DMARC is net als het SPF en het DKIM record in het leven geroepen om emailmarketing veiliger te maken en SPAM tegen te gaan. Richt je deze drie records goed in? Dan ben je al een heel eind op weg naar de inbox van jouw (potentiële) klant of nieuwsbrief abonnee.
En omdat Google op 3 oktober 2023 heeft aangekondigd dat ze het beleid per 1 februari 2024 voor grote verzenders (meer dan 5.000 Gmail adressen per dag) gaan aanscherpen is het van het grootste belang dat DMARC bij grote verzenders correct is ingesteld.
Wat is DMARC?
DMARC staat voor Domain-based Message Authentication, Reporting, and Conformance en is net als SPF en DKIM een DNS record. Lees hier meer over DNS records. In het DMARC record bepaal je wat er moet gebeuren indien SPF en DKIM niet ‘aligned’ zijn of kortgezegd falen.
Er zijn 2 verplichte parameters in een geldig DMARC-record; de versie en de policy (het beleid).
Op dit moment is er slechts één versie (v); DMARC1. Daar begint het record mee; v=DMARC1.
Er zijn beleidstypen (p); none, quarantaine en reject.
- None
Doe niets als bij een mail SPF en/of DKIM faalt. - Quarantaine
Plaats de mail waarbij SPF en/of DKIM faalt in de SPAM-folder. - Reject
Gooi de mail weg als SPF en/of DKIM faalt.
Het beste beleid is “reject” want met reject voorkom je dat iemand anders vanuit jouw naam en e-mailadres mail kan versturen (ook wel phishing genaamd).
Maar let op! Een DMARC policy die op “reject” staat kan er ook voor zorgen dat legitieme mail niet aankomt zoals bijvoorbeeld facturen. Dat kan gebeuren omdat je vergeten bent SPF en DKIM in te stellen voor de server van jouw boekhoudpakket. Om erachter te komen welke mails falen volgens het beleid en vanaf welke IP adressen dat gebeurt kun je in jouw DMARC-record instellen dat enkele grote partijen (zoals Google, Microsoft Exchange en Yahoo) rapporten sturen naar een door jou aan te geven emailadres. Dit stel je in in de parameters “rua” en “ruf”. De rua-parameter stuurt ‘Aggregated Data Reporting’ waarin staat welke mails wel en niet geauthentiseerd zijn zonder informatie over de exacte inhoud van die mails. De ruf-parameter geeft deze informatie juist wél in ‘Forensic Data Reporting’.
Omdat deze feedback in de vorm van XML bestanden wordt verstuurd is het het beste om deze te laten uitlezen door een DMARC Report Analyzer Tool om de resultaten overzichtelijk en leesbaar te maken zodat je weet welke acties je eventueel dient te ondernemen. Bij Mailmore hebben we voor beide rapportage-typen een eigen emailadres; rua@report.rect.to en ruf@report.rect.to.
Om te beginnen (indien er nog geen DMARC aanwezig is) dient de policy dus op ‘none’ te staan en willen we puur en alleen gaan monitoren. Het DMARC ziet er dan als volgt uit;
_dmarc.ditismijndomein.nl. IN TXT "v=DMARC1; p=none; rua=mailto:rua@report.rect.to; ruf=mailto:ruf@report.rect.to;"
Nu zijn er echter nog meer parameters waarmee je aan de effectiviteit van het DMARC-record kan sleutelen. Zo is een belangrijke parameter de Failure Options (fo). Met deze parameter bepaal je wat nu precies een failure is.
De standaardwaarde van de DMARC fo parameter is 0.
De beschikbare opties zijn:
- fo=0: er wordt een DMARC failure/forensic report naar u gestuurd als uw e-mail niet voldoet aan zowel SPF als DKIM alignment. Deze is dus standaard.
- fo=1: er wordt een DMARC failure/forensic report naar u gestuurd wanneer uw e-mail niet voldoet aan SPF of DKIM alignment. Deze is aanbevolen.
- fo=d: er wordt een DKIM-foutmelding gestuurd als de DKIM-handtekening van de e-mail niet gevalideerd wordt, ongeacht de alignment.
- fo=s: er wordt een SPF-foutmelding gestuurd als de e-mail de SPF-evaluatie niet doorstaat, ongeacht de alignment.
Omdat we fo=1 gaan gebruiken komt het DMARC record voor Mailmore gebruikers er dus zo uit te zien;
_dmarc.ditismijndomein.nl. IN TXT "v=DMARC1; p=none; fo=1; rua=mailto:rua@report.rect.to; ruf=mailto:ruf@report.rect.to;"
Het bovenstaande record raden wij aan om in te stellen indien er nog geen DMARC-record beschikbaar was of als er wel een DMARC record beschikbaar was maar die effectief gezien niets deed. Bijvoorbeeld waar het beleid op ‘none’ staat maar er verder geen rapporten worden verzonden (dus de parameters rua en/of ruf leeg zijn).
Met de parameter ‘sp’ bepaal je het beleid voor subdomeinen. Hiervoor gelden dezelfde waarden als het beleid voor het hoofddomein (p); none, quarantaine en reject;
Voor de Mailmore gebruiker met een uitgebreidere kennis omtrent DNS instellingen zijn er nog meer parameters waaraan gesleuteld kan worden.
Zo kun je met de parameters ‘adkim’ en ‘aspf’ bepalen in welke mate SPF en DKIM geauthenticeerd moeten worden. Er zijn twee parameters beschikbaar Relaxed (r) en Strict (s). De standaard is Relaxed welke je er niet per se in hoeft te zetten.
Met de parameter ‘pct’ bepaal je (in combinatie met het beleid (p)) het percentage dat onderhevig is aan filtering. Kortom, de waarde in de “pct”-parameter is een procentuele waarde (1-100) die de ontvangende mailserver vertelt hoeveel procent van de mails gefilterd moeten worden. Bijvoorbeeld: “pas een quarantaine-beleid toe op 25% van alle berichten die het DMARC-beleid falen”. Die verklaring uitgedrukt in een DMARC-record zou er als volgt uitzien:
_dmarc.ditismijndomein.nl. IN TXT "v=DMARC1; p=quarantaine; pct=25; rua=mailto:rua@report.rect.to; ruf=mailto:ruf@report.rect.to; fo=1;"
Indien je denkt klaar te zijn voor het beleidstype ‘quarantaine’ of ‘reject’ (omdat je goed hebt gecheckt of SPF en DKIM op jouw afzendadres altijd aligned is) raden wij aan om d.m.v. de ‘pct’-parameter in stappen van 10 naar 100 te gaan. Begin dus met pct=10. Verhoog na enkele weken naar bijvoorbeeld pct=30 en vervolgens via pct=50 naar pct=80 en uiteindelijk pct=100.
Wat moet ik precies doen?
Lang verhaal kort; indien je naar meer dan 5.000 Gmail-adressen stuurt dien je een DMARC record in te stellen. Indien je deze nog niet hebt voeg je onderstaand DNS record toe (type TXT);
_dmarc.ditismijndomein.nl. IN TXT "v=DMARC1; p=none; rua=mailto:rua@report.rect.to; ruf=mailto:ruf@report.rect.to; fo=1;"
Heb je wél al een DMARC record? Check dan of de rapporten worden opgevangen en of deze aligned zijn (dus of ze niet falen).
Heb je vragen over het toevoegen van een DMARC record? Neem contact op met onze supportafdeling!
DMARC Record Wizard
Binnen de Mailmore software hebben wij DMARC checks ingebouwd en is er een DMARC wizard beschikbaar waarin je een DMARC record kunt genereren. Wel zo makkelijk!
0 reacties