Uw DMARC-beleid (Domain-based Message Authentication, Reporting, and Conformance) is gedefinieerd in een regel tekstwaarden, een DMARC-record genaamd. In de record geeft u het volgende op:
- Hoe streng DMARC berichten moet controleren
- Aanbevolen acties voor de ontvangstserver, voor als berichten niet door de verificatiecontroles komen
Opties voor DMARC-beleid
Uw DMARC-beleid raadt de ontvangende e-mailserver aan een bepaalde actie uit te voeren als een bericht uit uw domein niet door de DMARC-verificatiecontrole komt.
Dit is een voorbeeld van een DMARC-beleidsrecord. De tags v en p moeten als eerste worden vermeld, de andere tags kunnen in willekeurige volgorde staan:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Definities en waarden van DMARC-recordtags
Tag | Beschrijving en waarden |
v |
DMARC-versie. Moet DMARC1 zijn. Deze tag is vereist. |
p | Geeft de ontvangende e-mailserver door wat er moet gebeuren met berichten die niet door de verificatiecontrole komen.
Deze tag is vereist. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de DMARC-optie p worden ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none. |
pct |
Hiermee geeft u het percentage ongeverifieerde berichten op waarvoor het DMARC-beleid geldt. Als u DMARC geleidelijk implementeert, kunt u beginnen met een klein percentage van de berichten. Naarmate meer berichten uit uw domein door de verificatiecontrole van ontvangstservers komen, kunt u een hoger percentage in de record zetten, totdat 100 procent is bereikt. Dit moet een geheel getal zijn tussen 1 en 100. Als u deze optie niet gebruikt, wordt uw DMARC-beleid toegepast op 100% van de berichten die worden gestuurd vanuit uw domein. Deze tag is optioneel. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet de waarde bij pct in het DMARC-beleid 100 zijn. BIMI ondersteunt geen DMARC-beleid waarvoor de waarde bij pct minder is dan 100. |
rua |
Het e-mailadres waar rapporten over DMARC-activiteit voor uw domein naartoe moeten worden gestuurd. Het e-mailadres moet mailto: bevatten, Als u DMARC-rapporten naar meerdere e-mailadressen wilt sturen, scheidt u de e-mailadressen met een komma en voegt u voor elk adres het voorvoegsel mailto: toe. Voorbeeld: Deze optie kan leiden tot een groot aantal rapportmails. We raden u af uw eigen e-mailadres te gebruiken. Gebruik in plaats daarvan een speciale mailbox, een groep of een service van derden die is gespecialiseerd in DMARC-rapporten. Deze tag is optioneel. |
ruf |
Niet ondersteund. Gmail ondersteunt niet de tag ruf, die wordt gebruikt om foutrapporten te sturen. Foutrapporten worden ook wel forensische rapporten genoemd. |
sp | Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen.
Als u deze optie niet gebruikt in de record, nemen subdomeinen het DMARC-beleid over dat u instelt voor het bovenliggende domein. Deze tag is optioneel. |
adkim | Hiermee stelt het uitlijningsbeleid voor DKIM in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met DKIM-handtekeningen. Meer informatie over hoe uitlijning werkt.
Deze tag is optioneel. |
aspf | Hiermee stelt het uitlijningsbeleid voor SPF in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen. Meer informatie over hoe uitlijning werkt.
Deze tag is optioneel. |
Als u net begint met DMARC te gebruiken, raden we u aan een beleid in te stellen met afdwingniveau none. Naarmate u beter begrijpt hoe berichten uit uw domein worden geverifieerd door ontvangstservers, kunt u het beleid updaten. Wijzig in de loop van de tijd het beleid voor de ontvangstserver in quarantine en uiteindelijk in reject. Zie Tutorial: Aanbevolen DMARC-uitrol voor een voorbeeld van een DMARC-beleid dat wordt geüpdatet tijdens de uitrol van DMARC.
Afdwingbeleid | Aanbevolen actie | Meer informatie |
none | Er wordt geen actie uitgevoerd op berichten die niet door de DMARC-controles komen. Berichten worden normaal bezorgd bij de ontvanger. |
We raden u aan deze optie te gebruiken als u DMARC voor het eerst instelt. Met de optie none worden berichten vanuit uw domein normaal bezorgd. Als het beleid is ingesteld op none, moet u regelmatig de DMARC-rapporten controleren om te zien hoe uw e-mails worden geverifieerd en bezorgd. In de DMARC-rapporten die de ontvangstservers naar u sturen, staat informatie over de berichten die niet kunnen worden geverifieerd door SPF of DKIM. Als u ziet dat een groot aantal berichten vanuit uw domein in de map Spam wordt geplaatst, controleert u uw SPF- en DKIM-configuratie. Meer informatie over Problemen met DMARC oplossen. Wijzig de afdwingoptie voor het beleid pas in quarantine of reject als u begrijpt welke berichten niet worden geverifieerd door de ontvangstservers. Opmerking over BIMI: Als uw domein BIMI gebruikt, moet het beleid om DMARC af te dwingen (p) zijn ingesteld op quarantine of reject. BIMI ondersteunt geen DMARC-beleid waarbij de optie p is ingesteld op none. |
quarantine | Berichten die niet door de DMARC-verificatiecontrole van de ontvangstserver komen, worden in de map Spam van de ontvanger geplaatst. Als er een quarantaine is ingesteld voor de ontvangstserver, worden berichten mogelijk in de quarantaine geplaatst in plaats van rechtstreeks in de map Spam van de ontvanger. | Als u deze optie kiest, blijft u DMARC-rapporten ontvangen. |
reject | Berichten die niet door de DMARC-verificatiecontrole van de ontvangstserver komen, worden geweigerd en niet bezorgd bij de ontvanger. De ontvangstserver stuurt meestal een bouncebericht naar de afzender. |
We raden rejecting aan als de uiteindelijke, permanente optie voor alle DMARC-beleidsregels. Als u deze optie kiest, blijft u DMARC-rapporten ontvangen. Update uw beleid naar deze optie als u in de DMARC-rapporten ziet dat geldige berichten normaal worden geverifieerd en bezorgd. Door ongeverifieerde berichten te weigeren, worden ontvangers beschermd tegen spam, spoofing en phishing. |
Opties voor DMARC-uitlijning
DMARC keurt berichten goed of weigert deze gebaseerd op hoe goed de Van-koptekst van het bericht overeenkomt met het verzenddomein, zoals bepaald door SPF of DKIM. Dit wordt uitlijning genoemd.
