Knowledge base

Wat is een DMARC DNS record?

Laatst bijgewerkt op 24 jan. 2024 16:33:12.
Categorie: E-mail | Alles over domeinnamen

DNS E-mail spam

Waarom een DMARC record instellen?

U heeft allicht al gehoord van een SPF record. Met een SPF record weet de ontvanger of de mailserver die het oorspronkelijke bericht verzonden heeft deze mail wel mocht verzenden.

Als u meer wil weten over een SPF record raden we u aan om volgend artikel te lezen.

Tot zo ver de impact van een SPF record… maar wat met het e-mailadres van de verzender? Hier komt de DMARC policy op het toneel.
Door een DMARC (Domain-based Message Authentication, Reporting and Conformance) record met correcte “policy” in te stellen kan de ontvangende mailserver ook nakijken hoe een From: e-mailadres moet behandeld worden en hoe dit moet gerapporteerd worden aan de beheerder van de verzendende mailserver.

Wat doet een DMARC policy precies?

Een DMARC policy geeft een verzender de mogelijkheid om aan te geven dat hun domeinnaam beveiligd is met SPF en/of DKIM records en geeft aan de ontvanger mee wat er moet gebeuren als geen van deze autorisatiemethodes lukken.

Een policy zal bepalen wat er gebeurt in geval van niet correct overeenstemmen van de SPF en/of DKIM waarde: weiger het e-mail bericht of plaats het bericht in quarantaine.

Wat is alignment?

Een term die vaak bovenkomt bij DMARC configuratie is “alignment”.
Concreet gaat het over de relatie tussen het From: e-mailadres dat zichtbaar is voor de client en het adres dat tussen de servers gebruikt wordt.
Wanneer beiden overeenstemmen zijn de adressen gealigneerd en zullen ze door de DMARC policy correct behandeld worden. Als dit niet het geval is, zal de DMARC policy falen en treden al dan niet de rapporteringsregels in werking.

Hoe ziet een DMARC DNS record er uit?

Een minimale DMARC record is “aanwezig” in de domeinnaam zone, maar bevat geen specifieke policy.

nslookup -type=TXT _dmarc.uwdomein.be

Dit kan volgende basispolicy opleveren:

_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=none;”

Bovenstaande is de meest eenvoudige DMARC record die u kan instellen: deze heeft geen impact op het afleveren van uw e-mail maar biedt geen bescherming.
Als u optioneel een rapportageregel toevoegt (zie onder) dan kan u wel op de hoogte gehouden worden van eventuele feedback.

Een basisrecord met rapportage:

_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=none; rua=mailto:postmaster@uwdomein.be;”

Dit levert een samenvattend rapport af op postmaster@uwdomein.be in de vorm van een XML bestand.

Een meer volledige en complexere DMARC record kan er als volgt uitzien:

_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=quarantine; pct=25; fo=0; adkim=r; aspf=r; rua=mailto:postmaster@uwdomein.be;”

Concreet wil dit zeggen:

v: de versie van het DMARC protocol.

p: de toegepaste policy, deze kan zijn: none (geen), quarantaine (geeft aan de ontvanger mee dat het bericht dat niet beantwoord aan de controle moet behandeld worden als verdacht, dus het kan getagged worden of in een spam/junk map terecht komen) en tot slot reject (weiger het bericht dat niet beantwoord aan de controle).

pct: het percentage van mail dat in dit geval in quarantaine moet: 25% zal behandeld worden als verdacht, 75% zal de policy “none” toegewezen krijgen en gaat dus door. Door het percentage op te voeren kan u de policy strenger maken.

fo: de fo waarde is optioneel en staat voor "failure reporting options" en geeft mee welk soort rapporten er moeten verzonden worden. Mogelijke waarden zijn:
f=0: stuur een melding als alle onderliggende authenticatie mechanismen de mail weigeren door te laten (standaard).
f=1
: stuur een melding als een van de onderliggende authenticatie mechanismen (SPF of DKIM) de mail weigeren door te laten (aanbevolen).
f=d
: genereer een rapport als de DKIM handtekening niet correct was, ongeacht alignment.
f=s
: genereer een rapport als de SPF record een fout geeft, ongeacht alignment.
De fo paremeter kan ook gecombineerd worden, als u bijvoorbeeld verschillende type rapporten wil ontvangen. De waarden moeten dan met : in de record geplaatst worden: f=0:1:s.

adkim: deze kan “r” zijn of “s” en wil concreet zeggen dat de DKIM regels “strikt” zijn or “relaxed”.

aspf: deze kan “r” zijn of “s” en wil concreet zeggen dat de SPF regels “strikt” zijn or “relaxed”.

rua: dit geeft aan waar de samenvattende rapporten moeten toekomen, in dit geval is dit mailto:postmaster@uwdomein.be dus mails met XML rapporten zullen toekomen op postmaster@uwdomein.be

Hoe een DMARC policy uitrollen?

Een DMARC policy voert u best geleidelijk aan in, om problemen met afleveren van mailberichten te voorkomen.
Elke policy heeft zijn eigen gevolgen en beperkingen:

p=none: geeft geen bescherming, mails zullen steeds verzonden worden en kan basisrapportage bevatten.

p=quarantine: invoeren van gedeeltelijke bescherming en een belangrijke stap in het uitrollen van een correcte policy, zal ook meegeven aan de ontvanger wat er met verdachte berichten moet gebeuren.

p=reject: de hoogste graad van bescherming, geeft aan ontvangers door dat alle verdachte mails van uw domein onmiddellijk geweigerd worden en geweigerde berichten kunnen terug naar de verzender verzonden worden.

We raden daarom aan om te starten met een eenvoudige policy zoals:

_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=none; rua=mailtopostmaster@uwdomein.be;”

En dit geleidelijk aan op te voeren naar:

_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=quarantine; pct=25; rua=mailtopostmaster@uwdomein.be;”

En vervolgens een reject policy uit te bouwen:

_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=reject; pct=1; rua=mailtopostmaster@uwdomein.be;”

Het percentage kan u opvoeren naar mate de configuratie loopt (bv. van 1% naar 25%, naar 50% enz.).
Opgelet, een “reject” policy van 100% wil concreet zeggen dat mails waarvan de records niet gealigneerd zijn zullen geweigerd worden, dit wil ook meteen zeggen dat verzonden mails niet zullen aankomen als de configuratie niet juist is!

Hulp nodig bij het instellen van een correcte DMARC record?

Een DMARC DNS record instellen is niet eenvoudig en kan potentieel grote gevolgen hebben voor het afleveren van mailcorrespondentie op uw domeinnaam.

Neem daarom bij twijfel het zekere voor het onzekere en contacteer een specialist van Kinamo om u te begeleiden in het opzetten van een correcte DMARC strategie en policy.


Gerelateerde artikels

Ik krijg een melding dat mijn mailbox vol is, wat moet ik doen?

De Kinamo mailserver stuurt automatisch een melding uit als uw e-mailadres op 95% van zijn capaciteit zit. In dat geval...

Lees meer

Kinamo mail server instellingen (mail server cheat sheet)

Volgend artikel geeft de basis instellingen en server namen (domeinnamen) weer voor de Kinamo mail infrastructuur. Aan de hand van...

Lees meer

Mails verstuurd naar gmail.com adressen komen niet toe bij de ontvanger

Berichten die verzonden worden naar een gmail.com adres komen niet toe bij de ontvanger. De verzender krijgt een foutmelding terug...

Lees meer

Extra hulp nodig?

Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!

Selecteer uw taal

Alle talen: