Wat is DMARC?
DMARC (Domein-gebaseerde Bericht Authenticatie, Reporting & Conformance) is een e-mail authenticatie protocol dat bouwt op SPF en DKIM. Het stelt domeineigenaren in staat om een beleid te publiceren waarin gespecificeerd wordt hoe ontvangende servers berichten moeten verwerken die niet kunnen worden aangemeld, en biedt rapportagemechanismen om e-mailauthenticatie te monitoren.
Waarom DMARC essentieel is
SPF en DKIM alleen hebben een kritische kloof: ze vertellen ontvangers niet wat ze moeten doen met mislukte berichten. Een aanvaller kan spoofed e-mail sturen zonder SPF/DKIM, en ontvangers hebben geen begeleiding.
DMARC lost dit op door:
- Beleid bepalen: Weigeren, quarantaine, of toestaan van mislukte berichten
- Vereist uitlijning: Van header moet overeenkomen met SPF/DKIM domeinen
- Enabling reporting: Geaggregeerde en forensische rapporten tonen authenticatieresultaten
Hoe werkt DMARC?
1. Sender publiceert DMARC beleid in DNS (TXT record op dmarc. domain.com)
2. Email wordt verzonden met From: user@domain.com
3. Receiver checks SPF en DKIM
4. Receiver controleert uitlijning: Komt geverifieerd domein overeen met de header?
5. Beleid toegepast: Gebaseerd op DMARC-record (geen, quarantaine, afwijzing)
6. Verzonden rapporten: Geaggregeerde rapporten naar opgegeven adressen
DMARC Uitlijning
DMARC vereist dat het domein in de From header overeenkomt met:
- SPF uitlijning: Het domein van de envelop afzender (MAIL FROM)
- DKIM uitlijning: Het d= domein in de DKIM handtekening
Zonder uitlijning, SPF/DKIM pas, maar DMARC mislukt.
DMARC recordformaat
DMARC records zijn TXT records op dmarc.yourdomain.com:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"DMARC-tags
| Tag | Vereist | Omschrijving | Voorbeeld |
|---|---|---|---|
| v | Ja. | Versie | v=DMARC1 |
| p | Ja. | Beleid | p=geen/quarantaine/afstotend |
| rua | Nee | URI van het totaalrapport | rua=mailto:reports@example.com |
| ruf | Nee | Forensisch rapport URI | ruf=mailto:forensic@example.com |
| pct | Nee | Beleidspercentage | pct=100 |
| sp | Nee | Subdomeinbeleid | sp=reject |
| adkim | Nee | DKIM uitlijnmodus | adkim=s (strikt) of adkim=r (relaxed) |
| aspf | Nee | SPF uitlijnmodus | aspf=s of aspf=r |
DMARC-beleid
p=none: Monitor alleenv=DMARC1; p=none; rua=mailto:dmarc@example.comv=DMARC1; p=quarantine; rua=mailto:dmarc@example.comv=DMARC1; p=reject; rua=mailto:dmarc@example.comDMARC implementatiepad
Fase 1: Monitor (p=geen)
Begin met monitoring om uw e-mail ecosysteem te begrijpen:
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.comAnalyseer rapporten gedurende 2-4 weken om te identificeren:
- Legitieme verzendingsdiensten ontbreken SPF/DKIM
- Ongeautoriseerde afzenders
- Uitlijningsproblemen
Fase 2: Quarantaine (p=quarantaine)
Zodra legitieme bronnen zijn geverifieerd:
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@example.comGebruik pct=10 om aanvankelijk slechts 10% in quarantaine te brengen, wat geleidelijk toeneemt.
Fase 3: Weigeren (p=weigeren)
Volledige bescherming:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.comVerslagen van DMARC
Geaggregeerde rapporten (rua)
Dagelijkse XML-rapporten met authenticatieresultaten in al uw e-mail:
- Volume van e-mail
- Pass/fail tarieven voor SPF, DKIM, DMARC
- IP adressen versturen
- Ontvangers
Forensische rapporten (ruf)
Individuele foutmeldingen (niet alle ontvangers sturen deze als gevolg van privacy):
- Volledige berichtkoppen
- Authenticatie fout details
Rapportverwerking
Raw DMARC rapporten zijn XML en moeilijk te lezen. Diensten gebruiken zoals:
- DMARC Analyzer
- Dmarcian
- Valimail
- Poststempel DMARC
Controle van DMARC
dig _dmarc.example.com TXTcurl "https://domscan.net/v1/health?domain=example.com"
# Returns hasDMARC status
Gemeenschappelijke DMARC-problemen
Geen meldingen ontvangen: Zorg ervoor dat rua adres grote e-mails kan ontvangen; sommige providers filter. Legitieme e-mail mislukt: Controleer de SPF/DKIM configuratie voor alle verzenddiensten; controleer de uitlijning. Diensten van derden falen: Veel diensten vereisen aangepaste DKIM setup voor DMARC uitlijning.DMARC is de sluitsteen van e-mail authenticatie te implementeren nadat SPF en DKIM correct werken.