DMARC is een e-mailvalidatiesysteem dat gebruikmaakt van 2 verificatiemethoden: SPF en DKIM. Door DMARC in te stellen, kun je rapportages ontvangen met informatie over wie er met je domein mailt. Ook helpt DMARC je om spoofing vanuit je domein te detecteren en te voorkomen.
TXT-record met tags
Je stelt DMARC in via een TXT-record in de DNS-zone van je domein. In het record geef je een aantal tags mee. Deze tags bepalen de inhoud van de rapportages. In onderstaande tabel staan de belangrijkste tags vermeld. Daarna volgt een beschrijving per tag.
Tag | Verplicht | Betekenis |
v | Ja | Jouw DMARC-versie |
p | Ja | De gebruikte policy |
pct | Nee | Het percentage van de te filteren berichten |
rua | Nee | Het adres waar de ‘aggregate reports’ naartoe worden gestuurd |
ruf | Nee | Het adres waar de ‘forensic reports’ naartoe worden gestuurd |
fo | Nee | Het moment waarop de ‘forensic’-reports worden verstuurd |
aspf | Nee | De nauwkeurigheid waarmee SPF wordt gevalideerd |
adkim | Nee | De nauwkeurigheid waarmee DKIM wordt gevalideerd |
Versie
Momenteel wordt alleen DMARC-versie 1 gebruikt. Hierdoor is enkel de waarde 'v=DMARC1' geldig.
Policy
Voor de 'p'-tag kun je de waarde 'none', 'quarantine' of 'reject' instellen.
- none
Met deze waarde worden er enkel rapportages verstuurd, maar doet DMARC niets met berichten die niet aan de eisen voldoen. Dit is een goede policy om mee te beginnen. Je voorkomt namelijk dat er bij verkeerde instellingen berichten verloren gaan. - quarantine
De mails die niet aan de eisen voldoen, worden in quarantaine gezet. Dit betekent dat de mails in de spamfolder worden gezet of worden tegengehouden. - reject
De mails die niet aan de eisen voldoen, worden tegengehouden.
Percentage
Hiermee stel je in welk percentage van de mails gefilterd wordt. Deze functie is vooral handig als je van policy wilt veranderen. Zo wordt bij een verkeerde instelling namelijk niet alle mail tegengehouden.
Voorbeeld:
Met een waarde van 20 wordt 20% van alle mails die met jouw domein verstuurd worden, gecontroleerd en gerapporteerd.
Rapportage
Je kunt 2 soorten rapportages instellen: een 'aggregate report' en een 'forensic report'.
- Een aggregate report laat zien welke mails gefilterd zijn, maar toont geen verdere informatie over deze mails.
- Een forensic report toont uitgebreidere informatie, de berichtinhoud en headerinformatie. Je krijgt bijvoorbeeld inzicht in de 'to'- en 'from'-adressen.
Met de 'rua'- of 'ruf'-tag stel je in naar welk e-mailadres de door jou gekozen rapportage gestuurd wordt.
Met de 'fo'-tag stel je in wanneer je een forensic report ontvangt. Er zijn 4 opties:
- 0: Je ontvangt een rapport als alle DMARC-checks mislukken.
- 1: Je ontvangt een rapport als een van de DMARC-checks mislukt.
- d: Je ontvangt een rapport als enkel de DKIM-check mislukt.
- s: Je ontvangt een rapport als enkel de SPF-check mislukt.
Aspf en adkim
Voor zowel de SPF- als de DKIM-check bepaal je zelf de nauwkeurigheid. Je kunt daarbij kiezen uit de waarden relax ('r') en strict ('s'). Kies je voor relax? Dan mogen subdomeinen met het SPF- of DKIM-record van het hoofddomein mailen. Als je kiest voor strict, worden subdomeinen beoordeeld op hun eigen SPF- of DKIM-record.
DMARC instellen
Je stelt DMARC in via een TXT-record in de DNS-zone van je domein. In dit record geef je per tag de gewenste waarde aan.
- Log in op Mijn Hostnet.
- Ga naar 'Diensten'.
- Klik bij de domeinnaam waarvoor je DMARC wilt instellen op het menu met de 3 puntjes.
- Klik op 'DNS wijzigen'.
- Staat het DNS-record '_dmarc.jouwdomeinnaam.nl' al in je DNS? Pas de inhoud van dit record dan naar wens aan. Bestaat er nog geen DMARC-record in je DNS? Voeg dan een nieuw record toe met als recordnaam '_dmarc.jouwdomeinnaam.nl' (je eigen domeinnaam wordt automatisch ingevoerd) en als type 'TXT'. In het inhoudsveld vul je de tags in met de door jou gekozen waardes.
Voorbeeld:
v=DMARC1; p=none; ruf=mailto:voorbeeld@jouwdomeinnaam.nl; fo=1; pct=50; aspf=r;
- Kies voor 'Opslaan'.
Je hebt nu DMARC-beveiliging ingesteld voor jouw domeinnaam. Vanwege de werking van DNS duurt het 2 tot 24 uur voordat de wijzigingen overal op het internet zijn overgenomen.