Hoe maak ik een DMARC record?


Een DMARC record is een record waar de DMARC regels worden gedefinieerd. Een DMARC record informeert ISPs, zoals Gmail, Microsoft, Yahoo! etc., of een domein is gebruik maakt van DMARC. Een DMARC record moet in de DNS worden geplaatst. De TXT record naam moet zijn “_dmarc.yourdomain.com.” waar “yourdomain.com” wordt vervangen met je actuele domeinnaam (of subdomein).

DMARC Analyzer helpt je bij het generen van je DMARC record. Je kan je DMARC record gemakkelijk genereren middels de DMARC record generator van DMARC Analyzer. Met de gratis versie van DMARC Analyzer kun je gebruik maken van de DMARC record generator. Je kan de DMARC record generator ook gebruiken om een voorbeeld DMARC record te generen.

gebruik de DMARC Record Generator om je DMARC record te genereren

 

Zodra SPF en DKIM zijn ingesteld, kunt u DMARC configureren door de policy in de DNS records op te geven. De TXT record moet zijn “_dmarc.yourdomain.com”.

Dit zijn enkele veelgebruikte ‘tags’ van een DMARC TXT record:

Tag Verplicht Doel Voorbeeld
v ja Versie van DMARC v=DMARC1
p ja De gebruikte policy voor dit domein p=quarantine
pct nee Het percentage berichten dat moet worden gefilterd. pct=20
rua nee De URI waar de ‘aggregate’ rapporten naar toe worden gestuurd. rua=mailto:[email protected]
ruf nee De URI waar de ‘forensic’ rapporten naar toe worden gestuurd. ruf=mailto:[email protected]
rf nee Het formaat van de ‘forensic’ rapporten. rf=afrf
aspf nee De uitlijnings modus voor SPF aspf=r
adkim nee De uitlijnings modus voor DKIM adkim=r

 
Zie ook het DMARC Tag Registry voor verdere uitleg en andere tags.

Login op app.dmarcanalyzer.com en ga naar de “DNS Records” section om een DMARC record te genereren.

Alleen de v (version) en p (policy) tags zijn verplicht. Er zijn drie verschillende ‘policy’ instellingen mogelijk met acties die de ISP moet nemen met ongeldige berichten:

  • none policy: je wilt alleen de DMARC resultaten monitoren en je wilt verder geen actie ondernemen voor alle e-mails die tekortkomen. Je kan het “none” beleid gebruiken om te starten met DMARC, het verzamelen van informatie en het analyseren hiervan.
  • quarantine policy: Alle e-mails die niet door de checks komen worden in quarantaine gestopt. Dit zal betekenen dat de meeste e-mails in de spamfolder van de ontvangen zullen belanden.
  • reject policy: Je kan alle e-mails afwijzen die niet door de DMARC check komen. De e-mail ontvangers moeten dit doen op ‘SMTP level’. De e-mails zullen direct bouncen tijdens het verzendproces.

 
De ‘uitlijnings modus’ (aspf / adkim) verwijst naar de nauwkeurigheid waarmee de SPF en DKIM waardes moeten worden gevalideerd. De mogelijke waardes hiervan zijn relaxed (“r”) en strikt (“s”). Het komt er op neer dat relaxed ook gedeeltelijke matches, zoals subdomeinen van het ‘From’ domein, waar het bij strikt een exacte match moet zijn.

 
How to create a DMARC record - DMARC Analyzer


Let op dat uw emailadres is opgegeven bij de optionele rua tag om de dagelijkse DMARC rapporten te ontvangen. Als u DMARC Analyzer wilt gebruiken voor de analyse van de rapporten, zorg er dan voor dat de DNS record setup wordt gebruikt om de correcte aggregate en forensic adressen op te geven.


Maak een TXT record aan met de juiste naam en waarde. Hoe dit moet verschilt per ISP. Neem contact met hen op als dit niet lukt.

