We plaatsen een cookie voor Google Analytics om onze website te verbeteren

Met een cookie kun je advertenties personaliseren. Wij hanteren echter de strikte regels van de Autoriteit Persoonsgegevens. Surfgedrag houden we niet bij en we achtervolgen je ook niet met reclame.

DMARC instellen met DMARCify!

Een DMARC-record beschermt je domein tegen phishing en spoofing van e-mail. Het is een manier om aan te geven wat ontvangers moeten doen met e-mails die volgens SPF of DKIM ongeldig zijn. Graag vertel ik je wat DMARC is en hoe voor je domein DMARC instellen werkt. Hiervoor heb ik DMARCify gebouwd, een handige tool om je hiermee te helpen.

DMARC instellen met DMARCify!

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) is een op DNS gebaseerde techniek, net als SPF en DKIM. Domeinen met een DMARC-policy hebben op _dmarc.jouwdomein.tld een TXT-record ingesteld. Dit record schrijft voor wat de ontvanger moet doen, als een e-mail volgens de SPF- of DKIM-check niet geldig is. Daarnaast versturen ontvangers informatie over ontvangen mails terug naar de verzender om informatie te geven over hoe ze SPF en DKIM voor e-mail van je domein hebben gezien.

Een policy maken met DMARCify

Een DMARC-policy schrijven, kan behoorlijk ingewikkeld lijken. Daarom heb ik de tool op DMARCify.nl ontwikkeld die je hierbij helpt. Zo klik je makkelijk een policy in elkaar die bij jouw domein past.

DMARC instellen: de policy bepalen in DMARCify.

Je stelt de policy in door in DirectAdmin bij het DNS-beheer het standaard _dmarc-record te bewerken. Klik hiervoor bij dit record op het potloodje.

Het DMARC-record bewerken in DirectAdmin.

Vink nu Bewerk handmatig aan en vul bij Waarde het resultaat van de tool in. Hieronder is dat bijvoorbeeld v=DMARC1; p=reject. Klik dan op Opslaan.

Een DMARC-policy instellen door het DMARC-record aan te passen.

In de rest van dit artikel vind je uitleg welke aanpassingen jij kunt maken om DMARC bij jouw e-mailgebruik aan te laten sluiten. De tool gaat uit van sane defaults. De instellingen wijzig je dus pas, als je zeker weet dat het nodig is.

De policy

Er zijn drie policies om aan te geven wat een server met ongeauthenticeerde mail moet doen: none, quarantine en reject. De policy kan in hetzelfde record voor zowel hoofddomeinen als subdomeinen worden ingesteld. Standaard wordt hiervoor dezelfde policy aangehouden.

#1. None

Hiermee zeg je dat je er wel voor hebt gekozen om een DMARC-record in te stellen, maar dat de ontvanger niets hoeft te doen met e-mails die in de SPF- of DKIM-check gefaald zijn. Met deze policy worden wel aggregate reports verstuurd om inzicht te krijgen in e-mailstromen voor het domein.

#2. Quarantine

E-mails waarbij de SPF- of DKIM-check faalt, worden als spam behandeld. Vaak betekent dit dat het bericht in de spambox terecht komt.

#3. Reject

E-mails waarbij de SPF- of DKIM-check faalt, worden door de server direct geweigerd. De ontvanger ziet deze mail dus niet in de inbox of spam.

De ‘R’ van Reporting

Naast het bepalen van wat er met gefaalde e-mails moet gebeuren, heeft DMARC ook reporting als functionaliteit. Dit bestaat uit twee onderdelen: aggregate reports en failure reports.

DMARC instellen: aggregate reports in DMARCify.

Het belangrijkste zijn de aggregate reports. Ontvangers die dit ondersteunen (zoals Google of Yahoo), sturen periodiek een XML-bestand (gezipt of ge-gzipt) met informatie over e-mail die ze van je domein hebben ontvangen. In dit bestand staat of de ontvanger SPF en DKIM van ontvangen e-mails in de afgelopen periode als geldig heeft gezien.

Daarnaast ondersteunt DMARC ook failure reports. Deze reports bevatten headers van mails die gefaalde SPF- of DKIM-checks hebben. Failure reports zijn zowel voor machines als voor mensen leesbaar en zijn in het algemeen gebruikt ARF-formaat opgebouwd. Dit type report wordt direct verstuurd als een e-mail faalt.

De juiste policy kiezen

DMARC instellen is verstandig om in twee of drie fases te doen. De eerste fase begint met een none policy en een e-mailadres om de aggregate reports te verzamelen. Het is slim om hiervoor een losse mailbox of e-mailforwarder op het domein aan te maken.

Stuur je alleen mail via Antagonist?
Je kunt dan de eerste fase overslaan. Deze is bedoeld om mailservers in kaart te brengen. Gezien je onze mailserver gebruikt, weet je dit al.

Je kunt doorgaan naar de tweede fase, zodra je zeker weet dat alle e-mails die je verstuurt goed aankomen. In deze fase wijzig je de none policy naar een quarantine policy. Deze zorgt ervoor dat gefaalde e-mails in de spambox van de ontvanger terechtkomen.

Hierna ga je over tot fase drie. Daarin verscherp je de policy tot een reject. Ontvangers bouncen dan direct e-mails waarbij de checks falen. Zo loop je geen risico dat ontvangers eventuele phishing-mails uit hun spambox toch zien. Zorg dat je zeker weet dat alles goed wordt verzonden, als je dit instelt.

DMARC instellen: het resultaat van DMARCify.

Als je met een domein geen mail verstuurt

Ook als je met een domeinnaam geen mail verstuurt, is het verstandig om dit met passende SPF- en DMARC-records aan te geven. Vooral bij domeinen met een redirect naar een andere website wordt dit nogal eens vergeten. Daardoor is dit alternatieve domein zonder moeite te spoofen.

Het is daarom slim om alle bronnen te weigeren met: "v=spf1 -all". Je kunt dit vervolgens afdwingen door een reject policy in te stellen met DMARC. Dit kun je nog veiliger maken door de SPF- en DKIM-alignment op strict te zetten. Hierdoor krijgt gespoofte mail geen geldige authenticatie als het door andere mailservers is verstuurd.

Pas toe of leg uit

DMARC is ook door het Forum Standaardisatie opgenomen in de pas-toe-of-leg-uit-lijst. Dit artikel legt uit welke eisen aan domeinen van de overheid gesteld worden en waarom DMARC een belangrijke standaard is. De aanbeveling is een quarantine of een reject policy. Ook Internet.nl stelt dit daarom als minimale policy. Daar kun je voor je eigen domein controleren of je een geldig DMARC-record hebt.

Als onderzoek heb ik naar enkele overheidssites gekeken. Hierbij ben ik een voorbeeld tegengekomen, waar een kort domein redirect naar het normale domein. Op het normale domein zijn SPF en DMARC netjes ingesteld, maar dit ontbreekt op het korte domein. Daardoor is het korte domein, dat legitiem lijkt, makkelijk te spoofen. Dit geeft des te meer aan hoe belangrijk het is om goed op de veiligheid te letten. Uiteraard heb ik hierover contact opgenomen.

DMARCify je domeinnaam!

DMARC instellen lijkt complex, maar eigenlijk valt het dus best wel mee. Ik hoop in ieder geval dat deze tool het voor jou een stuk gemakkelijker maakt. Stel daarom nu DMARC in voor je domein en bescherm jezelf tegen phishing!

Aan de slag met DMARCify →

P.S. Blijf op de hoogte en volg ons via Facebook, X, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!

Deel dit blog
Martijn Reening
Martijn Reening

Martijn heeft een passie voor alles wat met systeem- en netwerkbeheer te maken heeft. Hij bedenkt graag structurele verbeteringen om het platform nóg sneller en stabieler te maken.

Artikelen: 11

17 reacties

  1. Hi Martijn,

    Goed werk!
    Ik heb twee websites, die geen mailfunctie hebben, maar waarvan het domein is gekoppeld aan Outlook 365. Hoe werkt het daarmee?

