3 DMARC-beleidstypen: Hoe kies je de beste voor je domein?
Omdat e-mail een belangrijk communicatiekanaal is geworden voor zowel persoonlijke als zakelijke doeleinden, hebben kwaadwillende actoren de kwetsbaarheden ervan misbruikt om ontvangers te misleiden, malware te verspreiden en gevoelige informatie te stelen. DMARC pakt deze problemen aan door domeineigenaren in staat te stellen aan te geven hoe e-mailontvangers moeten omgaan met berichten die beweren van hun domein afkomstig te zijn.
Het DMARC-beleid van een domein bevat instructies voor e-mailontvangers over hoe om te gaan met e-mails die niet voldoen aan de verificatiecontroles. Het DMARC-beleid kan drie mogelijke acties voor mislukte e-mails specificeren:
- DMARC geen beleid
- DMARC quarantainebeleid
- DMARC afwijzingsbeleid
DMARC-beleid op "weigeren" minimaliseert het risico op domeinmisbruik, merkimitatie, phishing en spoofingaanvallen aanzienlijk.
Wat is een DMARC beleid?
Een DMARC-beleid dat op DNS-niveau is gepubliceerd, is een set TXT-instructies die e-mailontvangers informeren hoe ze e-mails moeten afhandelen die verificatiecontroles met SPF en DKIM niet doorstaan. Het beleid specificeert ook een e-mailadres waar ontvangers de resultaten van deze controles kunnen melden.
Een DMARC-beleid dient drie primaire doelen - de handhaving van e-mailverificatieprotocollen, het instellen van een rapportagemechanisme en de bescherming van uw e-mails tegen aanvallen.
- Handhaving authenticatie: Uw DMARC-beleid helpt bij het instellen van een handhavingsniveau voor de e-mailbeveiliging van uw domein. Hiermee kunnen domeineigenaren opgeven hoe e-mailontvangers moeten omgaan met e-mails die beweren afkomstig te zijn van hun domein, maar de verificatiecontroles niet doorstaan (SPF en DKIM). Het beleid kan ontvangers opdragen dergelijke e-mails in quarantaine te plaatsen of te weigeren. Door authenticatie af te dwingen, helpt DMARC e-mailspoofing en -imitatie voorkomen, omdat onbevoegde e-mails minder snel de inbox van ontvangers bereiken.
- Rapportage: Een mechanisme voor e-mailontvangers om rapporten terug te sturen naar de domeineigenaren kan worden gedefinieerd in uw DMARC-record, met informatie over verificatieresultaten van e-mails die vanaf het domein zijn verzonden. Deze rapporten helpen bij het controleren van verdachte activiteiten en het verbeteren van de bezorgbaarheid van e-mail.
- Bescherming: Uw DMARC beleid kan een einde maken aan CEO-fraudevalse facturen, BEC-aanvallen, de verspreiding van ransomwarediefstal van inloggegevens en diverse andere e-mailfraudetechnieken.
3 Typen DMARC-beleid: p=afwijzen, p=geen, p=quarantaine
De verschillende DMARC-beleidstypen helpen domeineigenaren bij het bepalen van het handhavingsniveau dat ze willen hanteren bij het afhandelen van ongeautoriseerde e-mails. De beschikbare DMARC-beleidsopties zijn geen, quarantaine, en afwijzenafhankelijk van het niveau van DMARC-handhaving waarvoor je wilt kiezen. Hier is p de parameter die het DMARC-beleid specificeert:
- DMARC Geen: Een "alleen bewaken" beleid dat geen bescherming biedt - goed voor de beginstadia van uw implementatietraject.
- DMARC quarantaine: Markeert of plaatst niet-geautoriseerde e-mails in quarantaine.
- DMARC weigeren: Blokkeert de toegang tot inbox voor onbevoegde e-mails
1. DMARC Geen beleid
DMARC-beleid geen (p=none) is een ontspannen DMARC-beleid dat tijdens de eerste uitvoeringsfasen van DMARC wordt toegepast om e-mailactiviteiten te controleren. Het biedt geen enkel niveau van bescherming tegen cyberaanvallen.
