Een DMARC record is een record waar de DMARC regels worden gedefinieerd. Een DMARC record informeert ISPs, zoals Gmail, Microsoft, Yahoo! etc., of een domein is gebruik maakt van DMARC. Een DMARC record moet in de DNS worden geplaatst. De TXT record naam moet zijn “_dmarc.yourdomain.com.” waar “yourdomain.com” wordt vervangen met je actuele domeinnaam (of subdomein).
DMARC Analyzer helpt je bij het genereren van een DMARC record. De gratis versie van DMARC Analyzer allows you to use the DMARC record generator (sign up here). Je kan middels DMARC Analyzer gebruiken om een voorbeeld DMARC record te genereren. Zodra SPF en DKIM naar juistheid staan uitgelijnd, configureer je DMARC door aan de DNS-records van jouw domein in de vorm van TXT-records (net als bij SPF of DKIM) het DMARC beleid toe te voegen.
De naam van het TXT-record moet “_dmarc.yourdomain.com.” zijn waarbij “yourdomain.com” is vervangen door jouw werkelijke domeinnaam (of subdomein).
gebruik de DMARC Record Generator om je DMARC record te genereren |
Zodra SPF en DKIM zijn ingesteld, kunt u DMARC configureren door de policy in de DNS records op te geven. De TXT record moet zijn “_dmarc.yourdomain.com”.
Tag | Verplicht | Doel | Voorbeeld |
---|---|---|---|
v | ja | Versie van DMARC | v=DMARC1 |
p | ja | De gebruikte policy voor dit domein | p=quarantine |
pct | nee | Het percentage berichten dat moet worden gefilterd. | pct=20 |
rua | nee | De URI waar de ‘aggregate’ rapporten naar toe worden gestuurd. | rua=mailto:[email protected] |
ruf | nee | De URI waar de ‘forensic’ rapporten naar toe worden gestuurd. | ruf=mailto:[email protected] |
rf | nee | Het formaat van de ‘forensic’ rapporten. | rf=afrf |
aspf | nee | De uitlijnings modus voor SPF | aspf=r |
adkim | nee | De uitlijnings modus voor DKIM | adkim=r |
Zie ook het DMARC Tag Registry voor verdere uitleg en andere tags.
Login op app.dmarcanalyzer.com en ga naar de “DNS Records” section om een DMARC record te genereren. Alleen de v (version) en p (policy) tags zijn verplicht.
Er zijn drie verschillende ‘policy’ instellingen mogelijk met acties die de ISP moet nemen met ongeldige berichten:
De ‘uitlijnings modus’ (aspf / adkim) verwijst naar de nauwkeurigheid waarmee de SPF en DKIM waardes moeten worden gevalideerd. De mogelijke waardes hiervan zijn relaxed (“r”) en strikt (“s”). Het komt er op neer dat relaxed ook gedeeltelijke matches, zoals subdomeinen van het ‘From’ domein, waar het bij strikt een exacte match moet zijn.
Let op dat uw emailadres is opgegeven bij de optionele rua tag om de dagelijkse DMARC rapporten te ontvangen. Als u DMARC Analyzer wilt gebruiken voor de analyse van de rapporten, zorg er dan voor dat de DNS record setup wordt gebruikt om de correcte aggregate en forensic adressen op te geven.
Maak een TXT record aan met de juiste naam en waarde. Hoe dit moet verschilt per ISP. Neem contact met hen op als dit niet lukt.
Het zou vrij eenvoudig moeten zijn en het proces kan er als volgt uit zien:
of zoals dit:
Voor een aantal DNS services heeft DMARC Analyzer setup DMARC record setup handleidingen geschreven. Deze DMARC setup handleidingen geven begeleiding bij het publiceren van uw DMARC record. Bekijk de DMARC setup handleidingen
Voorbeeld DMARC rapport
De dagelijkse rapporten worden verzonden in XML formaat. Analyseer dit goed om de email flow te begrijpen. De rapporten maken het authenticeren van alle uitgaande emailflows eenvoudiger. Zorg ervoor dat alle IP adressen die namens uw domeinen mail versturen, geldige verzenders zijn en correct zijn ingesteld met een DKIM record of in uw SPF record staan. Het rapport maakt het ook mogelijk om snel inzicht te krijgen in flows die ongeldig zijn, of die door een configuratie probleem ongeldig worden.
Dit is een klein deel van een rapport dat resultaten toont voor enkele IP adressen. Een IP stuurt direct mail en andere stuurt mail door. Beide berichten zijn geldig:
<record> <row> <source_ip>207.126.144.129</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> </policy_evaluated> </row> <identities> <header_from>yourdomain.com</header_from> </identities> <auth_results> <dkim> <domain>yourdomain.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>yourdomain.com</domain> <result>pass</result> </spf> </auth_results> </record> <record> <row> <source_ip>207.126.144.131</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <reason> <type>forwarded</type> <comment></comment> </reason> </policy_evaluated> </row> <identities> <header_from>yourdomain.com</header_from> </identities> <auth_results> <dkim> <domain>yourdomain.com</domain> <result>pass</result> <human_result></human_result> </dkim> <spf> <domain>yourdomain.com</domain> <result>pass</result> </spf> </auth_results> </record>
Deploy slowly
We adviseren sterk om DMARC zorgvuldig en langzaam uit te rollen en de policies in deze volgorde te vergroten. Allereerst is het belangrijk dat op de ‘none’ policy al het verkeer wordt geanalyseerd. Let op vreemde zaken in de overzichten, zoals berichten die niet worden ondertekend. Wanneer u daarna zeker bent dat er geen geldige berichten meer in de lijst met ongeldige bronnen staan, kunt u de policy in het TXT record aanpassen van ‘none’ naar ‘quarantine’. Blijf de resultaten analyseren. In dit geval is het ook belangrijk om meldingen van gebruikers mee te nemen. Aan het eind kan de policy naar ‘reject’ worden gezet om daadwerklijk berichten te blokkeren. Blijf de overzichten goed monitoren om problemen in een vroeg stadium te ontdekken.
De ‘pct’ tag kan worden gebruikt om geleidelijk van een policy naar de volgende (/striktere) policy te gaan. 100% is standaard, wanneer de waarde “pct=20” is, wordt 1/5 van de berichten getroffen door de policy (met uitzondering van de ‘none’ policy, in dit geval worden altijd alle berichten gerapporteerd). Het gebruik van deze tag is vooral handig wanneer u wilt migreren naar ‘quarantine’ of ‘reject’. Start dan met een klein percentage en voer dit om de paar dagen (of een week) geleidelijk op.
Een voorbeeld van het uitrollen van DMARC kan zijn:
Probeer te migreren naar p=reject,pct=100 om de migratie van DMARC te voltooien. Blijf uiteraard de dagelijkse rapportages goed in de gaten houden!
Gebruik DMARC Analyzer om je DMARC record te genereren.
meer informatie over DMARC |
gebruik de DMARC Record Generator om je DMARC record te genereren |
gebruik de DMARC Record Checker om je DMARC record te controleren |
DMARC record setup handleidingen voor uitleg omtrent specifieke webhosts |