Terug naar 'Betekenissen'Wat is DMARC?
Laatst bijgewerkt:
Verstuur je e-mails met je domein dan heb je ongetwijfeld een DMARC-record in je DNS staan. Dit is een stukje verificatie met als doel een domein te beschermen tegen misbruik en phishingaanvallen. Met Lettermint maken we ook gebruik van deze DNS-record om transactional e-mails te versturen. Hoe dit precies werkt leggen we uit in dit artikel.
Wat is DMARC
DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Een hele berg moeilijke termen, maar waar het op neer komt is dat het protocol is bedacht om phishing te voorkomen.
Het is in 2012 ontwikkeld door onder andere PayPal, Google, Microsoft en Yahoo! omdat zij zagen dat er in de financiële sector enorm veel misbruik werd gemaakt van phishing (het voordoen als een bedrijf). Met een geldig DMARC-record voorkom je dat men e-mails kan versturen namens jou en dat mailprogramma's dit zien als echt i.p.v. spam.
Grote kans dat in jouw spam-folder ook phishing e-mails staan. E-mails die worden gestuurd vanuit een - op het oog - correct e-mailadres, maar in de praktijk is het niet het echte bedrijf dat deze e-mails heeft gestuurd. Dit wordt ook wel email spoofing genoemd. Kwaadwillenden sturen deze e-mails en door DMARC belanden ze gelukkig direct in de spam en worden ze als onveilig gezien.
Hoe werkt DMARC
DMARC werkt als een controlepunt voor alle e-mails die vanuit een domein worden verstuurd. Het kijkt of een e-mail echt van dat domein afkomstig is en geeft instructies aan de ontvangende mailserver wat er moet gebeuren als dat niet zo is.
DMARC maakt ook gebruik van technieken zoals SPF en DKIM om de echtheid van e-mails te verifiëren. Hiermee kan worden bepaald of verdachte e-mails in de spam-folder moeten belanden, helemaal geweigerd moeten worden of alleen gemonitord moeten worden. Ook kunnen rapportages worden ontvangen om inzicht te krijgen in wie er namens het domein e-mails probeert te versturen en hoe deze worden verwerkt.
Hoe stel je DMARC in
Zoals we eerder schreven wordt DMARC beheerd in de DNS van je domein. Met een zogeheten DMARC-record bepaal jij als eigenaar van je domein wat er moet gebeuren bij misbruik van je domein. Kies je ervoor om alle e-mails te blokkeren en wil je op de hoogte blijven van misbruik, dan vul je dat in.
DMARC kent 2 verplichte velden en 7 optionele velden. Een voorbeeld van hoe een geldige DMARC-record eruit ziet met enkel de verplichte velden:
v=DMARC1; p=none
Met 7 optionele velden kun je de veiligheid nog opschroeven. Het kan ook voorkomen dat externe tools bepaalde velden verplichten, zoals we zien bij Apple Branded Mail. Zij verplichten bijvoorbeeld de pct waarde op 100 en p op reject of quarantine.
Alle DMARC velden
Een overzicht van alle DMARC velden zie je hieronder:
| Veld | Naam | Verplicht | Beschrijving | Mogelijke waarden |
|---|---|---|---|---|
| v | Version | Ja | Welke versie van DMARC je gebruikt | DMARC1 |
| p | Policy | Ja | Wat moet er gebeuren met e-mails die niet voldoen aan je regels | none, quarantine, reject |
| rua | Aggregate Report URI | Nee | Waar wil je samenvattingen ontvangen van alle e-mail activiteit | URI (bijv. mailto:dmarc@example.com) |
| ruf | Forensic Report URI | Nee | Waar wil je gedetailleerde rapporten van verdachte e-mails ontvangen | URI (bijv. mailto:forensic@example.com) |
| sp | Subdomain Policy | Nee | Aparte regels voor subdomeinen (bijv. mail.lettermint.co) | none, quarantine, reject |
| pct | Percentage | Nee | Op hoeveel procent van de e-mails wil je de regels toepassen | 0-100 (standaard: 100) |
| adkim | DKIM Alignment | Nee | Hoe streng controleren op DKIM handtekening | r (soepel), s (streng) |
| aspf | SPF Alignment | Nee | Hoe streng controleren op afzender IP-adres | r (soepel), s (streng) |
| fo | Failure Reporting Options | Nee | Wanneer wil je een gedetailleerd rapport ontvangen | 0, 1, d, s |
| rf | Report Format | Nee | In welk formaat wil je de rapporten ontvangen | afrf (standaard) |
| ri | Report Interval | Nee | Hoe vaak wil je samenvattende rapporten ontvangen (in seconden) | Standaard: 86400 (24 uur) |
Zoals je ziet is het een hele lijst aan velden. Het is daarom ook lastig te adviseren welke velden voor jou van belang zijn, omdat we op voorhand niet weten of je naast Lettermint nog andere tools gebruikt.
Bij Lettermint eisen we daarom enkel een valide DMARC-record. Dit houdt in dat Version en Policy opgenomen moeten zijn in je DNS.
DMARC instellen
Een DMARC plaats je als TXT in de DNS van het (sub)domein dat je wilt gebruiken. Wil je e-mails versturen met bijvoorbeeld contact@example.com dan plaats je de DMARC op _dmarc.example.com. Wil je mailen vanuit contact@mail.example.com dan plaats je de DMARC op het subdomein, dus _dmarc.mail.example.com.
Je kunt met onze DMARC Checker in de volgende stap checken of je een geldige DMARC hebt.
Let op: plaats altijd een _ voor dmarc. Zonder een underscore werkt je DMARC niet.
DMARC voor subdomeinen
Het sp veld (Subdomain Policy) is vooral relevant wanneer je gebruik maakt van e-mail subdomeinen. Hiermee stel je een aparte policy in voor al je subdomeinen, gescheiden van je hoofddomein. Dit is handig als je bijvoorbeeld transactional e-mails vanaf een subdomain verstuurt en een andere policy wilt hanteren dan voor je hoofddomein.
DMARC Check
Wil je controleren of je een geldige DMARC-record hebt? Gebruik de onderstaande DMARC Checker om de DMARC van een domein te controleren. De tool geeft aan of een domein een geldige DMARC heeft of niet.
Op deze manier kun je ook zien welke velden andere bedrijven gebruiken. Zo gebruiken wij bij Lettermint naast de verplichte velden ook de Subdomain Policy en Percentage.
Conclusie
Bij Lettermint zorgen we dat e-mails aankomen in de inbox van de ontvanger, en nooit in de spamfolder. Dit proberen we zo snel mogelijk, dat is ook te zien aan onze Time to Inbox statistieken. Met onder andere de verplichte DMARC-record kun je met Lettermint e-mails sturen die veilig worden beschouwd door de mailserver van de ontvanger.
Met de DMARC-record heb je zelf de controle wat er moet gebeuren bij misbruik van je domein. Wil je op de hoogte gehouden worden, of wil je dat onveilige e-mails automatisch worden afgekeurd. Vul de velden in die voor jou van belang zijn. Test na het instellen altijd of je nog e-mails kunt versturen via de tools die je gebruikt.
Met onze DMARC Checker controleer je of je DMARC geldig is en welke waardes mailservers moeten hanteren bij het ontvangen van e-mails met jouw domein.