Voorbeeld: v=DMARC1; p=none; rua=mailto:[email protected];
- Bewaking: Het verzamelen van informatie is het doel voor domeineigenaren die kiezen voor het beleid "geen", wat duidt op een gebrek aan neiging tot strikte e-mailverificatie. Ze zijn nog niet bereid om dergelijke maatregelen af te dwingen omdat ze de huidige staat van e-mailverificatie in cyberspace willen controleren.
- Geen actie: Ontvangende e-mailsystemen onder het beleid "geen" maken geen gebruik van DMARC-resultaten om de e-mailaflevering of -verwerking aan te passen. Dit beleid wordt meestal toegepast in de eerste fasen van de implementatie van DMARC, omdat domeineigenaren het effect van hun DMARC-instellingen willen evalueren zonder het risico te lopen dat echte e-mails worden geweigerd of tegengehouden.
- Rapportage: Ondanks het gebrek aan handhaving worden DMARC-rapporten gegenereerd door het beleid "geen". De ontvangers van e-mails sturen geaggregeerde rapporten naar de domeineigenaren, met gedetailleerde informatie over de verificatiestatus van e-mails die afkomstig lijken te zijn van hun domein.
Domeineigenaren krijgen deze rapporten om een beter inzicht te krijgen in het domein van e-mailverificatie en om mogelijke bronnen van misbruik of verkeerde configuratie te berekenen.
2. DMARC Quarantainebeleid
Het quarantainebeleid (p=quarantaine) biedt een zekere mate van bescherming omdat de domeineigenaar de ontvanger kan vragen om e-mails terug te sturen naar de spammap om ze later te bekijken in geval van DMARC falen.
Voorbeeld: v=DMARC1; p=quarantine; rua=mailto:[email protected];
In plaats van alleen niet-geauthenticeerde e-mails te weigeren, biedt het "quarantaine"-beleid domeineigenaren de mogelijkheid om de beveiliging te handhaven en tegelijkertijd rekening te houden met de mogelijkheid van fout-positieven. Legitieme berichten die de DMARC-authenticatie niet doorstaan, gaan niet verloren, maar worden op een aparte locatie geplaatst voor nadere inspectie door de ontvanger. Deze aanpak verschilt van de strikte "reject" methode, die niet-geverifieerde e-mails terugstuurt naar de afzender.
Ongeauthenticeerde e-mails worden door verschillende organisaties afgehandeld met het tussenliggende "quarantaine" beleid voordat eventueel wordt overgegaan op het strengere "afwijzen" beleid. Een dergelijk beleid biedt de mogelijkheid om de impact van DMARC op de e-mailaflevering te beoordelen en essentiële wijzigingen door te voeren voordat dergelijke e-mails uiteindelijk volledig worden geweigerd.
3. DMARC afwijzingsbeleid
Ten slotte zorgt het afwijzen van DMARC-beleid (p=reject) ervoor dat e-mails die de authenticatie voor DMARC niet doorstaan, door de MTA van de ontvanger worden afgewezen en weggegooid, waardoor maximale handhaving wordt geboden.
Voorbeeld: v=DMARC1; p=reject; rua=mailto:[email protected];
DMARC-weigering kan phishing-aanvallen en andere frauduleuze activiteiten voorkomen en is bedoeld om de beveiliging van e-mail te verbeteren. Ongeauthenticeerde e-mails worden geweigerd en dit vermindert het risico dat ontvangers kwaadaardige e-mails ontvangen. De domeineigenaar speelt een sleutelrol bij het verminderen van dergelijke risico's.
In plaats van niet-geauthenticeerde e-mails speelruimte te geven door ze naar een aparte map te leiden, zoals bij het beleid voor "quarantaine", wordt bij het beleid voor "afwijzen" een strikt standpunt ingenomen. E-mails die niet voldoen aan de DMARC-verificatievereisten mogen absoluut niet worden afgeleverd.
Grondig testen en plannen zijn nodig om een "afwijsbeleid" te implementeren om schadelijke e-mails te blokkeren. Een goede verificatie van legitieme e-mails is cruciaal om te voorkomen dat geldige communicatie onbedoeld wordt geblokkeerd. Daarom is het belangrijk dat domeineigenaren hun DMARC-configuratie testen en DMARC-rapporten bijhouden om eventuele problemen op te sporen en op te lossen.
