Wat betekent NIS2 voor resellers van domeinnamen?
Nieuws
Alle e-mails veilig op hun bestemming: stel DMARC in op je domeinnaam
28-02-2024 - DMARC maakt e-mailen veiliger en zorgt voor succesvollere campagnes. In ons controlepaneel vind je voortaan een wizard terug waarmee je DMARC makkelijk instelt. Wat het jou precies oplevert, ontdek je hier.
Iemand bootst jouw e-mailadres na, verstuurt er een heleboel frauduleuze berichten mee en licht er andere mensen mee op. Je ziet het liever niet gebeuren.
Helaas is het een geliefde strategie onder cybercriminelen. E-mail heeft een gigantisch bereik. Meesurfen op jouw goede reputatie zorgt ervoor dat phishingcampagnes een grotere kans op slagen hebben. Een fenomeen dat beter bekend is als e-mail spoofing.
Gelukkig kan je zelf enkele stappen zetten om te voorkomen dat jouw e-mailadres(sen) gebruikt worden voor kwalijke campagnes. Eentje daarvan? DMARC instellen.
Wat is DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) is, in een notendop, een verificatietechniek voor e-mails die je verstuurt.
Voor die verificatie rekent DMARC op 2 andere technieken: SPF en DKIM. Die stel je, net zoals DMARC, in op je domeinnaam.
SPF: bevat een lijst van servers en diensten die e-mails mogen versturen vanuit jouw domeinnaam.
DKIM: bevat een digitale sleutel die ervoor zorgt dat e-mails inhoudelijk niet worden aangepast vóór die in de mailbox van de ontvanger terechtkomt.
Zowel SPF als DKIM beschermen je dus tegen e-mail spoofing. Ze laten weten dat jij wel degelijk de afzender bent van een bericht én dat er onderweg niet gemorreld werd aan de inhoud.
Toch zijn beide technieken niet altijd toereikend. Cybercriminelen zijn creatief in het omzeilen van e-mailauthenticatie. Net daarom werd DMARC in het leven geroepen.
Weetje: als je nomeo mail gebruikt, worden automatisch een SPF- en DKIM-record ingesteld op je domeinnaam.
Hoe werkt DMARC?
Wanneer iemand een e-mail ontvangt, controleert DMARC de legitimiteit van een e-mail (SPF) en de digitale handtekening (DKIM). Slagen beide controles, dan wordt de e-mail afgeleverd in de mailbox van de ontvanger.
Maar wat als die controle mislukt? Je kan zelf instellen wat er dan met een e-mail moet gebeuren. DMARC kan verdachte berichten markeren als spam, of ze zelfs volledig weigeren.
Daarvoor kies je uit 3 parameters:
None: er wordt niets gedaan met de e-mail.
Quarantine: e-mails die niet slagen voor controle op SPF en/of DKIM, worden naar de spamfolder gestuurd. De ontvanger kan het bericht daar alsnog raadplegen.
Reject: e-mails die de verificatie van DMARC niet doorstaan, worden niet afgeleverd in de mailbox van de ontvanger.
Naast de verificatie, geeft DMARC ook feedback over verzonden e-mails. Dat gebeurt aan de hand van 2 rapporten:
Geaggregeerd rapport: bevat informatie over het aantal verzonden e-mails, het aantal berichten dat geslaagd is voor controle door DMARC, het aantal berichten dat niet werd afgeleverd en meer.
Failure rapport: bevat informatie over individuele e-mails die niet geslaagd zijn voor controle door DMARC. Daarin vind je onder andere het adres van de verzender, ontvanger, onderwerp van de e-mail en meer details over de DMARC-controle terug.
Die rapporten helpen je meer inzicht te krijgen in e-mailstromen. Je kan bronnen van misbruik identificeren en problemen met de aflevering van e-mails gericht aanpakken. Aan de hand van die feedback kan je op jouw beurt het SPF-, DKIM- en DMARC-beleid bijsturen.
Zo ziet DMARC eruit
Laten we de werking van DMARC concreter maken met een voorbeeld.
