Over DMARC

Wat is DMARC en hoe werkt het?



Waar staat DMARC voor en hoe is het ontstaan?

DMARC staat voor Domain-based Message Authentication, Reporting & Conformance. Het is een technische specificatie van instellingen op domein-niveau, bedacht door een groep van grote technologiebedrijven waaronder Google, Microsoft, Yahoo, Facebook, Paypal en Bank of America.

DMARC is voorgedragen als open standaard bij de IETF onder RFC-7489 en staat op het punt opgenomen te worden in de "pas toe of leg uit lijst" voor de Nederlandse overheid.

Wat is het doel van DMARC?
Het doel van DMARC is om:

  • nep/phishing e-mails van spammers en scammers te stoppen;
  • het domein-eigenaren mogelijk te maken af te dwingen wie e-mail mag verzenden namens zijn domein;
  • Een domein-eigenaar ontvangt rapportage van alle mails en eventuele phishing pogingen van het domein waarop DMARC is ingesteld.

Wat doet DMARC niet?
Zogenoemde displaynaam aanvallen. De verzendende klant geeft een displaynaam op die lijkt op de naam van de verzender terwijl onderliggend mailadres vals is. DMARC controlleert door DKIM en SPF de echtheid van het maildomein en dus niet de displaynaam.

Voor wie is DMARC interessant?
Voor elke organisatie. Ieder bedrijf is gevoelig voor phising e-mails. Het probleem van schadelijke phising e-mails is tegenwoordig niet meer beperkt tot financiële instellingen zoals banken en verzekeraars.

Daarnaast en zeker als u regelmatig mailcampagnes doet kan DMARC u ook helpen om een betere mailreputatie op te bouwen zodat meer mails aankomen en niet verdwijnen in de spamboxen van uw ontvangers.

Wat zijn de kenmerken van DMARC?
  • Authenticatie
    Het combineert SPF en DKIM en verheft dit als een authenticatie mechanisme. Een consistente implementatie van SPF en DKIM zijn hiervoor een vereiste;
  • Zichtbaarheid
    Door het feedback mechanisme krijgt de verzender inzicht hoe zijn mail door de ontvangers wordt afgehandeld;
  • Bescherming
    De verzender publiceert een beleid hoe mail moet worden afgehandeld als deze niet kan worden geauthentiseerd via SPF en DKIM. Dit beleid wordt in een DNS record gepubliceerd.

Welke technologieën gebruikt DMARC?
DMARC gebruikt de volgende technologieën/onderdelen:


Hoe werkt DMARC?

Met DMARC kun je via DNS als verzender een beleid publiceren wanneer DKIM en SPF niet kloppen. Als de ontvanger controleert op het in DNS gepubliceerde DMARC record zal de ontvanger dit beleid toepassen.

De volgende beleidsinstellingen kunnen worden opgegeven:

  • none (niets doen);
  • quarantine (quarantaine);
  • reject (weigeren).

De ontvanger zal voor iedere ontvangen email via een geaggregeerd rapport terug berichten aan de verzender. Indien DKIM en SPF niet kloppen en het gepubliceerde beleid van de verzender is quarantine of reject dan kan de ontvanger buiten het geaggregeerde rapport direct een fout (forensic) rapportage terugsturen. Dit gebeurd niet altijd. Dit is een instelling aan de kant van de ontvanger en deze kan er voor kiezen om dit niet te doen.

De verzender dient in het DMARC record apart de adressen op te nemen voor het geaggregeerde rapport en de foutrapportage.

Onderstaande afbeelding geeft inzicht in het proces van het versturen en ontvangen van mail in combinatie met het DMARC mechanisme.

Gemaakt door MailReport.EU

Wat levert het op?

MailReport in combinatie DMARC levert u de onderstaande voordelen op. MailReport en DMARC:

  • verwijdert exacte domein phishing;
  • verhoogt uw domein reputatie zodat meer emailberichten aankomen en niet verdwijnen in de spambox van uw ontvangers;
  • geeft u inzicht in het legitieme als ook in het niet legitieme emailverkeer op uw domeinen;
  • maakt configuratiefouten zichtbaar van uw infrastructuur waarmee u uw emailberichten verzend;
  • geeft u inzicht in uw email verzendende infrastructuur inclusief deze van leveranciers die ook namens u emailberichten versturen;
  • verhoogt u digitale imago en security reputatie. De reputatie wordt zichtbaar als zijnde reporter van rapportages (check op policy inkomende emailberichten) en gepubliceerd beleid via DNS;


Tevens:
  • behoedt het u voor toekomstige aansprakelijkheid en de hieruit voortvloeiende claims (Wet Persoonsgegevens en Datalekken);
  • bent u compliant met de pas toe of leg uit lijst (specifiek voor overheidsinstanties);
  • bent u compliant met de BIR/BIG/BIWA (specifiek voor overheidsinstanties).

Beveiliging en Privacy

Beveiliging van onze dienst nemen we serieus en wij besteden hier veel tijd en zorg aan. Onze onlinedienst is beveiligd op het hoogste niveau. Zo voldoet de versleuteling van onze site conform twee gerenommeerde tests (SSLLABS en Calomel) aan de laatste richtlijnen. Daarnaast zijn de certificaten van onze site niet alleen via de uitgever (Certificate Authority) te verifiëren maar ook via DNSSEC volgens de nieuwe DANE-standaard.

Op het gebied van privacy is ons motto: Uw gegevens zijn uw gegevens. Hiermee willen wij aangeven dat wij:

  • nooit zonder uw toestemming in uw gegevens kijken;
  • de gegevens nooit aan derden zullen verstrekken zonder een Nederlands gerechtelijk bevel;
  • een Nederlands bedrijf zijn en daarmee niet vallen onder de Amerikaanse wetgeving (Patriot Act).