DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een e-mailauthenticatieprotocol dat is ontworpen om domeinen te beschermen tegen ongeautoriseerd gebruik, zoals Phishing en e-mailspoofing. Het bouwt voort op twee andere authenticatiemechanismen, SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), om te garanderen dat e-mails die beweren afkomstig te zijn van een specifiek domein, daadwerkelijk worden verzonden vanaf geautoriseerde bronnen.
Wat is DMARC?
Domain-based message authentication, reporting, and conformance (DMARC) werkt als een overkoepelende laag bovenop SPF en DKIM. SPF controleert of een bericht afkomstig is van een IP-adres geautoriseerd door de domein eigenaar, terwijl DKIM de aanwezigheid bevestigt van een geldige cryptografische handtekening die gekoppeld is aan het verzendende domein.
DMARC vereist dat ten minste รฉรฉn van deze controles slaagt en dat het domein dat bij de controle betrokken is, overeenkomt met het domein in het zichtbare From-veld. Strikte uitlijning dicteert een exacte match tussen het domein in de From-header en het authenticerende domein, terwijl ontspannen uitlijning ook subdomeinmatches toestaat.
SPF wordt geรซvalueerd door het Return-Path-domein te vergelijken met een lijst met toegestane IP-adressen, en DKIM wordt gevalideerd door te bevestigen dat de handtekening in de e-mailheaders is ondertekend door het legitieme verzendende domein. De uitlijningsregel van DMARC zorgt ervoor dat een bericht alleen als authentiek wordt beschouwd als het From-adres overeenkomt met of een subdomein is van het domein dat is geverifieerd door SPF of DKIM. Wanneer een bericht de uitlijning niet doorstaat, zelfs als het technisch gezien SPF of DKIM onder een ander domein doorstaat, behandelt DMARC dat bericht alsof het niet voldoet aan de vereisten van het protocol.
Domeineigenaren publiceren een DMARC-beleidsrecord in hun DNS onder het label _dmarc.. Deze record bevat parameters zoals de DMARC-versie (v=DMARC1), de beleidsrichtlijn (p=none, quarantaine of afwijzen) en rapportageadressen (rua voor geaggregeerde rapporten, ruf voor forensische rapporten). Wanneer een binnenkomend bericht de DMARC-controles niet doorstaat, wordt de ontvangende e-mail servers worden geรฏnstrueerd om het beleid toe te passen dat is opgegeven door de domeineigenaar. De rapportagefunctie van DMARC biedt domeineigenaren ook waardevolle feedback over ongeautoriseerd gebruik van hun domeinen, authenticatie succespercentages en mogelijke verkeerde configuraties.
Hoe werkt DMARC?
DMARC werkt door SPF- en DKIM-controles te overbruggen met domeinuitlijningsvereisten. Het authenticatieproces vindt plaats wanneer een ontvangende e-mail server controleert een binnenkomende e-mail.
De server voert de volgende controles uit:
- SPF-controle. De server controleert of de domeineigenaar het verzendende IP-adres autoriseert.
- DKIM-controle. De server controleert of de e-mail een geldige cryptografische handtekening heeft die overeenkomt met het domein dat is opgegeven in de tag "d=" van de DKIM-handtekeningheader.
- Uitlijningscontrole. De server bevestigt dat de domeinen die in de From-header worden gebruikt, overeenkomen met het domein dat wordt gebruikt in de SPF-controle of met het DKIM-ondertekeningsdomein.
Als het bericht niet aan een of beide SPF- en DKIM-controles voldoet, of als niet aan de vereiste domeinuitlijning wordt voldaan, geeft DMARC de ontvangende partij instructies server om het bericht te verwerken volgens het door de domeineigenaar opgegeven beleid.
DMARC maakt het bovendien mogelijk om rapporten terug te sturen naar de domeineigenaar, wat zorgt voor een betere controle en analyse van frauduleuze e-mailactiviteiten.
Wat is DMARC-domeinuitlijning?
DMARC-domeinuitlijning verwijst naar de vereiste dat het domein in de From-header overeenkomt met (of uitgelijnd is met) het domein dat is opgegeven in SPF en DKIM.
Er bestaan โโtwee vormen van uitlijning:
- Strikte uitlijning. Het domein in de From-header moet exact overeenkomen met het domein in de Return-Path-header (voor SPF) of de โd=โ-tag in de DKIM-handtekening.
- Ontspannen uitlijning. Het domein in de From-header en het domein in de Return-Path of DKIM โd=โ-tag delen hetzelfde bovenliggende domein.
Domeinuitlijning zorgt ervoor dat het waargenomen verzenderdomein in de e-mailheader hetzelfde is als, of een subdomein is van, het domein dat wordt gebruikt door de authenticatiemechanismen. Uitlijning is cruciaal omdat het voorkomt cybercriminelen door een domein te claimen in het zichtbare Van-veld dat verschilt van het authenticatiedomein.
Wat is een DMARC-record?
Een DMARC-record is een DNS TXT-record die de domeineigenaar publiceert. Deze record specificeert het DMARC-beleid van het domein en bevat belangrijke details die mailontvangers nodig hebben wanneer ze DMARC-controles uitvoeren.
Een standaard DMARC-record omvat:
- vDe DMARC-versie (DMARC1).
- pHet DMARC-beleid (Geen, Quarantaine of Afwijzen).
- straatHet adres of de adressen waarnaar de samengevoegde rapporten worden verzonden.
- rufHet adres of de adressen waarnaar forensische rapporten worden verzonden (indien gebruikt).