"v=DMARC1; p=quarantine; aspf=s; adkim=s; rua=mailto:nomeo@mailcheck.be; ri=1 dag; ruf=mailto:nomeo@mailcheck.be"
Wat betekent dit record nu?
v=DMARC1: duidt de versie aan die gebruikt wordt. Een standaard onderdeel van elk DMARC-record.
p=quarantine: geeft aan wat moet gebeuren met e-mails die de controle niet doorstaan. In dit geval worden e-mails naar de spamfolder verwezen.
aspf=s; adkim=s: laat weten dat zowel SPF als DKIM streng gecontroleerd worden door DMARC. Loopt die controle mis? Dan is het quarantainebeleid van toepassing.
rua=mailto:nomeo@mailcheck.be; ri=1 dag: bevat het e-mailadres waarnaar geaggregeerde rapporten worden verstuurd. Achteraan wordt ook aangegeven hoe vaak die rapporten moeten worden verzonden. Dat is hier elke dag.
ruf=mailto:nomeo@mailcheck.be: bevat het e-mailadres waarnaar failure-rapporten worden verstuurd.
Elk DMARC-record neemt min of meer die vorm aan. Al kan het, afhankelijk van jouw keuzes, natuurlijk wel anders ingevuld worden.
Hoe stel je DMARC in?
Zelf zo'n DMARC-record schrijven en toevoegen aan je domeinnaam is niet makkelijk. In het controlepaneel van nomeo vind je een wizard terug waarmee je in enkele muisklikken DMARC toevoegt aan je domeinnaam. Zo werkt het:
Meld je aan op my.nomeo.com.
Klik op 'Actieve domeinnamen' en kies de domeinnaam waarop je DMARC wil instellen.
Ga naar DNS-records.
Scroll naar 'TXT-records' en klik op 'Voeg een nieuw DMARC-record toe'.
Kies de policy (none, quarantine, reject) en de records (SPF, DKIM) waarop DMARC van toepassing is.
Vul het e-mailadres in waarop je geaggregeerde rapporten wil ontvangen en kies hoe vaak je ze wil krijgen.
Vul het e-mailadres is waarop je meldingen wil ontvangen over e-mails die niet werden afgeleverd (failure rapport).
Voeg het TXT-record toe aan je domeinnaam.
De voordelen van DMARC
We hebben het technische stukje achter de rug. Wat zijn nu precies de voordelen van DMARC?
Voorkomt e-mail spoofing: DMARC controleert aan de hand van SPF of een afzender wel e-mails mag versturen in jouw naam. Blijkt iemand jouw adres na te bootsen voor spam- of phishingberichten, dan worden die e-mails tegengehouden.
Verhoogt het aantal afgeleverde e-mails: dankzij DMARC wordt de kans kleiner dat legitieme e-mails in de spamfolder belanden.
Verbetert de reputatie van de afzender: hoe hoger de aflevergraad van jouw e-mails, hoe beter jouw reputatie als afzender in het algemeen.
Meer inzicht in e-mailcampagnes: dankzij de rapporten van DMARC spoor je snel(ler) op waar moeilijkheden opduiken met authenticatie.
Samengevat zorgen SPF, DKIM en DMARC voor veiliger en succesvoller e-mailverkeer.
DMARC verplicht voor bulkverzenders
Sinds februari 2024 zijn Google en Yahoo strenger voor wie e-mails in bulk verzendt. Beide providers verwachten dat je e-mails authenticeert met SPF en DKIM.
Voor afzenders die dagelijks 5.000 e-mails of meer verzenden, eisen Google en Yahoo dat ook DMARC actief is.
Voldoe je niet aan die verwachtingen, dan is de kans groot dat e-mails rechtstreeks in de spamfolder van je ontvangers belanden. De impact daarvan is groot. E-mailcampagnes lopen mis, facturen worden niet bezorgd en klanten worden niet bereikt. Je doet er kortom goed aan de authenticatie van je e-mail zo snel mogelijk op orde te brengen.