DMARC (Domain-based Message Authentication, Reporting & Conformance) is een e-mail beveiligingsprotocol dat helpt voorkomen dat nep-e-mails (phishing of spam) worden verstuurd namens je domein. Het zorgt ervoor dat alleen geautoriseerde partijen e-mails kunnen verzenden die lijken te komen van jouw domein. Hier is hoe je DMARC op een eenvoudige manier instelt:
1. Begrijp de basis
Om DMARC in te stellen, heb je te maken met drie belangrijke elementen:
SPF (Sender Policy Framework): Dit controleert of een verzender is toegestaan om e-mail te sturen namens jouw domein.
DKIM (DomainKeys Identified Mail): Dit voegt een digitale handtekening toe aan de e-mail om de authenticiteit te verifiëren.
DMARC: Dit brengt beide samen en vertelt e-mailservers hoe ze moeten omgaan met e-mails die niet voldoen aan de SPF of DKIM regels.
2. Controleer je SPF en DKIM
Voordat je DMARC instelt, zorg ervoor dat je SPF en DKIM correct zijn ingesteld:
SPF: Je moet een 'SPF-record' in de DNS (domeinnaam server) van je domein instellen. Dit is een tekstregel die aangeeft welke servers e-mails mogen verzenden namens jouw domein.
DKIM: Dit vereist ook een DNS-record waarin een cryptografische sleutel staat, die wordt gebruikt om je e-mails digitaal te ondertekenen.
3. DMARC instellen
Nu je SPF en DKIM werken, kun je DMARC instellen via een 'DMARC-record' in je DNS. Dit is een TXT-record dat je toevoegt aan je domein en ziet er ongeveer zo uit:
v=DMARC1; p=none; rua=mailto:rapporten@jouwdomein.nl; ruf=mailto:rapporten@jouwdomein.nl; pct=100
Laten we dit eenvoudig uitleggen:
v=DMARC1 Dit geeft aan dat het om een DMARC-record gaat.
p=none Dit vertelt wat er moet gebeuren met een e-mail die niet voldoet aan de DMARC-regels. De opties zijn:
none: Doe niets, alleen rapporteren.
quarantine: Markeer verdachte e-mails als spam.
reject: Verwerp e-mails die niet voldoen.
rua=mailto:rapporten@jouwdomein.nl: Dit is het e-mailadres waar je een rapport krijgt van alle e-mails die via jouw domein zijn verstuurd, zowel geslaagd als mislukt.
ruf=mailto:rapporten@jouwdomein.nl: Dit geeft een gedetailleerder rapport voor elke e-mail die faalt (optioneel).
pct=100: Dit bepaalt hoeveel procent van de e-mails de DMARC-regels moet volgen. Bij 100% worden alle e-mails gecontroleerd.
4. Monitor eerst (p=none)
Begin met het instellen van 'p=none', wat betekent dat je alleen rapporten ontvangt en nog geen actie onderneemt tegen e-mails die falen. Dit helpt je om te zien hoeveel e-mails niet aan de SPF- of DKIM-regels voldoen, zonder risico dat legitieme e-mails worden geblokkeerd.
5. Analyseer de rapporten
Zodra je de rapporten ontvangt, kijk je wie er e-mails probeert te versturen namens jouw domein. Als alles goed gaat, zie je alleen geautoriseerde servers in de rapporten. Als er onbekende verzenders zijn, moet je die aanpakken.
6. Stel strengere regels in
Wanneer je zeker weet dat je e-mailsysteem goed werkt, kun je de DMARC-regel strenger maken:
Verander 'p=none' naar 'p=quarantine' om verdachte e-mails in de spam te laten belanden.
Uiteindelijk kun je 'p=reject' instellen om niet-geauthenticeerde e-mails volledig te blokkeren.
7. Blijf monitoren
Ook als je DMARC volledig hebt ingesteld, is het belangrijk om de rapporten te blijven controleren. Zo zorg je ervoor dat je domein veilig blijft en dat alleen geautoriseerde e-mails worden geaccepteerd.
Samenvatting
1. Zorg voor een werkende SPF en DKIM.
2. Voeg een DMARC-record toe in je DNS.
3. Begin met 'p=none' en analyseer de rapporten.
4. Verhoog geleidelijk de strengheid naar 'p=quarantine' en 'p=reject'.
5. Blijf de rapporten monitoren voor veiligheid.