DMARC

DMARC inschakelen

Verdachte e-mails beheren met DMARC

Schakel 'Domain-based Message Authentication, Reporting, and Conformance' (DMARC) in door DMARC-beleid toe te voegen aan de DNS-records van uw domein. U voegt hiervoor een DNS TXT-record toe. Het beleid bepaalt wat uw domein doet met verdachte e-mails.

Met DMARC-beleid kunnen er drie mogelijke acties worden uitgevoerd op verdachte e-mails:

  • Geen actie uitvoeren op het bericht en het bericht opslaan in het dagelijkse rapport.
  • Het bericht markeren als spam. Gmail plaatst deze berichten in de map Spam van de ontvanger.
  • Doorgeven aan de ontvangstserver dat het bericht moet worden geweigerd. De SMPT-server stuurt het bericht terug naar de afzender.

Voorbeelden van DMARC-beleid

Hier ziet u enkele voorbeelden van DMARC-beleid. 

Belangrijk: Het domein dat in deze voorbeelden wordt gebruikt, is een voorbeelddomein. Vervang solarmora.com door uw eigen domein.

De waarden in deze voorbeelden zijn opgegeven in DMARC TXT-recordwaarden.

Acties die moeten worden uitgevoerd als de DMARC-controle mislukt TXT-recordcontent
Geen actie uitvoeren op berichten die niet door de DMARC-controle komen. Een dagelijks rapport sturen naar dmarc@solarmora.com. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

5% van de berichten die niet door de DMARC-controle komen in de map Spam van de ontvangers plaatsen. Een dagelijks rapport sturen naar dmarc@solarmora.com.

 v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

100% van de berichten die niet door de DMARC-controle komen weigeren. Een dagelijks rapport sturen naar twee adressen: postmaster@solarmora.com en dmarc@solarmora.com. 

Als een bericht niet kan worden bezorgd, stuurt de SMPT-server het bericht terug naar de afzender.

 v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

Een TXT-record toevoegen om DMARC in te schakelen

Als u DMARC wilt inschakelen, moet u een DNS TXT-record toevoegen aan uw domeininstellingen.

Over TXT-records

Een TXT-record is een DNS-record die tekstinformatie bevat. Deze informatie wordt gebruikt door bronnen buiten uw domein. U voegt TXT-records toe aan de domeininstellingen bij uw domeinhost, niet in de Google-beheerdersconsole.

Zie Tips voor het updaten van DNS TXT-records voor meer informatie over het werken met TXT-records.

Een DMARC TXT-record toevoegen

Volg deze stappen om een DMARC TXT-record toe te voegen voor uw domein.

Belangrijk:

  • Het domein dat in deze voorbeelden wordt gebruikt, is een voorbeelddomein. Vervang solarmora.com door uw eigen domein. 
  • Vervang de voorbeeldwaarden door waarden voor het DMARC-beleid van uw eigen domein.
  1. Log in bij de beheerdersconsole van uw domeinprovider.
  2. Ga naar de pagina waar u de DNS-records kunt updaten.

    Subdomeinen: als uw domeinhost het updaten van DNS-records voor subdomeinen niet ondersteunt, voegt u de record toe aan het hoofddomein. Meer informatie over het updaten van DNS-records voor een subdomein.

  3. Voeg een DNS-record toe bij _dmarc.

    Naam TXT-record: Voer in het eerste veld onder DNS-hostnaam het volgende in:
    _dmarc.solarmora.com

    TXT-recordwaarde: Voer in het tweede veld de waarden in van uw DMARC-beleid, zoals:
    v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@solarmora.com; pct=90; sp=none

  4. Sla de wijzigingen op.

DMARC TXT-recordwaarden

Opmerking: Gmail ondersteunt niet de DMARC-tag ruf, die wordt gebruikt om foutrapporten (forensische rapporten) te verzenden.

Tagnaam Vereist Beschrijving en waarden

v

 Vereist Protocolversie. Moet DMARC1 zijn.

p

 Vereist

Hiermee stelt u in wat uw domein doet met verdachte berichten:

  • none (geen): Geen actie uitvoeren op het bericht. Verdachte berichten opslaan in het dagelijkse rapport.
  • quarantine (quarantaine): De berichten markeren als spam en in de map Spam in Gmail van de ontvanger plaatsen. Ontvangers kunnen hun spamberichten bekijken in Gmail.
  • reject (weigeren): Doorgeven aan de ontvangstservers dat het bericht moet worden geweigerd. Als dit gebeurt, stuurt de ontvangstserver het bericht terug naar de verzendserver.

pct

 Optioneel

Hiermee stelt u het percentage verdachte berichten in waarvoor het DMARC-beleid geldt. Verdachte berichten zijn berichten die niet door de DMARC-controle komen.

Dit moet een geheel getal zijn tussen 1 en 100. De standaardwaarde is 100

rua

 Optioneel

Het e-mailadres waar rapporten over DMARC-activiteit voor uw domein naartoe moeten worden gestuurd. Gebruik uw eigen e-mailadres of maak een nieuw e-mailadres om rapporten op te ontvangen.

