DMARC instellen: beleid en rapportage voor e-mail

DMARC (Domain-based Message Authentication, Reporting and Conformance) bouwt voort op SPF en DKIM. Het vertelt ontvangende mailservers wat ze moeten doen met e-mail die de authenticatiecontrole niet doorstaat, en stuurt u rapportages over wie er namens uw domein verzendt. DMARC is de sluitsteen van e-mailauthenticatie. Deze handleiding legt uit hoe u een DMARC-record instelt en gefaseerd aanscherpt.

Probleem

Hoewel u SPF en DKIM heeft ingesteld, heeft u geen controle over wat ontvangers doen bij een mislukte controle, en geen zicht op wie er e-mail verstuurt namens uw domein. Daardoor kunnen spoofing en phishing uit uw naam onopgemerkt blijven en blijft uw domein kwetsbaar voor misbruik.

Oorzaak

Zonder DMARC ontbreekt het beleid dat ontvangende servers vertelt hoe ze moeten omgaan met berichten die SPF of DKIM niet doorstaan. Elke ontvanger past dan zijn eigen, onvoorspelbare regels toe.

Daarnaast ontbreekt zonder DMARC de rapportagestroom. DMARC laat ontvangers periodiek rapporten sturen over de authenticatieresultaten, waardoor u zicht krijgt op legitieme en frauduleuze verzenders. Zonder die rapporten tast u in het duister.

Een te streng DMARC-beleid dat te vroeg wordt ingesteld, kan juist legitieme mail blokkeren als SPF of DKIM nog niet voor alle verzendende diensten correct zijn.

Oplossing

U lost dit op door een DMARC-record als TXT-record te publiceren op de hostnaam _dmarc.uwdomein.nl. In dat record legt u uw beleid (policy) en uw rapportageadres vast.

Begin altijd met een monitor-beleid: p=none. Hiermee verandert er niets aan de aflevering, maar ontvangt u wel rapporten. Een eenvoudig startrecord is: v=DMARC1; p=none; rua=mailto:dmarc@uwdomein.nl. Het rua-adres ontvangt de aggregaatrapporten.

Wanneer uit de rapporten blijkt dat alle legitieme verzenders correct door SPF en/of DKIM komen, scherpt u het beleid stapsgewijs aan naar p=quarantine (verdachte mail naar spam) en uiteindelijk p=reject (verdachte mail weigeren). Zo voorkomt u dat u per ongeluk eigen mail blokkeert.

Stappenplan

1. Zorg dat SPF en DKIM correct zijn ingesteld en slagen voor al uw verzendende diensten.
2. Maak een mailbox of alias aan voor de DMARC-rapporten, bijvoorbeeld dmarc@uwdomein.nl.
3. Log in op het DNS-beheer van uw domein.
4. Maak een TXT-record aan op de host _dmarc met als waarde: v=DMARC1; p=none; rua=mailto:dmarc@uwdomein.nl.
5. Sla het record op en wacht op propagatie.
6. Verzamel gedurende enkele weken de rapporten en analyseer welke verzenders door de authenticatie komen.
7. Los eventuele ontbrekende SPF- of DKIM-instellingen op voor legitieme verzenders.
8. Scherp het beleid aan: eerst p=quarantine, en na bevestiging p=reject.

Belangrijke DMARC-tags

• p: het beleid (none, quarantine of reject).
• rua: het adres voor aggregaatrapporten (overzichten van authenticatieresultaten).
• ruf: het adres voor forensische rapporten (gedetailleerde meldingen van mislukkingen).
• pct: het percentage berichten waarop het beleid wordt toegepast, handig bij geleidelijke uitrol.
• sp: een apart beleid voor subdomeinen.

Waarom gefaseerd aanscherpen?

DMARC direct op p=reject zetten lijkt veilig, maar is riskant. Als één legitieme dienst nog niet correct door SPF of DKIM komt, wordt die mail meteen geweigerd, met afleverproblemen tot gevolg. Door te beginnen met p=none en de rapporten te analyseren, ziet u eerst welke verzenders er allemaal zijn. Pas als alles klopt, scherpt u aan. Deze gefaseerde aanpak voorkomt verrassingen.

Veelgemaakte fouten

• DMARC instellen voordat SPF en DKIM voor alle verzenders correct werken.
• Direct beginnen met p=reject, waardoor legitieme mail kan worden geweigerd.
• Geen rua-adres opgeven, waardoor u geen rapporten ontvangt en blind aanscherpt.
• Het record op de verkeerde host plaatsen; het moet exact op _dmarc staan.
• De rapporten nooit analyseren en daardoor onbedoeld verzenders missen.
• Het rapportagepostvak laten vollopen zonder de gegevens te verwerken.

DMARC-rapporten lezen en gebruiken

De aggregaatrapporten (rua) komen meestal als XML-bestanden binnen en bevatten per verzendende bron het aantal berichten en of SPF en DKIM slaagden. Ruwe XML is lastig leesbaar; gebruik daarom een DMARC-rapportagetool die de gegevens visueel samenvat. Zo ziet u in één oogopslag welke legitieme diensten correct zijn ingesteld en welke onbekende bronnen namens uw domein proberen te verzenden.

Op basis van deze inzichten scherpt u uw beleid verantwoord aan. Ziet u dat alle legitieme verzenders slagen, dan kunt u veilig naar quarantine en vervolgens reject. Duiken er onbekende verzenders op die uw domein misbruiken, dan biedt een strikt DMARC-beleid juist bescherming tegen die phishingpogingen.

Aanbevolen uitrolstrategie

• Start altijd met p=none om uitsluitend te monitoren zonder afleverrisico.
• Gebruik de pct-tag om een streng beleid eerst op een deel van de mail toe te passen.
• Stel een apart subdomeinbeleid (sp) in als subdomeinen anders verzenden dan het hoofddomein.
• Houd het rapportagepostvak actief en verwerk de gegevens structureel.

Veelgestelde vragen

Hoe lang duurt het voordat DMARC effect heeft?

Het record is na propagatie binnen enkele uren actief, maar verzamel minimaal twee tot vier weken rapporten voordat u het beleid aanscherpt, zodat u alle verzendende diensten in beeld heeft.

Blokkeert p=none e-mail?

Nee. Met p=none verandert er niets aan de aflevering; u ontvangt alleen rapporten. Pas bij quarantine of reject wordt er ingegrepen.

Samenvatting

DMARC bepaalt wat ontvangers doen met e-mail die SPF of DKIM niet doorstaat en levert rapportages over wie namens uw domein verzendt. Publiceer een TXT-record op _dmarc, begin met p=none en een rua-rapportageadres, analyseer de rapporten en scherp het beleid daarna gefaseerd aan naar quarantine en reject. Zorg dat SPF en DKIM eerst volledig op orde zijn.

Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.