatus analyseren met behulp van PowerAnalyzer.
Hoe los ik mijn DMARC-beleid op?
Je kunt je beleid handmatig aanpassen door naar je DNS-beheer te gaan. Eenmaal binnen moet je je DMARC TXT-record bewerken. Een eenvoudigere oplossing is om onze gehoste oplossing te gebruiken om met één klik wijzigingen in je beleid aan te brengen.
Wat is het standaard DMARC-beleid?
Als je onze DMARC generator tool gebruikt om je beleid toe te voegen, wijzen we "none" toe als de standaardmodus. Bij handmatige implementatie moet je je beleid definiëren in het veld "p=". Anders wordt je record als ongeldig beschouwd.
Ons beoordelingsproces voor inhoud en feitencontrole
Deze inhoud is geschreven door een expert op het gebied van cyberbeveiliging. Het is zorgvuldig gecontroleerd door ons interne beveiligingsteam om technische nauwkeurigheid en relevantie te garanderen. Alle feiten zijn geverifieerd aan de hand van officiële IETF-documentatie. Verwijzingen naar rapporten en statistieken die de informatie ondersteunen, worden ook vermeld.
- SPF-fout oplossen: Overwin SPF te veel DNS opzoekingen limiet - 26 april 2024
- Hoe publiceer je een DMARC Record in 3 stappen? - 2 april 2024
- Waarom faalt DMARC? DMARC-falen oplossen in 2024 - 2 april 2024