Het e-mailadres moet mailto: bevatten, bijvoorbeeld: mailto:dmarc-rapporten@solarmora.com.

Als u het rapport wilt verzenden naar meerdere e-mailadressen, scheidt u deze door komma's.

sp

 Optioneel

Hiermee stelt u het beleid in voor berichten vanuit subdomeinen van uw hoofddomein. Gebruik deze optie als u wilt dat er een ander DMARC-beleid geldt voor uw subdomeinen.

  • none (geen): Geen actie uitvoeren op het bericht. Verdachte berichten opslaan in het dagelijkse rapport.
  • quarantine (quarantaine): De berichten markeren als spam en vasthouden voor verdere verwerking.
  • reject (weigeren): Doorgeven aan de ontvangstservers dat het bericht moet worden geweigerd.
adkim Optioneel

Hiermee stelt u de 'Alignment mode for DKIM' in, waarmee wordt bepaald hoe exact berichtgegevens moeten overeenkomen met DKIM-handtekeningen.

  • s: Strict (streng). De domeinnaam van de afzender moet exact overeenkomen met de overeenkomende d=naam in de DKIM-berichtkoppen.
  • r: Relaxed (niet streng, standaardinstelling). Gedeeltelijke overeenkomsten zijn toegestaan. Elk geldig subdomein van d=domein in de DKIM-berichtkoppen wordt geaccepteerd.

aspf

 Optioneel

Hiermee stelt u de 'Alignment mode for SPF' (ASPF) in, waarmee u bepaalt hoe exact berichtgegevens moeten overeenkomen met SPF-handtekeningen.

  • s: Strict (streng). De Van-koptekst van het bericht moet exact overeenkomen met de domeinnaam in de SMTP MAIL FROM-opdracht.
  • r: Relaxed (niet streng, standaardinstelling). Gedeeltelijke overeenkomsten zijn toegestaan. Elk geldig subdomein van domeinnaam wordt geaccepteerd.

DMARC geleidelijk implementeren

Gebruik de opties 'policy' (p) en 'percent' (pct) samen om DMARC geleidelijk en langzaam in Gmail te implementeren.

Met de optie 'policy' (p). Stel de optie 'policy' in en wijzig deze door de waarde van de tag p in de TXT-record aan te passen. Begin met het beleid 'quarantine', zodat u verdachte berichten kunt inspecteren. Pas vervolgens geleidelijk het beleid aan op basis van in quarantaine geplaatste berichten en dagelijkse rapporten.

  1. p=none: Controleer e-mailverkeer en zoek naar problemen in de dagelijkse rapporten, maar laat alle berichten door. Let op gespoofte berichten en berichten die niet zijn ondertekend met DKIM of SPF.
  2. p=quarantine: Wanneer u bekend bent met de e-mailpatronen die u in de dagelijkse rapporten ziet, wijzigt u het beleid in 'quarantine'. Blijf de dagelijkse rapporten bekijken en bekijk de berichten die apart worden geplaatst (in de quarantaine geplaatst) als spam.
  3. p=reject: Wanneer u zeker weet dat alle berichten uit uw domein worden ondertekend, wijzigt u het beleid in 'reject' zodat spamberichten eruit worden gefilterd. Blijf de dagelijkse rapporten bekijken om er zeker van te zijn dat spam eruit wordt gefilterd en geldige e-mails naar de ontvangers worden verzonden.

Met de optie 'percent' (pct). Met de optie 'percent' geeft u aan op welk percentage verdachte berichten het DMARC-beleid moet worden toegepast. Verdachte berichten zijn berichten die niet door de DMARC-controle komen. De standaardinstelling is 100% (alle verdachte berichten). Stel de optie in het begin zo in dat er minder berichten worden gefilterd en verhoog het percentage elke paar dagen naarmate u uw DMARC-beleid verfijnt. Stel de optie 'percent' bijvoorbeeld om te beginnen in op 20 om 20% van de afgewezen of in quarantaine geplaatste berichten te filteren. Wijzig de week erop de waarde van 20 in 50 om 50% van de berichten te filteren.

Voorbeeldimplementatie: Hier ziet u een voorbeeld van hoe u de opties p en pct kunt gebruiken om het DMARC-beleid geleidelijk te implementeren. Update het DMARC-beleid geleidelijk met deze waarden:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Dagelijkse DMARC-rapporten

Dagelijkse DMARC-rapporten hebben een xml-indeling en bevatten informatie over de e-mailstroom. Gebruik de rapporten voor het volgende:

  • Controleren of uitgaande e-mailbronnen zijn geverifieerd.
  • Controleren of de e-mailservers die berichten verzenden vanuit uw domein echt zijn.
  • Reageren als een nieuwe server online komt of als een bestaande server configuratieproblemen heeft.
Voorbeeld van een DMARC-rapport

Hieronder ziet u een deel van een rapport met resultaten voor berichten die zijn verzonden vanaf twee IP-adressen. Eén bericht is rechtstreeks verzonden, het andere bericht is doorgestuurd. Beide berichten zijn door de DMARC-controle gekomen.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

Was dit nuttig?
Hoe kunnen we dit verbeteren?