U kunt kiezen uit 2 uitlijningsmodussen: streng en minder streng. Stel de uitlijningsmodus voor SPF en DKIM in de DMARC-record in. De uitlijningsmodus wordt bepaald met de DMARC-recordtags aspf en adkim.
In de volgende gevallen raden we u aan strenge uitlijning te kiezen voor extra bescherming tegen spoofing:
- E-mails die namens uw domein worden gestuurd, komen uit een subdomein waar u geen controle over heeft
- U heeft subdomeinen die worden beheerd door een andere entiteit
Een bericht moet door minstens één van deze controles komen om te slagen voor de DMARC-verificatie:
- SPF-verificatie en SPF-uitlijning
- DKIM-verificatie en DKIM-uitlijning
Een bericht slaagt niet voor de DMARC-verificatie als het niet door allebei deze controles komt:
- SPF (of SPF-uitlijning)
- DKIM (of DKIM-uitlijning)
Informatie over de envelopafzender en het Van-adres
E-mailberichten bevatten 2 soorten adressen waarmee wordt aangegeven wie de afzender is. Het is belangrijk dat u het verschil tussen deze adressen begrijpt als u SPF, DKIM en DMARC instelt.
Het adres van de envelopafzender en het Van-adres van een bericht kunnen verschillen of hetzelfde zijn.
Envelopafzender: Het e-mailadres dat aangeeft waar het bericht vandaan komt. Als een bericht niet kan worden bezorgd, wordt er een melding (oftewel een bouncebericht) naar dit adres gestuurd. Het adres van de envelopafzender wordt ook wel het Return-Path-adres of het bounceadres genoemd. Berichtontvangers zien het adres van de envelopafzender niet.
SPF gebruikt meestal het adres van de envelopafzender voor verificatie.
Van-adres: Het e-mailadres in de berichtkop. Berichten bestaan uit 2 delen: de berichtkop en de berichttekst. De koptekst bevat informatie over het bericht, zoals de naam en het e-mailadres van de afzender, het berichtonderwerp en de verzenddatum. De Van-koptekst bevat het e-mailadres en meestal de naam van de persoon die het bericht heeft gestuurd.
DKIM gebruikt het Van-adres van een bericht voor verificatie.
Voorbeeld van SPF-uitlijning
Bij SPF-uitlijning wordt het domein dat is geverifieerd door SPF (meestal het adres van de envelopafzender) vergeleken met het domein in het Van-adres in de berichtkop. Hier ziet u enkele uitlijningsvoorbeelden met de SPF-controleresultaten.
Adres envelopafzender | Van-adres in de koptekst | Strenge uitlijning | Minder strenge uitlijning |
jon@solarmora.com |
jon@solarmora.com |
Geslaagd | Geslaagd |
jon@mail.solarmora.com |
jon@solarmora.com |
Mislukt | Geslaagd |
jon@solarmora.org |
jon@solarmora.com |
Mislukt | Mislukt |
Voorbeeld van DKIM-uitlijning
Met DKIM-uitlijning wordt de waarde in het domeinveld van de DKIM-handtekening (d=) in de berichtkop vergeleken met het domein in de Van-koptekst van het bericht.
Hier ziet u enkele uitlijningsvoorbeelden met de DKIM-controleresultaten:
Van-koptekst | DKIM d=domein | Strenge uitlijning | Minder strenge uitlijning |
jon@solarmora.com |
solarmora.com |
Geslaagd | Geslaagd |
jon@mail.solarmora.com |
solarmora.com |
Mislukt | Geslaagd |
jon@solarmora.org |
solarmora.com |
Mislukt | Mislukt |
Opties voor DMARC-rapporten
U kunt DMARC zo instellen dat u regelmatig rapporten krijgt van e-mailservers die e-mails ontvangen vanuit uw domein.
In DMARC-rapporten ziet u het volgende:
- Welke servers of afzenders van derden e-mails sturen namens uw domein
- Het percentage berichten in uw domein dat door de DMARC-controle komt
- Welke servers of services berichten sturen die niet door de DMARC-controle komen
- Welke DMARC-acties de ontvangstserver uitvoert op de ongeverifieerde berichten van uw domein: none, quarantine of reject.
Gebruik de rua DMARC-recordtag in uw DMARC-record om in te stellen dat u DMARC-rapporten krijgt.
Meer informatie over DMARC-rapporten.