DMARC, of Domain-based Message Authentication, Reporting & Conformance, is een e-mailverificatieprotocol waarmee de verzender van een e-mail in zijn DNS-records een beleid kan publiceren waarin wordt gespecificeerd welke mechanismen worden gebruikt om zijn e-mailberichten te beschermen en hoe de ontvangende mailserver berichten moet behandelen die de DMARC-evaluatie niet doorstaan.
Het DMARC-beleid wordt gepubliceerd in een TXT-record in de DNS van het verzendende domein. Dit record specificeert welke mechanismen (bv. SPF, DKIM) worden gebruikt om de e-mail te authenticeren, en hoe de ontvangende mailserver moet omgaan met berichten die de DMARC-evaluatie niet doorstaan.
Het DMARC-beleid bestaat uit drie hoofdonderdelen:
- De “p” tag, die het DMARC-beleid specificeert dat op de e-mail moet worden toegepast. Er zijn drie mogelijke waarden voor de “p” tag: “geen”, “quarantaine” en “afwijzen”. Als de tag “p” is ingesteld op “none”, moet de ontvangende mailserver de e-mail normaal blijven verwerken, zelfs als de DMARC-evaluatie mislukt. Als de tag “p” is ingesteld op “quarantaine”, moet de ontvangende mailserver de e-mail als spam markeren of naar de spammap sturen. Als de tag “p” is ingesteld op “reject”, moet de ontvangende mailserver de e-mail volledig afwijzen.
- De tag “sp” specificeert het beleid dat moet worden toegepast op subdomeinen van het verzendende domein. Hiermee kan de afzender verschillende beleidsregels instellen voor verschillende subdomeinen.
- De tags “rua” en “ruf” geven aan waar de ontvangende mailserver DMARC-rapporten naartoe moet sturen. De tag “rua” specificeert het e-mailadres waarheen geaggregeerde rapporten moeten worden gestuurd, terwijl de tag “ruf” het e-mailadres specificeert waarnaar forensische rapporten moeten worden gestuurd.
Ontvangende mailserver
Om een e-mail te toetsen aan een DMARC-beleid voert de ontvangende mailserver de volgende stappen uit:
- Controleer de “Van” header van de e-mail om het verzendende domein te bepalen.
- Zoek het DMARC-beleid voor het verzendende domein op in de DNS.
- Als er geen DMARC-beleid wordt gevonden, wordt de e-mail gewoon verwerkt.
- Als er wel een DMARC-beleid is gevonden, controleert u de SPF- en DKIM-records van de e-mail om te zien of deze overeenkomen met het DMARC-beleid. Als zowel de SPF- als de DKIM-records overeenkomen met het DMARC-beleid, komt de e-mail door de DMARC-evaluatie. Als de SPF- of DKIM-records niet overeenkomen met het DMARC-beleid, is de e-mail niet geslaagd voor de DMARC-evaluatie.
- Als de e-mail door de DMARC-evaluatie komt, blijft u de e-mail gewoon verwerken. Als de e-mail de DMARC-evaluatie niet doorstaat, past u het beleid toe dat in de tag “p” van het DMARC-beleid is gespecificeerd.
Voordelen
Een van de belangrijkste voordelen van DMARC is dat het de afzender van een e-mail in staat stelt zijn domein te beschermen tegen gebruik voor spam- of phishingaanvallen. Door een DMARC-beleid te publiceren, kan de afzender specificeren welke mechanismen moeten worden gebruikt om zijn e-mailberichten te authenticeren en hoe de ontvangende mailserver moet omgaan met berichten die de DMARC-evaluatie niet doorstaan. Dit helpt de kans te verkleinen dat hun domein wordt gebruikt voor spam- of phishingaanvallen, en maakt het voor de ontvangende mailserver gemakkelijker om dit soort berichten te identificeren en te blokkeren.
Een ander voordeel van DMARC is dat de verzender rapporten kan ontvangen over de wijze waarop zijn DMARC-beleid wordt uitgevoerd. Deze rapporten kunnen waardevolle inzichten verschaffen in hoe de e-mails van de afzender worden ontvangen en kunnen de afzender helpen eventuele problemen op te sporen die van invloed zijn op de aflevering van zijn e-mails.
Voorbeeld van een DMARC record
v=DMARC1; p=quarantine; sp=none; pct=100; rua=mailto:dmarc@voorbeeld.nl
In dit voorbeeld geeft het DMARC-record aan dat het beleid van de verzender is om e-mails die niet voldoen aan het DMARC-beleid te quarantaineren. Het beleid voor subdomeinen van de verzender (“sp=none”) is om geen actie te ondernemen. Het beleid geldt voor 100% van de e-mails van de verzender. De verzender ontvangt DMARC-rapporten via e-mail op het adres “dmarc@voorbeeld.nl”.
Er zijn verschillende opties voor het DMARC-beleid die kunnen worden gebruikt, afhankelijk van de behoeften van de verzender. Bijvoorbeeld, in plaats van e-mails te quarantaineren, kan het beleid ook zijn om e-mails die niet voldoen aan het DMARC-beleid te verwijderen of te markeren als spam. Het is aan de verzender om te bepalen welk beleid het beste past bij zijn behoeften.
Lees onze blog over DKIM, SPF en DMARC en hoe deze de kans op phishing verkleinen.