DMARC instellen met DMARCify!

Een DMARC-record beschermt je domein tegen phishing en spoofing van e-mail. Het is een manier om aan te geven wat ontvangers moeten doen met e-mails die volgens SPF of DKIM ongeldig zijn. Graag vertel ik je wat DMARC is en hoe voor je domein DMARC instellen werkt. Ik heb namelijk een handige tool gebouwd om je hiermee te helpen: DMARCify.

DMARC instellen met DMARCify!

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) is een op DNS gebaseerde techniek, net als SPF en DKIM. Domeinen met een DMARC-policy hebben op _dmarc.jouwdomein.tld een TXT-record ingesteld. Dit record schrijft voor wat de ontvanger moet doen, als een e-mail volgens de SPF- of DKIM-check niet geldig is. Daarnaast versturen ontvangers informatie over ontvangen mails terug naar de verzender om informatie te geven over hoe ze SPF en DKIM voor e-mail van je domein hebben gezien.

Een policy maken met DMARCify

Een DMARC-policy schrijven, kan behoorlijk ingewikkeld lijken. Daarom heb ik de tool op DMARCify.nl ontwikkeld die je hierbij helpt. Met deze tool klik je makkelijk een een policy in elkaar die bij jouw domein past.

DMARC instellen: de policy bepalen in DMARCify.

Je stelt de policy in door in DirectAdmin bij ‘DNS Management’ het standaard _dmarc-record weg te gooien. Vervolgens voeg je een nieuw TXT-record toe met _dmarc als naam en het resultaat van de tool als inhoud.

Een voorbeeld van een DMARC-record in DirectAdmin.

In de rest van dit artikel vind je uitleg welke aanpassingen jij kunt maken om DMARC bij jouw e-mailgebruik aan te laten sluiten. De tool gaat uit van sane defaults. Ofwel, de instellingen wijzig je pas, als je zeker weet dat het nodig is.

De policy

Er zijn drie policies om aan te geven wat een server met ongeauthenticeerde mail moet doen: none, quarantine en reject. De policy kan in hetzelfde record voor zowel hoofddomeinen als subdomeinen worden ingesteld. Standaard wordt hiervoor dezelfde policy aangehouden.

#1. None

Hiermee zeg je dat je er wel voor hebt gekozen om een DMARC-record in te stellen, maar dat de ontvanger niets hoeft te doen met e-mails die in de SPF- of DKIM-check gefaald zijn. Met deze policy worden wel aggregate reports verstuurd om inzicht te krijgen in e-mailstromen voor het domein.

#2. Quarantine

E-mails waarbij de SPF- of DKIM-check faalt, worden als spam behandeld. Vaakt betekent dit dat het bericht in de spambox terecht komt.

#3. Reject

E-mails waarbij de SPF- of DKIM-check faalt, worden door de server direct geweigerd. De ontvanger ziet deze mail dus niet in de inbox of spam.

De ‘R’ van Reporting

Naast het bepalen van wat er met gefaalde e-mails moet gebeuren, heeft DMARC ook reporting als functionaliteit. Dit bestaat uit twee onderdelen: aggregate reports en failure reports.

DMARC instellen: aggregate reports in DMARCify.

Het belangrijkste zijn de aggregate reports. Ontvangers die dit ondersteunen (zoals Google of Yahoo), sturen periodiek een XML-bestand (gezipt of ge-gzipt) met informatie over e-mail die ze van je domein hebben ontvangen. In dit bestand staat of de ontvanger SPF en DKIM van ontvangen e-mails in de afgelopen periode als geldig heeft gezien.

Daarnaast ondersteunt DMARC ook failure reports. Deze reports bevatten headers van mails die gefaalde SPF- of DKIM-checks hebben. Failure reports zijn zowel voor machines als voor mensen leesbaar en zijn in het algemeen gebruikt ARF-formaat opgebouwd. Dit type report wordt direct verstuurd als een e-mail faalt.

De juiste policy kiezen

DMARC instellen is verstandig om in twee of drie fases te doen. De eerste fase begint met een none policy en een e-mailadres om de aggregate reports te verzamelen. Het is slim om hiervoor een losse mailbox of e-mailforwarder op het domein aan te maken.

TIP!
Stuur je alleen mail via Antagonist, dan kun je de eerste fase overslaan. Deze is namelijk bedoeld om mailservers in kaart te brengen. Gezien je onze mailserver gebruikt, weet je dit al.

Je kunt doorgaan naar de tweede fase, zodra je zeker weet dat alle e-mails die je verstuurt goed aankomen. In deze fase wijzig je de none policy naar een quarantine policy. Deze zorgt ervoor dat gefaalde e-mails in de spambox van de ontvanger terechtkomen.

Hierna ga je over tot fase drie. Daarin verscherp je de policy tot een reject. Ontvangers bouncen dan direct e-mails waarbij de checks falen. Zo loop je geen risico dat ontvangers eventuele phishing-mails uit hun spambox toch zien. Zorg dat je zeker weet dat alles goed wordt verzonden, als je dit instelt.

DMARC instellen: het resultaat van DMARCify.Als je met een domein geen mail verstuurt

Ook als je met een domeinnaam geen mail verstuurt, is het verstandig om dit met passende SPF- en DMARC-records aan te geven. Vooral bij domeinen met een redirect naar een andere website wordt dit nogal eens vergeten. Daardoor is dit alternatieve domein zonder moeite te spoofen.

Het is daarom slim om alle bronnen te weigeren met: "v=spf1 -all". Vervolgens kun je dit afdwingen door een reject policy in te stellen met DMARC. Dit kun je nog veiliger maken door de SPF- en DKIM-alignment op strict te zetten. Hierdoor krijgt gespoofte mail geen geldige authenticatie als het door andere mailservers is verstuurd.

Pas toe of leg uit

DMARC is ook door het Forum Standaardisatie opgenomen in de pas-toe-of-leg-uit-lijst. Dit artikel legt uit welke eisen aan domeinen van de overheid gesteld worden en waarom DMARC een belangrijke standaard is. De aanbeveling is een quarantine of een reject policy. Ook Internet.nl stelt dit daarom als minimale policy. Daar kun je voor je eigen domein controleren of je een geldig DMARC-record hebt.

Als onderzoek heb ik naar enkele overheidssites gekeken. Hierbij ben ik een voorbeeld tegengekomen, waar een kort domein redirect naar het normale domein. Op het normale domein zijn SPF en DMARC netjes ingesteld, maar dit ontbreekt op het korte domein. Daardoor is het korte domein, dat legitiem lijkt, makkelijk te spoofen. Dit geeft des te meer aan hoe belangrijk het is om goed op de veiligheid te letten. Uiteraard heb ik hierover contact opgenomen.

DMARCify je domeinnaam!

DMARC instellen lijkt complex, maar eigenlijk valt het dus best wel mee. Ik hoop in ieder geval dat deze tool het voor jou een stuk gemakkelijker maakt. Stel daarom nu DMARC in voor je domein en bescherm jezelf tegen phishing!

Aan de slag met DMARCify →

P.S. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Twitter, Instagram, RSS en e-mail!

Deel Deel Deel Deel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *