Wat is DMARC-beleid? Geen, quarantaine en afwijzen

Omdat e-mail een cruciaal communicatiekanaal blijft, zal het DMARC-beleid voor zowel bedrijven als particulieren alleen maar belangrijker worden. DMARC betekent voluit Domain-based Message Authentication, Reporting en Conformance. Het betekent een grote sprong voorwaarts in e-mailbeveiliging.

DMARC biedt een kader voor eigenaars van e-maildomeinen om beleidsregels te publiceren over de manier waarop hun e-mails moeten worden geverifieerd, waardoor een betrouwbaarder ecosysteem voor e-mail wordt gecreëerd. Het implementeren van DMARC betekent dat organisaties hun merk, werknemers en klanten proactief kunnen beschermen tegen op e-mail gebaseerde bedreigingen.

En hoewel het geen wondermiddel is voor alle e-mailgerelateerde beveiligingsproblemen, is DMARC een cruciaal hulpmiddel in de strijd tegen phishing en e-mailspoofingaanvallen. In dit artikel gaan we in op het DMARC-beleid, hoe het te implementeren, de uitdagingen en voordelen en waarom je voor onze gehoste DMARC-oplossing zou moeten kiezen voor het implementeren van het beleid.

Wat is een DMARC beleid?

DMARC-beleid is een e-mailvalidatiesysteem dat DNS (Domain Name System) gebruikt om ontvangende mailservers te instrueren hoe ze moeten omgaan met e-mails die beweren van uw eigen domein te komen, maar de verificatiecontroles niet doorstaan. Het wordt aangeduid door de "p" tag in het DMARC record dat de actie specificeert die mailservers moeten ondernemen als een e-mail niet slaagt voor DMARC validatie.

Een goed geïmplementeerd beleid kan je helpen bepalen hoe streng je wilt omgaan met e-mails die proberen zich voor te doen als je merk. Beschouw het als een bewaker van je organisatiedomein. Afhankelijk van je ID bepaalt de bewaker of hij je binnenlaat in het gebouw (in dit geval de inbox van je ontvanger). Hij kan voorkomen dat je binnenkomt (weigeren), hij kan je naar een speciale plaats sturen voor verdere controle (quarantaine), of hij kan je gewoon binnenlaten (geen).

Als je DMARC-beleid is ingesteld op p=reject, kun je spoofing, phishing en misbruik van domeinnamen voorkomen en fungeren als een "no-trespassing"-teken voor slechte actoren die zich proberen voor te doen als jouw merk.

De 3 DMARC-beleidsopties: Geen, Quarantaine en Afwijzen

De drie DMARC-beleidstypen zijn:

1. DMARC Geen:

Een "alleen monitoren" beleid dat geen bescherming biedt. Het is goed voor de beginstadia van je implementatietraject. E-mails worden afgeleverd, maar er worden rapporten gegenereerd voor niet-geauthenticeerde berichten. In het DMARC record wordt dit aangeduid met "p=none".

2. DMARC quarantaine:

Verdachte e-mails worden gemarkeerd en ter controle in de spammap van de ontvanger geplaatst. In het DMARC-record wordt dit aangeduid met "p=quarantaine".

3. DMARC afwijzen:

De strengste optie instrueert ontvangende servers om niet-geverifieerde e-mails volledig te weigeren. In het DMARC record wordt dit aangeduid met "p=reject".

Which one you use depends on the level of enforcement email domain owners want to establish. The main difference between these policy options is determined by the action taken by the receiving mail transfer agent when adhering to the specified policy defined by the mail sender in their DNS records.
<

Vereenvoudig DMARC-beleid met PowerDMARC!

DMARC-beleid geen (p=none) is een ontspannen modus die geen actie veroorzaakt aan de kant van de ontvanger. Dit beleid kan worden gebruikt om e-mailactiviteit te controleren en wordt meestal gebruikt tijdens de eerste fase van de DMARC-implementatie voor controle en gegevensverzameling.

