Byte biedt DMARC (Domain-based Message Authentication, Reporting and Conformance) aan. Met SPF en DKIM geef je aan welke mail echt is en welke niet. Met DMARC geef je vervolgens aan wat de ontvanger van de mail moet doen als deze niet door de keuring komt.

Wat is DMARC?

Het DMARC-record is een TXT-record in de DNS. Je kan het zien als een combinatie van een goed geconfigureerd SPF-record en een goed ingestelde DKIM configuratie.

De ontvanger van de e-mail controleert namelijk de SPF- en DKIM-records. Als de e-mail niet door deze controles heen komt, dan staat er vervolgens in het DMARC-record wat er met deze e-mail moet gebeuren. Er zijn drie verschillende policies (p):

  • None policy: met deze policy monitor je enkel de DMARC resultaten en wil je verder geen actie ondernemen op e-mails die niet door de keuring heen komen. Deze optie wordt niet goedgekeurd voor het Thuiswinkel Waarborg keurmerk.
  • Quarantine policy: e-mails die niet door de check komen, belanden in quarantine. Dit betekent dat de meeste e-mails in de spamfolder van de ontvangende partij terecht komen. Deze policy wordt aangeraden.
  • Reject policy: Hiermee wijs je alle e-mails niet door de checks komen. De e-mails zullen bouncen.

Een voorbeeld van een DMARC-record is:

Name Type Priority Content

TTL

_dmarc.jouwdomein.com TXT (leeg) v=DMARC1; p=quarantine

600

Er zijn nog veel meer mogelijkheden voor het opbouwen van een DMARC-record. Hier vind je daar meer informatie over.

Hoe stel je DMARC in?

DMARC-record genereren

Zoals hierboven wordt uitgelegd zijn een aantal instellingen in DMARC mogelijk zodat de ontvangende partij weet hoe en wat deze naar jou kan versturen. Op deze website kan je een DMARC-record genereren en die vervolgens zelf in je DNS plaatsen.

Bij het genereren van een DMARC record is het vereist om tenminste je domeinnaam in te vullen en de te gebruiken policy te selecteren. De policy kan bestaan uit het volgende:

  • None policy: met deze policy monitor je enkel de DMARC resultaten en wil je verder geen actie ondernemen op e-mails die niet door de keuring heen komen. Dit is een goede policy om informatie te verzamelen en analyseren. Deze optie wordt niet goedgekeurd voor het Thuiswinkel Waarborg keurmerk.
  • Quarantine policy: e-mails die niet door de check komen, belanden in quarantine. Dit betekent dat de meeste e-mails in de spamfolder van de ontvangende partij terecht komen. Deze policy wordt aangeraden.
  • Reject policy: Hiermee wijs je alle e-mails niet door de checks komen. De e-mails zullen bouncen.

Daarnaast zijn er nog andere mogelijkheden om meer uit DMARC te halen. Deze instellingen zijn optioneel en dus niet nodig om in te vullen. We zullen ze verderop verder toelichten. Deze instellingen zijn alleen voor de gevorderde DMARC-gebruiker.

Als je tenminste het domein en de gewenste policy hebt ingevuld, klik je op “Get DMARC Record” en krijg je een pagina te zien met je DMARC record.

DMARC-record in DNS plaatsen

In het voorbeeld van boven is v=DMARC1; p=quarantine je DMARC record. Deze dien je op te slaan in je DNS bij Byte als een TXT-record onder subdomein _dmarc van je domein. Zie hieronder voor een voorbeeld:

Zodra je deze hebt opgeslagen is DMARC actief.

Wat kan je nog meer met DMARC instellen?

Naast de policy kan je nog een aantal dingen instellen voor DMARC. Dit zijn optionele instellingen. We raden het ook alleen aan om hier iets mee te doen als je verstand hebt van DMARC.

  • Aggregate Data Reporting: Hier kan je een e-mailadres invullen van jouw domein. Op dit e-mailadres krijg je standaard dan om de dag een bericht met alle mails die anderen ontvangen hebben en of deze mails origineel en van jou afkomstig zijn.
  • Forensic Data Reporting: Hier kan je een e-mailadres invullen van jouw domein. Op dit e-mailadres krijg je per email die niet door alle checks komt een bericht met een gedetailleerde beschrijving en logs over die specifieke email. Hou er rekening mee dat je op dit adres heel veel mails kan ontvangen.
  • Failure reporting options: Er zijn meerdere opties voor wanneer je een Forensic Data Report wilt ontvangen. Om deze te gebruiken moet je een e-mailadres hebben ingevuld bij Forensic Data Reporting.
    • 0: Genereer een rapport wanneer SPF en DKIM falen (standaard).
    • 1: Genereer een rapport wanneer SPF of DKIM falen (aangeraden).
    • d: Genereer een rapport wanneer DKIM ondertekening niet klopt.
    • s: Genereer een rapport wanneer SPF evaluatie niet klopt.
  • DKIM identifier alignment: de striktheid van het DKIM domein (tellen subdomeinen ook).
  • SPF identifier alignment: de striktheid van de Domain Owner (tellen subdomeinen ook).
  • Report format: de format van het report dat verstuurd dient te worden.
  • Apply policy: Hoeveel procent van de mails moeten gecheckt worden.
  • Reporting interval: Om de hoeveel seconden wil een nieuw rapport ontvangen.
  • Subdomain policy: Welke policy moet er voor subdomeinen worden gebruikt. Als je deze leeg laat worden dezelfde maatregelen genomen als voor het hoofddomein.
20