    Nog een tweede vraag:
    Ik heb een serie domein-namen, die als alias naar mijn ‘echte’ domein wijzen. Allen ondergebracht via Domainpointers (bij Antagonist). Hoe kan ik daarvoor _dmarc instellen?

    Bedankt,
    Christiaan Boland

    • Dag Bas,

      In principe heeft iedere e-mailgebruiker baat bij DMARC. Het biedt zowel zenders als ontvangers bescherming tegen spam, phishing en spoofing.

      DMARCify maakt het instellen ervan al makkelijker, maar bijvoorbeeld volautomatisch is nog mooier. Gelukkig hebben we nog wat ideeën… 🙂

      Met vriendelijke groet,

      Het Antagonist-team

  2. Hi Martijn,

    ik probeer e.e.a. uit te voeren maar kan DNS-Management niet vinden in DirectAdmin.
    Helpt dit ook tegen de grote hoeveelheid spam-mails die wij op ons domein binnen krijgen?

  3. Ik begrijp niet goed waar dit over gaat. Wordt hiermee voorkomen dat derden via mijn e-mailadressen, die zijn gekoppeld aan mijn website, SPAM-mails versturen naar mijn contactpersonen? Of gaat dit nu over SPAM-mails van derden naar mijn e-mailadressen? En wat is spoofing?

    • Spoofen betekent dat iemand anders e-mail verstuurt namens jouw domeinnaam. Die doet zich dan dus als jou voor, zonder dat je hiervan afweet. Met DMARC kun je zorgen dat dit niet meer kan. Bovendien krijg je inzicht of je domein voor spoofing wordt gebruikt.

  4. Dank voor de handige tool Martijn! Ik heb nog wel een vraag: één van domeinen verwijst door naar een website die bij Heroku draait (omdat het Django is). Deze website verstuurd emails naar nieuwe leden ter bevestiging van hun registratie. Met DMARC op “quarantine” zouden deze emails als spam aangemerkt moeten worden toch? Ik heb het getest en de mails worden niet als spam gemarkeerd. Suggesties?

    • DMARC op ‘quarantaine’ betekent niet direct dat die e-mails als spam worden gemarkeerd. Het is namelijk aan de ontvangende partij om naar de DMARC-policy te kijken. Die kan het ook als slechts een suggestie meenemen en wordt dus niet altijd afgedwongen. Bovendien kijken lang niet alle ontvangers naar de policy. In jouw geval is het advies om het SPF-record en DKIM op orde houden.

  5. Beste Antagonists,

    Ik mis een tools als mtoolbox voor alles spf, dkim, dmarc waarmee ik via directadmin meteen aan de slag kon.

    Dit zou – naast dmarcify- een uiterst zinvolle toevoeging zijn en de diensten compleet maken.

    Vriendelijke groet,
    Michael Pallat

  6. Beste Antagonist,
    Ik ontvang nu regelmatig XML files, van andere mailservers die ik met Excel kan lezen. Maar wat betekenen ze? ik zie domeinnaam en ip adressen, maar ook kolommen met Pass. Ik denk dat dat allemaal OK is, maar hebben jullie een leeswijzer, of een blok met headers en uitleg?

  7. Goedemorgen,

    Vraagje, moet ik na het instellen van deze data ook klikken “DNS-beheer inschakelen” in de omgeving van MijnAntagonist?

    Met vriendelijke groet,

    Bob

    • Hi Bob, die optie in Mijn Antagonist zorgt er puur voor dat de optie ‘DNS-beheer’ zichtbaar is in DirectAdmin. Als je bij jouw hostingpakket deze beheerfunctie al ziet, hoef je hier dus niets mee te doen. Via DirectAdmin de benodigde records toevoegen voor het gewenste domein is dan voldoende.

  8. Nadat mijn e-mailadres door spammers werd gespoofed, op advies van Sam deze regel bij mijn dns-record ingevuld. Duidelijke uitleg! Je hoeft het niet te snappen als je maar gewoon doet wat er staat. Prima!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Sterren Webhosting: 5 sterren uit 5.830 reviews

60.000+ webhostingpakketten actief
Bij de beste webhosters in MT1000 en Emerce 100