Een DMARC-record kan je helpen bij het tegengaan van e-mailspoofing. Het inrichten van een DMARC-record is niet lastig, maar de keuzes moeten wel bewust gemaakt worden. Met dit artikel willen wij je verder helpen met het inrichten van een goed DMARC-record.
Policies van een DMARC-record
Er zijn verschillende voorwaarden, ofwel policies, voor een DMARC record. Hierbij de verschillende voorwaarden op een rij.
Policy | Actie |
none | De e-mail wordt gecontroleerd, maar of de check nu slaagt of niet, de e-mail zal gewoon worden afgeleverd bij de ontvanger. |
quarantine | Berichten waarvan de check van het DMARC-record niet lukt, zullen direct in de spambox van de ontvanger terecht komen. Indien de ontvanger een quarantaine geconfigureerd heeft, wordt de e-mail daar afgeleverd. De e-mail komt in dit geval dus niet in de inbox terecht. |
reject | Berichten waarvan de check van het DMARC-record niet lukt, zullen geweigerd worden. De berichten komen hierdoor niet aan bij de ontvanger. Vaak zal de ontvangende mailserver een bounce-melding sturen. |
We raden aan om eerst te starten met een policy 'None'. Vanaf dit moment zal je moeten leren van je e-mailverkeer. Dit kan je doen door rapportage in te richten en deze aandachtig te bestuderen. Je kunt de policy beter niet aanpassen naar quarantine of reject als je niet voldoende op de hoogte bent van je e-mailverkeer. Uiteindelijk is het ultieme doel om een policy als reject te hebben.
Standaard worden domeinen die bij ons worden geregistreerd voorzien van een DMARC-record met een policy 'none'. Dit ziet dan als volgt uit:
Naam | TTL | Type | Waarde |
_dmarc | 14400 | TXT | "v=DMARC1; p=none;" |
Rapportage
Zoals je hierboven gelezen hebt, is het belangrijk om het e-mailverkeer te rapporteren en deze rapportage aandachtig te bestuderen om je e-mailverkeer te begrijpen. Deze rapportage worden per e-mail verzonden en in het DMARC-record kan het e-mailadres worden ingegeven waar de rapportage naartoe verzonden moet worden. Hiervoor wordt een tag gebruikt in je DMARC-record, namelijk de tag 'rua'. Dit komt er dan als volgt uit te zien:
Naam | TTL | Type | Waarde |
_dmarc | 14400 | TXT | "v=DMARC1; p=none; rua=mailto:[email protected];" |
Alignment
DMARC bepaalt of een check faalt of niet in een vergelijking van het From: adres met de informatie zoals deze is opgenomen in SPF of DKIM. Dit wordt 'alignment' genoemd. Je kunt kiezen uit 'strict' of 'relaxed'.
Methode van authenticatie | Strict | Relaxed |
SPF | Het domein in het From: adres moet exact overeenkomen met het domein dat is opgegeven in het SPF-record. | Het domein in het From: adres moet overeenkomen met het domein of kan een subdomein zijn van het domein dat is opgegeven in het SPF-record. |
DKIM | Het domein in het From: adres moet exact overeenkomen met het relevante domein dat is opgegeven in het DKIM-record. | Het domein in het From: adres moet overeenkomen met het domein of kan een subdomein zijn van het domein dat is opgegeven in de DKIM handtekening. |
Om het bovenstaande beter te begrijpen moet het verschil tussen het From: adres en het Envelope adres duidelijk zijn.
- Envelope adres, of ook wel Return path adres genoemd: Het e-mailadres dat aangeeft waarvandaan de e-mail verzonden is. Melding over berichten die niet aangekomen zijn of bounces worden naar dit adres verzonden. SPF gebruikt dit adres om de validatie te doen.
- From: adres: Het e-mailadres zoals deze in de header van het bericht staat. DKIM gebruikt dit adres om de validatie te doen.
Overige DMARC-record tags
Binnen een DMARC-record zijn meerdere tags te gebruiken. Een tag dien je toe te voegen in de waarde van het DNS-record. De tag en de waarde is altijd aan elkaar verbonden door een '=' teken. Zie ons voorbeeld:
Naam | TTL | Type | Waarde |
_dmarc | 14400 | TXT | "v=DMARC1; p=reject; pct=100; adkim=s; rua=mailto:[email protected];" |
De volgende tags zijn te gebruiken.
Tag | Beschrijving en waarde |
v | Dit is de DMARC versie. Deze zal altijd DMARC1 zijn. |
p | Dit is de policy die je instelt voor je domein. None, quarantine of reject. |
pct | Wordt gebruikt om het percentage van 'ongeauthoriseerde' te laten checken met je DMARC policy. Deze tag is optioneel en dient een waarde te hebben tussen de 1 en 100. |
rua | Hier geef je het e-mailadres op waar de rapportage naartoe verzonden dient te worden. Dit moet altijd 'mailto:' bevatten om te werken. Dit kunnen meerdere e-mailadressen zijn. In dat geval dien je elk e-mailadres inclusief de mailto vermelding te scheiden met een komma en spatie. We adviseren om hiervoor een apart e-mailadres aan te maken omdat dit nogal wat e-mail kan genereren. Deze tag is optioneel. |
sp | Dit is de policy die zal gelden voor de subdomeinen van je hoofddomein. Gebruik dit alleen als je voor je subdomeinen een andere policy wilt gebruiken dan voor je hoofddomein. Deze tag is optioneel. |
adkim | Hiermee wordt de strictheid van je policy bepaalt voor DKIM.
Deze tag is optioneel. |
aspf | Hiermee wordt de strictheid van je policy bepaalt voor SPF.
Deze tag is optioneel. |
DNS aanpassen in Mijn Oxilion
De DNS records van jouw domein pas je eenvoudig aan in de klantomgeving Mijn Oxilion. Let op, dit geldt enkel voor domeinen die ook onze nameservers gebruiken. Wil je weten waar je de DNS van jouw domeinen kunt aanpassen in Mijn Oxilion? Lees dan ons artikel 'Waar kan ik de DNS van mijn domein beheren?'
Was dit artikel nuttig?
Dat is fantastisch!
Hartelijk dank voor uw beoordeling
Sorry dat we u niet konden helpen
Hartelijk dank voor uw beoordeling
Feedback verzonden
We stellen uw moeite op prijs en zullen proberen het artikel te verbeteren