DMARC

Onderwerpen

  1. In het kort
  2. Hoe werkt het
  3. Zelf een DMARC record maken
  4. DMARC reports

1. In het kort

DMARC is een stukje tekst dat je in je DNS administratie opneemt; zgn DNS records. In dit stukje tekst staat wat jouw beleid is ten aanzien van een mailbericht dat uit naam van jouw domein is verstuurd, maar niet van jouw organisatie afkomstig is. Met SPF en DKIM maak je bekend wie er mag verzenden uit naam van jouw domein (SPF) en wat er moet gebeuren als dat niet zo is (DMARC).

Kortweg voorkomen SPF, DKIM en DMARC dat mensen uit naam van jouw domein versturen.

2. Hoe werkt het

Stel: een mail namens info@voorbeeld.nl wordt aan een GMail gebruiker gestuurd. De GMail mailserver vraagt het domein voorbeeld.nl om een lijstje computers (SPF) die namens voorbeeld.nl mail mogen versturen.

Vervolgens kijkt de ontvangende GMail mailserver of de server die net de mail heeft afgeleverd in dat lijstje voorkomt.

Is dat niet het geval dan kijkt de GMail server in de DMARC regel van het domein voorbeeld.nl (in DNS) wat er met deze mail gedaan moet worden.

Afbeelding van een Youtube Video over DMARC en wat dit doet.
In het kort uitleg over het belang van DMARC en hoe het SPF en DKIM aanvult.

Bijvoorbeeld markeren als SPAM en afleveren in de SPAM folder of de mail weigeren en verwijderen voordat het de mailbox kan bereiken. Een geweigerd bericht ziet er uit als hieronder:


spf=fail (google.com: domain of info@cadra.nl does not designate 194.109.24.25 as permitted sender) smtp.mailfrom=info@cadra.nl; dmarc=fail (p=QUARANTINE sp=REJECT dis=NONE) header.from=cadra.nl

2.1. Bouw het rustig op, gooi niet alles direct dicht

Ben je de enige gebruiker van het domein, dan ben je waarschijnlijk goed op de hoogte of je meer maildiensten voor jouw domein inzet, zoals Mailchimp voor marketing campagnes, of een online facturen verzenddienst.

Afhankelijk van de hoeveelheid medewerkers binnen jouw organisatie maak je in overleg de beslissing met welke snelheid je het beleid strikter maakt van “p=quarantine” naar “p=reject” en / of voor welk percentage (0-100%) van de mails dit van toepassing is. Neem de tijd en overweeg daarnaast een dienst van bijvoorbeeld DMARCian.com om te zien of en waar het mis gaat. Mogelijk is er toch een maildienst, die uit naam van jouw domein mag versturen, over het hoofd gezien.

3. Zelf een DMARC record maken

Een DMARC record is vrij eenvoudig en kun je uitbreiden. Zodra een mail niet aan SPF (en/of DKIM) voorwaarden voldoet vertel je in DMARC wat je wilt dat er met zo’n mailbericht gebeurt. Naast de basis instellingen i”quarantine” (SPAM folder) of weigeren met “reject” zijn er nog een aantal opties.

Minimale opbouw:
+--------+-------+---------+-------------------------------------------------+
| Naam   | TTL   | Type    | Waarde                                          |
+--------+-------+---------+-------------------------------------------------+
|_dmarc  | 1 dag | TXT     | v=DMARC1; p=reject; sp=reject; pct=100          |
+--------+-------+---------+-------------------------------------------------+

DMARC opties:

  • v=DMARC1” – Hiermee begint een SPF record zodat duidelijk is waar het om gaat (en de 1 is versie 1)
  • adkim=s” – Hiermee worden mails die geen DKIM hebben overgelaten door het oordeel van DMARC. Vergelijkbaar met SPF mechanisme.
  • p=reject” – P is het domein, dus “voorbeeld.nl“. Voldoet een mail niet aan SPF of DKIM?  Dan heb je de opties quarantine, reject of none. Met none worden alle mails gewoon doorgelaten, of het nou voldoet aan SPF of DKIM of niet. Niet gebruiken dus, zonde van je tijd.
  • sp=reject” – SP is voor alle subdomeinen. Bijvoorbeeld test.voorbeeld.nl. Als je geen mails verstuurd uit een subdomein, is reject de beste optie. Alle andere opties zijn dan ook geldig.
  • pct=100” – geeft het percentage aan dat wordt geraakt met deze maatregel.
  • fo=0,1,d,s” – Hier zijn drie mogelijkheden:
    • fo=0: Als SPF en DKIM zijn ingesteld en een van de twee faalt, is de check toch goed (PASS). Als zowel SPF als DKIM niet aanwezig zijn, dan wordt dit wel als een fout gezien en gemeld.
    • fo=1: Als SPF en DKIM zijn ingesteld en een van de twee faalt, is de check gefaald (FAIL). Als alleen SPF of alleen DKIM wordt gebruikt en de check faalt, dan is de check ook gefaald (FAIL).
    • fo=d: Wanneer je alleen DKIM gebruikt en die wil controleren. Als DKIM in een mail niet aanwezig is, wordt dit als een fout gezien en gemeld.
    • fo=s: Wanneer je alleen SPF gebruikt en die wil controleren. Als de mail niet aan SPF voldoet, wordt dit als een fout gezien en gemeld.

Je vindt meer tags bij dmarc.org en meer detail en achtergrond of in dit artikel van Google.

3.4.2. Doorvoer en opbouw van het DMARC beleid

Een uiteindelijke DMARC kan er uit zien als hieronder. De opzet is strikt. De twee mail adressen worden geleverd bij het aanmaken van een account bij dmarcian.com. Verder op vind je meer over dmarcian.

Uitgebreide opbouw:
+--------+-------+---------+--------------------------------------------------+
| Naam   | TTL   | Type    | Waarde                                           |
+--------+-------+---------+--------------------------------------------------+
| _dmarc | 1 dag | TXT     | v=DMARC1; p=reject; sp=reject; fo=1; pct=100     |
|        |       |         | rua=mailto:abcdefgh@ag.dmarcian-eu.com;          |
|        |       |         | ruf=mailto:ghfedcba@fr.dmarcian-eu.com           |
+--------+-------+---------+--------------------------------------------------+

3.4.3. DMARC is er ook om jouw beleid te controleren

Niet zo interessant voor de meeste ZZP-ers, omdat je lang niet alles nodig hebt en de prijzen daarvoor te fors kunnen zijn. Met DMARCIAN heb je inzicht wat er met jouw domein gebeurt. Je komt dan te weten of er misbruik van jouw domein wordt gemaakt.

4. DMARC reports

Een belangrijke optie in DMARC is de mogelijkheid tot het ontvangen van meldingen als iemand namens jouw domein mail wil versturen. Als de mail niet aan DMARC voldoet (een onbekende mailserver mailt namens jouw domein), dan wordt een mail met bijvoegsel (waar in detail staat wat er mis ging) verstuurd aan het opgegeven mail adres.

Dat zijn lang niet altijd criminele acties. Wat je veel tegenkomt zijn ondernemers die mail vanaf hun domein doorsturen naar hun GMail account, omdat de mail van het hostingbedrijf toch niet zo gebruikersvriendelijk is en GMail wel (hint: stap over op G Suite). Wat ook gebeurt is dat mensen hun Outlook mail programma niet goed instellen en de mail laten versturen via de SMTP server van hun Internet provider.

Als er echt misbruik wordt gemaakt van jouw domein, dan lees je dat ook direct in de rapporten. Hiervoor is een aanvulling op de DMARC record in DNS nodig: e-mail adressen die de rapportjes van mailservers ontvangen.


v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc-rua@cadra.nl ; ruf=mailto:dmarc-ruf@cadra.nl

Er zijn twee adressen bruikbaar. De “rua” levert de samenvattingen en de “ruf” is een foutmelding met detail. Bij Cadra bleek, na uitproberen op de eigen mailbox, dat het lezen van deze rapporten teveel werk was. Daarom is gekozen om te experiment met DMARCIAN.com, een bedrijf dat voor domeinen de rua en ruf mails ontvangt en verwerkt. Hiermee wordt het opeens een stuk duidelijker welke mails goed en welke mails verkeerd gaan.

Screenshot van het DMARcian.com dashboard met mails die verstuurd zijn uit jouw domeinnaam.

In de afbeelding hierboven is voor stichting het Groene Dak in Utrecht een DMARCIAN.com account aangemaakt (de Nederlandse DMARCIAN vestiging was zo vriendelijk om voor het Groene Dak een uitzondering te maken, daar het geen persoonlijk account is).

Hier zien we dat iemand uit naam van het domein groenedak.nl een mail probeert te sturen en wordt geweigerd door, in dit geval, Google. Dit is waarschijnlijk een verkeerd ingestelde e-mail programma als Outlook waarbij iemand een mail namens groenedak.nl wil versturen, maar dit via zijn of haar internet provider verstuurt.

Heb je vragen, suggesties of een aanvulling / correctie op de artikelen? Stuur dan een bericht naar info@.