DMARC

DMARC staat voor Domain-based Message Authentication, Reporting and Conformance. Doormiddel van het DMARC DNS-record geef je aan dat SPF en/of DKIM word gebruikt voor jouw uitgaande e-mails. Daarnaast gebruik je dit record om instructies te geven aan de ontvangende mailserver over wat er moet gebeuren als de e-mail niet door de SPF en/of DKIM controle komt.

Standaard opties

Bij DMARC zijn een aantal standaard opties in te vullen om te specificeren wat er met de berichten moet gebeuren en naar welk mailadres de resultaten moeten.

Wat te doen met berichten

DMARC heeft de minimale eis dat er wordt aangegeven wat er met het bericht moet gebeuren als deze de controle faalt. Hieronder staan de drie mogelijke opties:

1. None = geen actie uitvoeren en het bericht normaal versturen
2. Quarantine = het bericht naar de spam folder verplaatsen bij ontvangers
3. Reject = het bericht weigeren en niet afleveren

v=DMARC1; p=none;

Naar wie mogen de resultaten

Er zijn twee verschillende typen resultaten die DMARC kan doorsturen namelijk de aggregate(rua) en forensic(ruf) die hieronder worden toegelicht.

aggregate resultaten

Het aggregate report is een dagelijks rapport in XML formaat die informatie geeft over de authenticatie status voor mails die vanuit jouw domein worden gestuurd. Hiermee zie je welke mails wel/niet aan de authenticatie voldoen. Let er op dat het hierbij alleen gaat om de authenticatie status van DKIM, SPF en DMARC. De informatie bevat daarom geen mailinhoud maar alleen informatie zoals het verzendende IP-adres, het aantal berichten, enz..

rua=mailto:mailaccount@voorbeeld.nl

Forensische resultaten

Het forensische rapport levert informatie over de authenticatie status van SPF, DKIM en DMARC. Hierin staan onder andere het onderwerp, de header en mogelijke bijlage van mails opgenomen. Let er op dat niet iedere internet service provider(ISP) deze gegevens opstuurt omdat deze mogelijk gevoelige data bevat.

ruf=mailto:mailaccount@voorbeeld.nl

Optionele opties

Naast de eerder genoemde standaard instellingen zijn er nog onderstaande aanvullende mogelijkheden.

Dmarc policy voor subdomeinen

Met de optie sp= geef je aan wat er moet gebeuren als berichten vanuit subdomeinen de controle falen. Hieronder staan de drie mogelijke opties:

1. None = geen actie uitvoeren en het bericht normaal versturen
2. Quarantine = het bericht naar de spam folder verplaatsen bij ontvangers
3. Reject = het bericht weigeren en niet afleveren

v=DMARC1; p=none; sp=reject;

Rapporteer format

Met de rf instelling kan je het gewenste berichten format voor rapporten aanpassen. Momenteel is het alleen mogelijk om deze leeg te laten of in te vullen met rf=afrf.

Rapporteer opties bij falende berichten

Om te specificeren wanneer een rapport gegeneert moet worden gebruik je de fo= optie. Hierin geef je één of meerdere van onderstaande opties aan:

1. 0 = genereer een rapport als alles faalt
2. 1 = genereer een rapport als iets faalt
3. d = genereer een rapport als DKIM faalt
4. s = genereer een rapport als SPF faalt

Zo genereer je bijvoorbeeld voor DKIM en SPF een rapport met fo=d:s.

Rapporteer interval

Standaard is de tijd in seconden tussen de rapporten 86.400 seconden (1 dag) maar dit is aan te passen met de optie ri gevolgd door het gewenste aantal seconden.

ri=86400

Strictheid in de controle

In DMARC is in te stellen hoe streng SPF en DKIM controlers worden uitgevoerd met aspf en adkim. Hiervoor kan je de strenge strict(s) of de minder strenge relaxed(r) optie aangeven.

adkim=s
aspf=r

Het eindresultaat

Wanneer het DMARC record naar wens is opgebouwd neem je deze op in de DNS zoals in onderstaande voorbeeld:

Record: _dmarc
Type: TXT
TTL: 3600
Content: "v=DMARC1; p=reject; rua=mailto:mailaccount@voorbeeld.nl"

 Terug naar categorie