Hoe richt ik een DMARC-record in?

Gewijzigd op Vr, 15 Mrt om 5:05 PM

Een DMARC-record kan je helpen bij het tegengaan van e-mailspoofing. Het inrichten van een DMARC-record is niet lastig, maar de keuzes moeten wel bewust gemaakt worden. Met dit artikel willen wij je verder helpen met het inrichten van een goed DMARC-record.


Policies van een DMARC-record

Er zijn verschillende voorwaarden, ofwel policies, voor een DMARC record. Hierbij de verschillende voorwaarden op een rij.

PolicyActie
noneDe e-mail wordt gecontroleerd, maar of de check nu slaagt of niet, de e-mail zal gewoon worden afgeleverd bij de ontvanger.
quarantineBerichten waarvan de check van het DMARC-record niet lukt, zullen direct in de spambox van de ontvanger terecht komen. Indien de ontvanger een quarantaine geconfigureerd heeft, wordt de e-mail daar afgeleverd. De e-mail komt in dit geval dus niet in de inbox terecht.
rejectBerichten waarvan de check van het DMARC-record niet lukt, zullen geweigerd worden. De berichten komen hierdoor niet aan bij de ontvanger. Vaak zal de ontvangende mailserver een bounce-melding sturen.


We raden aan om eerst te starten met een policy 'None'. Vanaf dit moment zal je moeten leren van je e-mailverkeer. Dit kan je doen door rapportage in te richten en deze aandachtig te bestuderen. Je kunt de policy beter niet aanpassen naar quarantine of reject als je niet voldoende op de hoogte bent van je e-mailverkeer. Uiteindelijk is het ultieme doel om een policy als reject te hebben.


Standaard worden domeinen die bij ons worden geregistreerd voorzien van een DMARC-record met een policy 'none'. Dit ziet dan als volgt uit:

NaamTTLTypeWaarde
_dmarc14400TXT"v=DMARC1; p=none;"


Rapportage

Zoals je hierboven gelezen hebt, is het belangrijk om het e-mailverkeer te rapporteren en deze rapportage aandachtig te bestuderen om je e-mailverkeer te begrijpen. Deze rapportage worden per e-mail verzonden en in het DMARC-record kan het e-mailadres worden ingegeven waar de rapportage naartoe verzonden moet worden. Hiervoor wordt een tag gebruikt in je DMARC-record, namelijk de tag 'rua'. Dit komt er dan als volgt uit te zien:

NaamTTLTypeWaarde
_dmarc14400TXT"v=DMARC1; p=none; rua=mailto:dmarc@oxiliondemo.nl;"


Alignment

DMARC bepaalt of een check faalt of niet in een vergelijking van het From: adres met de informatie zoals deze is opgenomen in SPF of DKIM. Dit wordt 'alignment' genoemd. Je kunt kiezen uit 'strict' of 'relaxed'.

Methode van authenticatieStrictRelaxed
SPFHet domein in het From: adres moet exact overeenkomen met het domein dat is opgegeven in het SPF-record.Het domein in het From: adres moet overeenkomen met het domein of kan een subdomein zijn van het domein dat is opgegeven in het SPF-record.
DKIMHet domein in het From: adres moet exact overeenkomen met het relevante domein dat is opgegeven in het DKIM-record.Het domein in het From: adres moet overeenkomen met het domein of kan een subdomein zijn van het domein dat is opgegeven in de DKIM handtekening.


Om het bovenstaande beter te begrijpen moet het verschil tussen het From: adres en het Envelope adres duidelijk zijn.

  • Envelope adres, of ook wel Return path adres genoemd: Het e-mailadres dat aangeeft waarvandaan de e-mail verzonden is. Melding over berichten die niet aangekomen zijn of bounces worden naar dit adres verzonden. SPF gebruikt dit adres om de validatie te doen.
  • From: adres: Het e-mailadres zoals deze in de header van het bericht staat. DKIM gebruikt dit adres om de validatie te doen.

Overige DMARC-record tags

Binnen een DMARC-record zijn meerdere tags te gebruiken. Een tag dien je toe te voegen in de waarde van het DNS-record. De tag en de waarde is altijd aan elkaar verbonden door een '=' teken. Zie ons voorbeeld:

NaamTTLTypeWaarde
_dmarc14400TXT"v=DMARC1; p=reject; pct=100;  adkim=s; rua=mailto:dmarc@oxiliondemo.nl;"


De volgende tags zijn te gebruiken.

TagBeschrijving en waarde
vDit is de DMARC versie. Deze zal altijd DMARC1 zijn.
pDit is de policy die je instelt voor je domein. None, quarantine of reject.
pctWordt gebruikt om het percentage van 'ongeauthoriseerde' te laten checken met je DMARC policy.

Deze tag is optioneel en dient een waarde te hebben tussen de 1 en 100.
ruaHier geef je het e-mailadres op waar de rapportage naartoe verzonden dient te worden. Dit moet altijd 'mailto:' bevatten om te werken. Dit kunnen meerdere e-mailadressen zijn. In dat geval dien je elk e-mailadres inclusief de mailto vermelding te scheiden met een komma en spatie.

We adviseren om hiervoor een apart e-mailadres aan te maken omdat dit nogal wat e-mail kan genereren.

Deze tag is optioneel.
spDit is de policy die zal gelden voor de subdomeinen van je hoofddomein. Gebruik dit alleen als je voor je subdomeinen een andere policy wilt gebruiken dan voor je hoofddomein.

Deze tag is optioneel.
adkimHiermee wordt de strictheid van je policy bepaalt voor DKIM.
  • adkim=s - strict
  • adkim=r - relaxed

Deze tag is optioneel.
aspfHiermee wordt de strictheid van je policy bepaalt voor SPF.
  • aspf=s - strict
  • aspf=r - relaxed

Deze tag is optioneel.


DNS aanpassen in Mijn Oxilion

De DNS records van jouw domein pas je eenvoudig aan in de klantomgeving Mijn Oxilion. Let op, dit geldt enkel voor domeinen die ook onze nameservers gebruiken. Wil je weten waar je de DNS van jouw domeinen kunt aanpassen in Mijn Oxilion? Lees dan ons artikel 'Waar kan ik de DNS van mijn domein beheren?'

Was dit artikel nuttig?

Dat is fantastisch!

Hartelijk dank voor uw beoordeling

Sorry dat we u niet konden helpen

Hartelijk dank voor uw beoordeling

Laat ons weten hoe we dit artikel kunnen verbeteren!

Selecteer tenminste een van de redenen
CAPTCHA-verificatie is vereist.

Feedback verzonden

We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren