Laatst bijgewerkt op 24 jan. 2024 16:33:12.
Categorie:
E-mail
| Alles over domeinnamen
U heeft allicht al gehoord van een SPF record. Met een SPF record weet de ontvanger of de mailserver die het oorspronkelijke bericht verzonden heeft deze mail wel mocht verzenden.
Als u meer wil weten over een SPF record raden we u aan om volgend artikel te lezen.
Tot zo ver de impact van een SPF record… maar wat met het e-mailadres van de verzender? Hier komt de DMARC policy op het toneel.
Door een DMARC (Domain-based Message Authentication, Reporting and Conformance) record met correcte “policy” in te stellen kan de ontvangende mailserver ook nakijken hoe een From: e-mailadres moet behandeld worden en hoe dit moet gerapporteerd worden aan de beheerder van de verzendende mailserver.
Een DMARC policy geeft een verzender de mogelijkheid om aan te geven dat hun domeinnaam beveiligd is met SPF en/of DKIM records en geeft aan de ontvanger mee wat er moet gebeuren als geen van deze autorisatiemethodes lukken.
Een policy zal bepalen wat er gebeurt in geval van niet correct overeenstemmen van de SPF en/of DKIM waarde: weiger het e-mail bericht of plaats het bericht in quarantaine.
Een term die vaak bovenkomt bij DMARC configuratie is “alignment”.
Concreet gaat het over de relatie tussen het From: e-mailadres dat zichtbaar is voor de client en het adres dat tussen de servers gebruikt wordt.
Wanneer beiden overeenstemmen zijn de adressen gealigneerd en zullen ze door de DMARC policy correct behandeld worden. Als dit niet het geval is, zal de DMARC policy falen en treden al dan niet de rapporteringsregels in werking.
Een minimale DMARC record is “aanwezig” in de domeinnaam zone, maar bevat geen specifieke policy.
nslookup -type=TXT _dmarc.uwdomein.be
Dit kan volgende basispolicy opleveren:
_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=none;”
Bovenstaande is de meest eenvoudige DMARC record die u kan instellen: deze heeft geen impact op het afleveren van uw e-mail maar biedt geen bescherming.
Als u optioneel een rapportageregel toevoegt (zie onder) dan kan u wel op de hoogte gehouden worden van eventuele feedback.
Een basisrecord met rapportage:
_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=none; rua=mailto:postmaster@uwdomein.be;”
Dit levert een samenvattend rapport af op postmaster@uwdomein.be in de vorm van een XML bestand.
Een meer volledige en complexere DMARC record kan er als volgt uitzien:
_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=quarantine; pct=25; fo=0; adkim=r; aspf=r; rua=mailto:postmaster@uwdomein.be;”
Concreet wil dit zeggen:
v: de versie van het DMARC protocol.
p: de toegepaste policy, deze kan zijn: none (geen), quarantaine (geeft aan de ontvanger mee dat het bericht dat niet beantwoord aan de controle moet behandeld worden als verdacht, dus het kan getagged worden of in een spam/junk map terecht komen) en tot slot reject (weiger het bericht dat niet beantwoord aan de controle).
pct: het percentage van mail dat in dit geval in quarantaine moet: 25% zal behandeld worden als verdacht, 75% zal de policy “none” toegewezen krijgen en gaat dus door. Door het percentage op te voeren kan u de policy strenger maken.
fo: de fo waarde is optioneel en staat voor "failure reporting options" en geeft mee welk soort rapporten er moeten verzonden worden. Mogelijke waarden zijn:
f=0: stuur een melding als alle onderliggende authenticatie mechanismen de mail weigeren door te laten (standaard).
f=1: stuur een melding als een van de onderliggende authenticatie mechanismen (SPF of DKIM) de mail weigeren door te laten (aanbevolen).
f=d: genereer een rapport als de DKIM handtekening niet correct was, ongeacht alignment.
f=s: genereer een rapport als de SPF record een fout geeft, ongeacht alignment.
De fo paremeter kan ook gecombineerd worden, als u bijvoorbeeld verschillende type rapporten wil ontvangen. De waarden moeten dan met : in de record geplaatst worden: f=0:1:s.
adkim: deze kan “r” zijn of “s” en wil concreet zeggen dat de DKIM regels “strikt” zijn or “relaxed”.
aspf: deze kan “r” zijn of “s” en wil concreet zeggen dat de SPF regels “strikt” zijn or “relaxed”.
rua: dit geeft aan waar de samenvattende rapporten moeten toekomen, in dit geval is dit mailto:postmaster@uwdomein.be dus mails met XML rapporten zullen toekomen op postmaster@uwdomein.be
Een DMARC policy voert u best geleidelijk aan in, om problemen met afleveren van mailberichten te voorkomen.
Elke policy heeft zijn eigen gevolgen en beperkingen:
p=none: geeft geen bescherming, mails zullen steeds verzonden worden en kan basisrapportage bevatten.
p=quarantine: invoeren van gedeeltelijke bescherming en een belangrijke stap in het uitrollen van een correcte policy, zal ook meegeven aan de ontvanger wat er met verdachte berichten moet gebeuren.
p=reject: de hoogste graad van bescherming, geeft aan ontvangers door dat alle verdachte mails van uw domein onmiddellijk geweigerd worden en geweigerde berichten kunnen terug naar de verzender verzonden worden.
We raden daarom aan om te starten met een eenvoudige policy zoals:
_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=none; rua=mailtopostmaster@uwdomein.be;”
En dit geleidelijk aan op te voeren naar:
_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=quarantine; pct=25; rua=mailtopostmaster@uwdomein.be;”
En vervolgens een reject policy uit te bouwen:
_dmarc.uwdomein.be. IN TXT “v=DMARC1; p=reject; pct=1; rua=mailtopostmaster@uwdomein.be;”
Het percentage kan u opvoeren naar mate de configuratie loopt (bv. van 1% naar 25%, naar 50% enz.).
Opgelet, een “reject” policy van 100% wil concreet zeggen dat mails waarvan de records niet gealigneerd zijn zullen geweigerd worden, dit wil ook meteen zeggen dat verzonden mails niet zullen aankomen als de configuratie niet juist is!
Een DMARC DNS record instellen is niet eenvoudig en kan potentieel grote gevolgen hebben voor het afleveren van mailcorrespondentie op uw domeinnaam.
Neem daarom bij twijfel het zekere voor het onzekere en contacteer een specialist van Kinamo om u te begeleiden in het opzetten van een correcte DMARC strategie en policy.
Werden niet al uw vragen beantwoord?
Geen nood, via een support aanvraag helpen wij u graag verder!
