DMARC-rapporten uitlezen: inzicht in wie namens uw domein verzendt

DMARC-rapporten geven inzicht in wie e-mail verzendt namens uw domein en of die berichten SPF- en DKIM-controles doorstaan. Door deze rapporten uit te lezen, ontdekt u legitieme verzenders, misconfiguraties en mogelijk misbruik. In dit artikel leest u hoe u DMARC-aggregaatrapporten interpreteert.

Probleem

U heeft DMARC ingesteld met rapportage, maar de binnenkomende XML-rapporten zijn lastig te lezen. U weet niet of uw e-mail correct authenticeert of dat er onbekende bronnen namens uw domein verzenden.

Oorzaak

DMARC-aggregaatrapporten (RUA) worden door ontvangende mailpartijen als XML-bestanden naar het opgegeven adres gestuurd. Die XML is bedoeld voor verwerking door software, niet voor het blote oog, waardoor handmatig lezen onoverzichtelijk is.

Zonder de rapporten te analyseren mist u inzicht in welke bronnen namens uw domein verzenden en of SPF en DKIM voor die bronnen slagen. Daardoor weet u niet of u veilig naar een streng DMARC-beleid kunt overstappen.

Een veelvoorkomend misverstand is dat DMARC zelf e-mail blokkeert zodra het is ingesteld. In de monitorstand (p=none) verzamelt het alleen rapporten, zonder af te dwingen.

Oplossing

Verzamel de DMARC-aggregaatrapporten die op uw RUA-adres binnenkomen.

Gebruik een DMARC-rapportagetool die de XML omzet naar een leesbaar overzicht per verzendende bron, met de SPF- en DKIM-resultaten.

Identificeer legitieme verzenders die nog niet slagen, corrigeer hun SPF/DKIM, en stap pas daarna over naar een strenger DMARC-beleid (quarantine of reject).

Stappenplan

1. Controleer dat uw DMARC-record een RUA-adres bevat.
2. Verzamel de binnenkomende XML-aggregaatrapporten.
3. Voer ze in een DMARC-rapportagetool in voor een leesbaar overzicht.
4. Bekijk per bron of SPF en DKIM slagen en uitgelijnd zijn.
5. Identificeer legitieme bronnen die nog falen.
6. Corrigeer SPF en DKIM voor die bronnen.
7. Monitor opnieuw tot de legitieme verzenders slagen.
8. Verhoog daarna het DMARC-beleid stapsgewijs.

Voorbeeld DMARC-record met rapportage

Een DMARC-record met rapportage bevat een RUA-adres voor aggregaatrapporten. Onderstaand een voorbeeld in de monitorstand.

Voorbeeld:

v=DMARC1; p=none; rua=mailto:dmarc@uwdomein.nl; fo=1

SPF- en DKIM-alignment in DMARC

DMARC beoordeelt niet alleen of SPF en DKIM slagen, maar ook of ze "uitgelijnd" zijn met het domein in het zichtbare afzenderadres. Bij SPF-alignment moet het domein in de envelop overeenkomen met het zichtbare domein; bij DKIM-alignment geldt dit voor het ondertekenende domein. DMARC slaagt als minstens één van beide slaagt én is uitgelijnd.

In de rapporten ziet u per bron of SPF en DKIM slagen en of ze zijn uitgelijnd. Een bron die wel SPF haalt maar niet is uitgelijnd, telt voor DMARC alsnog als fout. Dit verklaart waarom sommige e-mail faalt ondanks een geldig SPF-record.

Door eerst in de monitorstand te analyseren, voorkomt u dat u legitieme verzenders blokkeert wanneer u later overstapt naar quarantine of reject. Dat is de kern van een veilige DMARC-uitrol.

• DMARC vereist alignment, niet alleen een geslaagde SPF/DKIM
• Rapporten tonen per bron SPF/DKIM en alignment
• Analyseer in p=none voordat u handhaaft

Veelgemaakte fouten

• Direct overstappen naar p=reject zonder de rapporten te analyseren.
• Geen RUA-adres opnemen, waardoor er geen rapporten binnenkomen.
• Alignment over het hoofd zien en denken dat een geslaagde SPF voldoende is.
• Legitieme bronnen niet corrigeren voordat u handhaaft.
• De XML-rapporten handmatig proberen te lezen in plaats van een tool te gebruiken.
• Aannemen dat DMARC in p=none al e-mail blokkeert.

Controle na afloop

1. Controleer dat er rapporten binnenkomen op het RUA-adres.
2. Controleer per bron de SPF- en DKIM-resultaten en alignment.
3. Controleer dat alle legitieme bronnen slagen voordat u handhaaft.
4. Controleer na elke beleidsverhoging de impact in de rapporten.

Praktische tips

• Begin altijd in de monitorstand (p=none) met rapportage.
• Gebruik een DMARC-tool in plaats van XML handmatig te lezen.
• Corrigeer eerst alle legitieme bronnen, verhoog daarna het beleid.
• Houd de rapporten ook na handhaving in de gaten.

Veelgestelde vragen

Blokkeert DMARC e-mail in p=none?

Nee. In de monitorstand (p=none) verzamelt DMARC alleen rapporten zonder af te dwingen. Handhaving begint bij p=quarantine of p=reject.

Waarom faalt DMARC terwijl SPF slaagt?

Waarschijnlijk ontbreekt alignment: het SPF-domein komt niet overeen met het zichtbare afzenderdomein. DMARC vereist dat SPF of DKIM slaagt én is uitgelijnd.

Moet ik elk rapport handmatig lezen?

Nee. De rapporten zijn XML, bedoeld voor verwerking door software. Een DMARC-rapportagetool zet ze om in een leesbaar overzicht.

Samenvatting

DMARC-rapporten tonen wie namens uw domein verzendt en of SPF en DKIM slagen én zijn uitgelijnd. Gebruik een rapportagetool om de XML leesbaar te maken, corrigeer eerst alle legitieme bronnen in de monitorstand (p=none) en verhoog daarna stapsgewijs naar quarantine of reject. Zo voert u DMARC veilig in zonder legitieme e-mail te blokkeren.

Gerelateerde artikelen

• DMARC instellen: beleid en rapportage voor e-mail
• SPF-record instellen: e-mail authenticeren tegen spoofing
• DKIM instellen: e-mail digitaal ondertekenen

Komt u er niet uit? Plan een gratis strategiegesprek via https://www.bdmnl.nl/plan.