Deze optie biedt geen bescherming tegen cyberaanvallen en staat toe dat alle berichten worden afgeleverd, ongeacht de resultaten van de authenticatie. Deze optie wordt gespecificeerd in het DMARC record met de "p=none" tag.

Voorbeeld: v=DMARC1; p=none; rua= mailto:(e-mailadres);

Geen Beleidsimplementatie Gebruikssituaties

• Het belangrijkste doel van domeineigenaren die kiezen voor het beleid "geen" zou moeten zijn om informatie te verzamelen over versturende bronnen en hun communicatie en afleverbaarheid in de gaten te houden zonder enige neiging tot strikte authenticatie. Dit kan zijn omdat ze nog niet bereid zijn zich te verplichten tot handhaving en de tijd nemen om de huidige situatie te analyseren.
• Ontvangende e-mailsystemen behandelen berichten die zijn verzonden van domeinen die met dit beleid zijn geconfigureerd als "geen actie", wat betekent dat zelfs als deze berichten niet voldoen aan het DMARC-beleid, er geen actie wordt ondernomen om ze te verwijderen of in quarantaine te plaatsen. Deze berichten zullen uw klanten met succes bereiken.
• DMARC-rapporten worden nog steeds gegenereerd als je "p=none" hebt ingesteld. De MTA van de ontvanger stuurt geaggregeerde rapporten naar de eigenaar van het organisatiedomein, met gedetailleerde informatie over de status van de e-mailverificatie voor de berichten die afkomstig lijken te zijn van hun domein.

2. DMARC-beleid: Quarantaine

Deze optie wordt opgegeven in het DMARC-record met de tag "p=quarantine". p=quarantaine biedt een zekere mate van bescherming omdat de domeineigenaar de ontvanger kan vragen om e-mails terug te sturen naar de map voor spam of quarantaine om ze later te bekijken alsDMARC mislukt.

Dit beleid instrueert de ontvangende mailserver om berichten die niet voldoen aan de DMARC-authenticatie met argusogen te behandelen. Het wordt vaak geïmplementeerd als een tussenstap tussen "geen" en "verwerpen".

Voorbeeld: v=DMARC1; p=quarantine; rua=mailto:(e-mailadres);

Gebruikssituaties voor implementatie van quarantinebeleid

• In plaats van niet-geauthenticeerde e-mails zonder meer te verwijderen, biedt het "quarantine"-beleid domeineigenaren de mogelijkheid om de beveiliging te handhaven en tegelijkertijd de optie te bieden om e-mails te controleren voordat ze worden geaccepteerd, volgens het principe "eerst verifiëren dan vertrouwen".
• Door je DMARC-beleid te wijzigen in DMARC-quarantaine, zorg je ervoor dat legitieme berichten die de DMARC-verificatie niet doorstaan, niet verloren gaan voordat je ze nauwkeurig hebt geïnspecteerd.
• Deze aanpak kan worden beschouwd als intermediair in termen van handhaving en vergemakkelijkt een soepele overgang naar p=afwijzen, waarbij domeineigenaren:
  a) De impact van DMARC op hun e-mailberichten kunnen beoordelen.
  b) weloverwogen beslissingen kunnen nemen over het al dan niet verwijderen van de gemarkeerde e-mails.
• Het quarantainebeleid helpt ook om rommel in de inbox te verminderen, zodat je inbox niet overladen wordt met berichten in de spammap.

3. DMARC-beleid: Weiger

Deze optie wordt gespecificeerd in het DMARC record met "p=reject". Dit is het strengste beleid, dat ontvangers vertelt om niet-geverifieerde berichten te weigeren.

Het afwijzen van het DMARC-beleid biedt maximale handhaving en zorgt ervoor dat berichten die niet voldoen aan de DMARC-controles helemaal niet worden afgeleverd. Het beleid wordt geïmplementeerd wanneer domeineigenaren vertrouwen hebben in hun e-mailverificatie.

