DMARC: de bewaker van e-mailauthenticatie
DMARC (Domain-based Message Authentication, Reporting & Conformance) is het protocol dat het trio van e-mailauthenticatie compleet maakt. Terwijl SPF en DKIM authenticatiemechanismen zijn, is DMARC een beleid: het vertelt ontvangende servers wat ze moeten doen wanneer een e-mail de authenticatie niet doorstaat. Zonder DMARC kan een e-mail die SPF of DKIM niet doorstaat alsnog worden bezorgd — de beslissing wordt volledig aan de ontvangende server overgelaten. Met DMARC neemt de domeineigenaar de controle terug.
DMARC verifieert ook domeinafstemming: het controleert of het domein in de From-header (dat de gebruiker ziet) overeenkomt met het domein dat door SPF of DKIM is geauthenticeerd. Dit is cruciaal omdat een aanvaller SPF en DKIM voor zijn eigen domein zou kunnen configureren, maar e-mails zou versturen met jouw domein in het From-veld. DMARC-afstemming voorkomt dit scenario en sluit de kloof tussen technische authenticatie en zichtbare identiteit.
De drie DMARC-beleidsregels
DMARC-implementatie moet altijd geleidelijk verlopen. Direct beginnen met p=reject is riskant: je zou legitieme e-mails kunnen blokkeren die worden verstuurd door diensten die je nog niet hebt geauthenticeerd met SPF/DKIM. De aanbevolen strategie is: begin met p=none om gegevens te verzamelen (doorgaans 2-4 weken), analyseer de rapporten om alle legitieme e-mailbronnen te identificeren, configureer SPF en DKIM voor elk daarvan, schakel vervolgens over naar p=quarantine met een laag pct (25-50%), verhoog dit geleidelijk, en activeer tot slot p=reject.
DMARC-rapporten: de zichtbaarheid die je miste
Een van de meest onderschatte voordelen van DMARC zijn de geaggregeerde rapporten (rua). Elke server die e-mail ontvangt van jouw domein stuurt dagelijks rapporten in XML-formaat met daarin: hoeveel e-mails zijn ontvangen, van welke IP-adressen, of ze SPF/DKIM hebben doorstaan of niet, en welke actie is toegepast. Deze rapporten zijn een goudmijn aan informatie: ze onthullen diensten die namens jou e-mail versturen waarvan je het bestaan misschien vergeten was, spoofingpogingen tegen je domein, en configuratieproblemen.
Om DMARC-rapporten te analyseren (die in rauwe XML staan en moeilijk leesbaar zijn), bestaan er speciale diensten die ze aggregeren tot overzichtelijke dashboards. Als alternatief kun je beginnen met een handmatige beoordeling van de belangrijkste rapporten. De belangrijkste metric om te monitoren is de verhouding tussen geauthenticeerde en niet-geauthenticeerde e-mails: als je veel legitieme e-mails ziet die niet slagen, moet je SPF of DKIM bijwerken voordat je het beleid aanscherpt.
Je DMARC-record verifiëren en genereren
Onze DMARC Lookup analyseert het DMARC-record van je domein en toont het beleid, de afstemmingsparameters, rapportageadressen en eventuele syntaxfouten. Als je nog geen DMARC-record hebt, gebruik dan de DMARC Generator om een op maat gemaakt record te maken met de juiste opties. De tool genereert het TXT-record dat klaar is om in DNS te worden ingevoegd.
Vergeet niet dat het DMARC-record moet worden ingevoegd als een TXT-record op _dmarc.jouwdomein.com. Een veelgemaakte fout is het invoegen op de domeinroot of met een verkeerde hostnaam. Controleer ook of SPF en DKIM correct zijn geconfigureerd voordat je DMARC activeert: zonder ten minste één van de twee authenticatieprotocollen heeft DMARC geen basis om op te werken. Gebruik SPF Lookup en DKIM Lookup voor een volledige verificatie.
Let tot slot op het subdomeinbeleid (sp=). Als dit niet is opgegeven, erven subdomeinen het beleid van het bovenliggende domein. Maar als je subdomeinen geen e-mail versturen, is het een goede gewoonte om sp=reject in te stellen om te voorkomen dat ze worden gebruikt voor spoofing, zelfs als het beleid van het hoofddomein nog in monitoringmodus staat met p=none.