Het zou vrij eenvoudig moeten zijn en het proces kan er als volgt uit zien:

generatedns

of zoals dit:

Screen-Shot-2014-02-19-at-14.12.04

DMARC setup handleidingen

Voor een aantal DNS services heeft DMARC Analyzer setup DMARC record setup handleidingen geschreven. Deze DMARC setup handleidingen geven begeleiding bij het publiceren van uw DMARC record. Bekijk de DMARC setup handleidingen
 

Voorbeeld DMARC rapport
De dagelijkse rapporten worden verzonden in XML formaat. Analyseer dit goed om de email flow te begrijpen. De rapporten maken het authenticeren van alle uitgaande emailflows eenvoudiger. Zorg ervoor dat alle IP adressen die namens uw domeinen mail versturen, geldige verzenders zijn en correct zijn ingesteld met een DKIM record of in uw SPF record staan. Het rapport maakt het ook mogelijk om snel inzicht te krijgen in flows die ongeldig zijn, of die door een configuratie probleem ongeldig worden.

Dit is een klein deel van een rapport dat resultaten toont voor enkele IP adressen. Een IP stuurt direct mail en andere stuurt mail door. Beide berichten zijn geldig:

<record>
    <row>
        <source_ip>207.126.144.129</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
        </policy_evaluated>
    </row>
    <identities>
        <header_from>yourdomain.com</header_from>
    </identities>
    <auth_results>
        <dkim>
            <domain>yourdomain.com</domain>
            <result>pass</result>
            <human_result></human_result>
        </dkim>
        <spf>
            <domain>yourdomain.com</domain>
            <result>pass</result>
        </spf>
    </auth_results>
</record>
<record>
<row>
    <source_ip>207.126.144.131</source_ip>
    <count>1</count>
    <policy_evaluated>
        <disposition>none</disposition>
        <reason>
            <type>forwarded</type>
            <comment></comment>
        </reason>
    </policy_evaluated>
</row>
<identities>
    <header_from>yourdomain.com</header_from>
</identities>
<auth_results>
    <dkim>
        <domain>yourdomain.com</domain>
        <result>pass</result>
        <human_result></human_result>
    </dkim>
    <spf>
        <domain>yourdomain.com</domain>
        <result>pass</result>
    </spf>
</auth_results>
</record>

Deploy slowly

We adviseren sterk om DMARC zorgvuldig en langzaam uit te rollen en de policies in deze volgorde te vergroten. Allereerst is het belangrijk dat op de ‘none’ policy al het verkeer wordt geanalyseerd. Let op vreemde zaken in de overzichten, zoals berichten die niet worden ondertekend. Wanneer u daarna zeker bent dat er geen geldige berichten meer in de lijst met ongeldige bronnen staan, kunt u de policy in het TXT record aanpassen van ‘none’ naar ‘quarantine’. Blijf de resultaten analyseren. In dit geval is het ook belangrijk om meldingen van gebruikers mee te nemen. Aan het eind kan de policy naar ‘reject’ worden gezet om daadwerklijk berichten te blokkeren. Blijf de overzichten goed monitoren om problemen in een vroeg stadium te ontdekken.

De ‘pct’ tag kan worden gebruikt om geleidelijk van een policy naar de volgende (/striktere) policy te gaan. 100% is standaard, wanneer de waarde “pct=20” is, wordt 1/5 van de berichten getroffen door de policy (met uitzondering van de ‘none’ policy, in dit geval worden altijd alle berichten gerapporteerd). Het gebruik van deze tag is vooral handig wanneer u wilt migreren naar ‘quarantine’ of ‘reject’. Start dan met een klein percentage en voer dit om de paar dagen (of een week) geleidelijk op.

Een voorbeeld van het uitrollen van DMARC kan zijn:

  1. Monitor all.
  2. Quarantine 1%.
  3. Quarantine 5%.
  4. Quarantine 10%.
  5. Quarantine 25%.
  6. Quarantine 50%.
  7. Quarantine all.
  8. Reject 1%.
  9. Reject 5%.
  10. Reject 10%.
  11. Reject 25%.
  12. Reject 50%.
  13. Reject all.

Probeer te migreren naar p=reject,pct=100 om de migratie van DMARC te voltooien. Blijf uiteraard de dagelijkse rapportages goed in de gaten houden!

Je eigen DMARC record genereren?

Gebruik DMARC Analyzer om je DMARC record te genereren.
 

meer informatie over DMARC
gebruik de DMARC Record Generator om je DMARC record te genereren
gebruik de DMARC Record Checker om je DMARC record te controleren
DMARC record setup handleidingen voor uitleg omtrent specifieke webhosts