Voorbeeld: v=DMARC1; p=reject; rua= mailto:(e-mailadres);

Beleidsimplementatie afwijzen Gebruikscases

• Het afwijzen van DMARC-beleid verbetert de beveiliging van je e-mail. Het kan voorkomen dat aanvallers phishing-aanvallen of directe domain spoofing uitvoeren. Het afkeurbeleid van DMARC houdt frauduleuze e-mails tegen door berichten die er verdacht uitzien te blokkeren.
• Als je er genoeg vertrouwen in hebt om verdachte berichten niet in quarantine te plaatsen, is het beleid "verwerpen" geschikt voor jou.
• Het is belangrijk om grondig te testen en te plannen voordat je kiest voor DMARC reject.
• Zorg ervoor dat DMARC-rapportage is ingeschakeld voor je domein bij DMARC weigeren.
• Begin met p=none en ga dan langzaam over naar reject terwijl je je dagelijkse rapporten controleert.

Ander DMARC-beleid

DMARC biedt aanvullende beleidsparameters om de implementatie te verfijnen.

1. Met de parameter percentage (pct=) kan het beleid geleidelijk worden uitgerold door het deel van de berichten op te geven dat onderhevig is aan DMARC.
   Bijvoorbeeld: pct=50 past het beleid toe op 50% van de berichten.
2. Het subdomeinbeleid (sp=) is een beleidsrecord die aparte regels voor subdomeinen instelt. Het is nuttig wanneer subdomeinen een verschillende behandeling vereisen.
   Bijvoorbeeld: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]`

DMARC-beleid op de juiste manier instellen met PowerDMARC!

Waarom DMARC belangrijk is

E-mails kunnen gemakkelijk worden vervalst, waardoor het moeilijk is om het echte werk van een gevaarlijke vervalsing te onderscheiden. Dat is waar DMARC om de hoek komt kijken. DMARC is een soort controlepost voor e-mailbeveiliging die de identiteit van de afzender verifieert voordat berichten worden doorgelaten.

Forbes schat dat de kosten van cybercriminaliteit zullen oplopen tot 10,5 biljoen dollar per jaar in 2025. Ondertussen rapporteert Verizon dat meer dan 30% van alle gecompromitteerde gegevens het gevolg zijn van phishing-aanvallen, wat de behoefte aan krachtige bescherming zoals DMARC onderstreept.

Volgens RFC 7489 van de IETF heeft DMARC de unieke mogelijkheid om e-mailverzenders voorkeuren voor authenticatie te laten instellen. Door het in te schakelen, kun je ook rapporten krijgen over de afhandeling van e-mail en mogelijk domeinmisbruik. Hierdoor onderscheidt DMARC zich op het gebied van domeinvalidatie.

Volgens onze laatste DMARC-statistieken is een aanzienlijk aantal domeinen nog steeds kwetsbaar voor phishingaanvallen omdat DMARC niet is geïmplementeerd.

Om het installatieproces voor DMARC te starten, moet een DNS correct worden gewijzigd en moeten DNS TXT-records voor de protocollen worden toegevoegd. Handmatige implementatie van het DMARC-protocol kan echter behoorlijk complex zijn voor niet-technische gebruikers. Het kan zelfs behoorlijk kostbaar worden als je een externe fractionele CISO inhuurt om het voor je bedrijf te beheren. De DMARC-analyzer van PowerDMARC is daarom een eenvoudig alternatief. Met onze DMARC analyzer automatiseren wij de instelling van uw DMARC-beleid, waardoor u zowel tijd als geld bespaart.

Opties voor DMARC-rapportage

Rapportagemogelijkheden voor DMARC zijn onder andere:

• Geaggregeerde rapporten (rua=) voor gegevens op hoog niveau over verificatieresultaten en verzendbronnen.
• Forensische rapporten (ruf=) voor gedetailleerde informatie over authenticatiefouten.