- adkim en aspfIndicatoren voor strikte of ontspannen uitlijning voor DKIM en SPF.
- PCTHet percentage mislukte berichten waarop het beleid van toepassing is.
Het DMARC-record bevindt zich in de DNS van het domein onder het label _dmarc.. Bijvoorbeeld, _dmarc.voorbeeld.comEen geldig DMARC-record is nodig om e-mailontvangers te instrueren hoe ze e-mail moeten verwerken die niet door de authenticatie komt en hoe ze feedback kunnen geven aan de domeineigenaar.
Wat zijn DMARC-beleidsregels?
DMARC maakt gebruik van een โp=โ tag in de DNS TXT record om te bepalen hoe de ontvangst van e-mail verloopt. servers berichten behandelen die zowel SPF (of SPF-uitlijning) als DKIM (of DKIM-uitlijning) niet doorstaan.
Geen
Een p=none-beleid instrueert de ontvangende e-mail server om geen speciale behandeling toe te passen op mislukte berichten. Berichten die DMARC-controles mislukken, worden normaal afgeleverd, tenzij lokale server regels overschrijven dit gedrag. Domeineigenaren gebruiken dit beleid wanneer ze DMARC-resultaten willen monitoren zonder de mailstroom te beรฏnvloeden.
Quarantaine
Een p=quarantainebeleid instrueert de ontvangende e-mail server om mislukte berichten als verdacht te markeren. Deze aanpak plaatst de berichten vaak in de spam- of junkfolder van de ontvanger. Quarantaine stelt domeineigenaren in staat om hun ontvangers te beschermen tegen mogelijke phishing- of spoofingpogingen, terwijl ze nog steeds levering in een spamfolder toestaan โโin plaats van regelrechte afwijzing.
Verwerpen
Een p=reject-beleid instrueert de ontvangende e-mail server om berichten te weigeren op de SMTP niveau als ze DMARC-authenticatie mislukken. Deze praktijk laat de berichten volledig vallen, waardoor ze geen enkele mailbox van de ontvanger bereiken. Domeineigenaren implementeren vaak een afwijzingsbeleid nadat ze DMARC-rapporten grondig hebben geanalyseerd en ervoor hebben gezorgd dat alle legitieme e-mails de authenticatiecontroles al hebben doorstaan.
Wat is een DMARC-rapport?
Een DMARC-rapport is een via e-mail gegenereerde samenvatting of gedetailleerde melding dat u een DMARC-rapport ontvangt. mail servers verzenden naar de domeineigenaar in overeenstemming met de adressen die zijn opgegeven in het DMARC-record. Rapporten bieden inzicht in e-mailverzendbronnen, authenticatieresultaten en domeingebruikspatronen. Er bestaan โโtwee hoofdtypen DMARC-rapporten.
Geaggregeerde rapporten
Geaggregeerde rapporten bevatten statistische gegevens over DMARC-authenticatieresultaten voor een domein. Deze rapporten omvatten:
- Informatie over het verzenden van IP-adressen die het domein gebruiken.
- Het totale aantal verwerkte berichten.
- Het aantal berichten dat de SPF- en DKIM-controles heeft doorstaan โโof niet.
- Beleidsmaatregelen (zoals Geen, Quarantaine of Afwijzen) die door ontvangers worden toegepast.
Geaggregeerde rapporten komen meestal dagelijks binnen (of met een ander interval bepaald door het ontvangende systeem) in een XML-formaat (Extensible Markup Language). Domeineigenaren analyseren deze rapporten om ongeautoriseerde IP's te identificeren die e-mails verzenden via hun domein, legitieme verkeersbronnen te controleren en hun e-mailauthenticatieconfiguraties dienovereenkomstig aan te passen.
Forensische rapporten
Forensische rapporten, ook wel failure reports genoemd, bevatten gedetailleerde informatie over individuele e-mailberichten die de DMARC-evaluatie niet doorstaan. Deze rapporten worden direct verzonden wanneer er een failure optreedt.
Forensische rapporten bevatten doorgaans samples van originele berichtheaders en andere potentieel gevoelige details, wat domeineigenaren helpt specifieke incidenten van mislukte authenticatie te onderzoeken. Sommige organisaties kiezen ervoor om forensische rapporten te minimaliseren of uit te schakelen vanwege zorgen over privacy of gegevensverwerking.
DMARC-voordelen
Dit zijn de voordelen van de implementatie van DMARC:
- Bescherming tegen spoofing. DMARC voorkomt dat kwaadwillenden een legitiem domein gebruiken in de zichtbare Van-header van frauduleuze e-mails.
- Verbeterde leverbaarheid. Een correct geconfigureerde DMARC verbetert de bezorging van e-mails door aan te geven dat het domein volledig voldoet aan de authenticatienormen, wat vertrouwen wekt. ISP's en het ontvangen van postdiensten.
- Zichtbaarheid en verantwoording. DMARC-rapporten bieden bruikbare inzichten in e-mailverkeer, het verzenden van IP-adressen en authenticatiefouten. Deze inzichten stellen domeineigenaren in staat om verdachte bronnen te traceren en verantwoording af te dwingen.
- Consistentie met industrienormen. DMARC is afgestemd op algemeen erkende frameworks zoals SPF en DKIM, die consistente werkwijzen voor e-mailverificatie bevorderen en de prevalentie van phishingaanvallen verminderen.
- Sterkere reputatie van het merk. De invoering van DMARC toont aan dat u zich inzet voor e-mailbeveiliging en beschermt de identiteit van een merk door phishingpogingen die legitieme domeinen misbruiken, tegen te gaan.