Wat is het beste DMARC-beleidstype en waarom?
DMARC reject is het beste DMARC-beleid als je je e-mailbeveiliging wilt maximaliseren.. Dit komt doordat domeineigenaren bij p=afwijzen actief de ongeautoriseerde e-mails uit de inbox van hun klanten blokkeren. Dit biedt een hoge mate van bescherming tegen direct-domain spoofing, phishing en andere vormen van imitatiebedreigingen.
- Je e-mailkanalen controleren: Als je gewoon je e-mailkanalen wilt bewaken, is een DMARC-beleid op p=none voldoende. Dit beleid beschermt u echter niet tegen cyberaanvallen.
- Beschermen tegen phishing- en spoofingaanvallen: Als je je e-mails wilt beschermen tegen phishing-aanvallen en direct-domain spoofing, is een DMARC-beleid van p=reject noodzakelijk. Dit biedt het hoogste niveau van DMARC handhaving en minimaliseert effectief aanvallen van imitatie.
- Verdachte e-mails controleren voordat ze worden afgeleverd: Als u onbevoegde e-mails niet helemaal wilt blokkeren, kunt u uw ontvangers toestaan om e-mails die de verificatie niet doorstaan in hun quarantaine map, a DMARC quarantaine beleid het beste.
Welk DMARC beleid voorkomt spoofing?
Een DMARC p=reject beleid is het enige DMARC beleid dat effectief is in het voorkomen van spoofing aanvallen. DMARC reject blokkeert namelijk dat onbevoegde e-mails de inbox van uw ontvanger bereiken, zodat deze geen slechte e-mails meer kan accepteren, openen en lezen.
Stappen om uw DMARC-beleid in te stellen
Stap 1: Schakel SPF of DKIM in voor uw domein door uw vrije record te genereren.
Stap 2: Maak een DMARC record met onze DMARC record generator tool. Zorg ervoor dat je de DMARC p= parameter invult om je DMARC beleid te definiëren zoals in het bladervoorbeeld:
v=DMARC1; pct=100; p=reject; rua=mailto:[email protected];
Stap 3: Publiceer dit record in uw DNS
Fouten in DMARC-beleid oplossen
Syntaxfouten
U moet letten op eventuele syntaxfouten bij het opzetten van uw record om ervoor te zorgen dat uw protocol correct functioneert.
Configuratiefouten
Fouten bij het configureren van het DMARC-beleid komen vaak voor en kunnen worden voorkomen door een DMARC checker tool.
DMARC sp Beleid
Als u een DMARC afwijzingsbeleid configureert, maar uw subdomeinbeleid op geen, kunt u geen compliance bereiken voor al uw uitgaande e-mails.
DMARC-beleid instellen met PowerDMARC
Een soepele overgang van p=none naar p=reject DMARC-beleid
Het uitgebreide rapportagemechanisme van PowerDMARC biedt 7 weergaven en filtermechanismen voor uw DMARC Geaggregeerde rapporten op de DMARC analyzer dashboard om uw e-mailkanalen effectief te controleren terwijl er geen DMARC is.
Uw DMARC-beleidsmodi bijwerken en wijzigen
Met onze gehoste DMARC-functie kunt u uw DMARC-beleidsmodi bijwerken, overschakelen op p=afwijzing en uw protocol effectief en in realtime controleren zonder uw DNS-beheerconsole te betreden.
Witte handschoen ondersteuning
Ons 24 uur per dag actieve ondersteuningsteam helpt bij een soepele overgang van een ontspannen naar een afgedwongen DMARC-beleid, zodat uw beveiliging wordt gemaximaliseerd en de deliverability wordt gewaarborgd.
Neem contact met ons op vandaag nog om een DMARC-beleid te implementeren en uw resultaten eenvoudig te controleren!
- Methoden om jezelf te beschermen tegen identiteitsdiefstal - 29 september 2023
- De rol van DNS in e-mailbeveiliging - 29 september 2023
- Phishing-bedreigingen van de nieuwe tijd en hoe daarop te anticiperen - 29 september 2023