Met deze parameters kunnen organisaties waardevolle inzichten verzamelen over de resultaten van DMARC-authenticatie, waarbij inzicht wordt gegeven in het aantal e-mails dat niet door DMARC-authenticatie komt of wel. Een DMARC-rapport helpt ook:

1. Potentiële problemen en misbruikpatronen identificeren
2. Misconfiguraties in hun e-mailinstellingen detecteren
3. Inzicht krijgen in e-mailgedrag en mailflows
4. Verificatieresultaten voor SPF- en DKIM-protocollen bekijken

Algemene voordelen en uitdagingen bij de implementatie van DMARC

Hoewel DMARC biedt aanzienlijke voordelen voor e-mailbeveiligingworden organisaties tijdens de implementatie vaak geconfronteerd met verschillende uitdagingen. Dit is de reden dat de meeste mensen kiezen voor onze Gehoste DMARC-een service die u helpt bij het configureren, bewaken en bijwerken van uw DMARC-oplossing eenvoudig op een cloudplatform.

Het implementeren van DMARC-beleid in een real-world scenario volgt meestal een gefaseerde aanpak. Met deze methode kunnen organisaties hun e-mailbeveiliging geleidelijk aanscherpen en tegelijkertijd het risico op verstoring van de legitieme e-mailstroom minimaliseren.

Je kunt onze handleiding volgen over hoe DMARC te implementeren als een doe-het-zelf beleidshandhaving. In het ideale geval raden we je echter aan om te kiezen voor onze gehoste DMARC-oplossing voor hulp van experts. Onze professionals begeleiden uw DMARC-implementatie en het hele handhavingstraject.

Fouten in DMARC-beleid oplossen

Wanneer je DMARC gebruikt, kun je een foutmelding tegenkomen. Hieronder volgen enkele veelvoorkomende fouten in het DMARC-beleid:

• Syntaxfouten: Wees op je hoede voor syntaxfouten tijdens het instellen van je record om er zeker van te zijn dat je protocol correct werkt.
• Configuratiefouten: Fouten bij het configureren van het DMARC-beleid komen vaak voor en kunnen worden voorkomen door een DMARC-controletool te gebruiken.
• DMARC sp Beleid: Als je een DMARC afwijsbeleid configureert, maar je subdomeinbeleid instelt op geen, zul je geen compliance kunnen bereiken. Dit komt door een beleidsoverschrijving op uw uitgaande e-mails.
• Fout "DMARC-beleid niet ingeschakeld": Als je domein deze fout aangeeft, wijst dit op een ontbrekend DMARC-domeinbeleid in je DNS of een beleid dat is ingesteld op "geen". Bewerk uw record om p=reject/quarantaine op te nemen en het probleem zou moeten worden opgelost.

Handhaving van DMARC-beleid met PowerDMARC

Het DMARC-analyseplatform van PowerDMARC helpt je moeiteloos het DMARC-protocol in te stellen. Gebruik onze cloud-native interface om je records met een paar klikken op de knop te controleren en te optimaliseren. Neem vandaag nog contact met ons op om een DMARC-beleid te implementeren en uw resultaten eenvoudig te controleren!

Veelgestelde vragen over DMARC-beleid

Ons beoordelingsproces voor inhoud en feitencontrole

Deze inhoud is geschreven door een expert op het gebied van cyberbeveiliging. Het is zorgvuldig gecontroleerd door ons interne beveiligingsteam om technische nauwkeurigheid en relevantie te garanderen. Alle feiten zijn geverifieerd aan de hand van officiële IETF-documentatie. Verwijzingen naar rapporten en statistieken die de informatie ondersteunen, worden ook vermeld.

• Over
• Laatste berichten

Maitham Al Lawati

Cyberbeveiligingsexpert, CEO bij PowerDMARC

Maitham is een technisch ondernemer, cyberbeveiligingsexpert, CEO en oprichter van PowerDMARC met meer dan 15 jaar ervaring in de sector. Maitham heeft een Global MBA van de Universiteit van Manchester en diverse professionele certificeringen waaronder CISSP, CISM, CRISC en ISC2 CCSP.

Laatste berichten van Maitham Al Lawati (Bekijk alle berichten )

• Een DMARC record maken en publiceren - 3 maart 2025
• Hoe "Geen SPF-record gevonden" repareren in 2025 - 21 januari 2025
• Een DMARC-rapport lezen - 19 januari 2025