Wat is DMARC en hoe stel ik het in?

Google en Yahoo hebben aangegeven dat partijen die veel mails versturen, verplicht zijn om (naast SPF en DKIM) ook DMARC in te stellen. Maar wat is nou DMARC?

Wat is DMARC en waarom is het belangrijk?

Stel je voor dat je een brief ontvangt. Normaal gesproken kijk je naar het afzenderadres om te beslissen of je de brief vertrouwt of niet. In de digitale wereld van e-mails, helpt DMARC ervoor te zorgen dat e-mails alleen als "geldig" worden beschouwd als ze echt verzonden zijn vanuit een "goedgekeurd" e-mailadres. Net zoals je zou verwachten dat een betrouwbare brief van een bekend adres komt. 

DMARC helpt te voorkomen dat anderen jouw e-mailadres gebruiken om valse berichten te versturen, wat belangrijk is om spam of frauduleuze e-mails tegen te gaan.

Sinds februari 2024 verplicht Google dat je aan deze strengere eisen voldoet, als je tenminste wil dat je e-mails bij Gmail-adressen afgeleverd  worden. Bron

Hoe werkt DMARC?

DMARC maakt gebruik van digitale handtekeningen om te verifiëren dat een e-mail daadwerkelijk is verzonden vanuit het adres dat het beweert te zijn.

Het is alsof elke e-mail moet bewijzen dat het een "echte stempel" van jou heeft, net zoals een brief die je zelf hebt ondertekend en verzonden. 

Dit helpt ontvangers om te bepalen of ze de e-mail kunnen vertrouwen. DMARC geeft je ook inzicht in wie er e-mails probeert te versturen uit jouw naam, vergelijkbaar met hoe je zou willen weten als iemand anders brieven verstuurt vanaf jouw adres.

Voorbeeld

Laten we als voorbeeld de Belastingdienst nemen. De Belastingdienst verstuurt brieven vanuit Eindhoven, Heerlen en Utrecht. 

De instructie "Wij sturen alleen brieven vanuit Eindhoven, Heerlen en Utrecht" is vergelijkbaar met een "SPF-record". Daarin staat beschreven vanaf welke locaties er e-mails namens jou verstuurd mag worden.

DMARC is dan vergelijkbaar met een extra instructie voor de postbode die de brieven bij jou thuis bezorgt. 

Deze instructie is: "Als je een brief namens de Belastingdienst moet bezorgen, en deze komt niet vanaf een goedgekeurd adres, bezorg deze dan niet en rapporteer deze bij de Belastingdienst".

Inventarisatie

De eerste stap voor het opzetten van DMARC is dat je een goed overzicht maakt van partijen die namens jouw domeinnaam mails versturen. Vaak zijn dit er meer dan dat je in het eerste moment aan denkt.

Voorbeelden van partijen die namens jou e-mail zouden kunnen sturen

Een aantal partijen die wellicht e-mail vanuit jouw naam sturen:

  • Google Workspace / Outlook 365 (handmatige mails)
  • Webserver (transactionele mails webshop)
  • Vanuit website naar klant (bevestiging contactformulier)
  • Vanuit website naar jezelf (wachtwoord vergeten functionaliteit voor het beheer)
  • Reputatieplatformen (Feedback Company, Trustpilot, etc.)
  • Nieuwsbriefplatformen (Copernica, Mailchimp, etc.)
  • Facturatie (mijn facturen worden bijv. vanuit Moneybird verstuurd)
  • Klantenservice ticketsystemen (Zendesk, Freshdesk, Intercom, etc.)

Stappenplan voor het instellen van DMARC

Het instellen van DMARC begint met het creëren van een DMARC-record, een stukje tekst, dat je toevoegt aan de DNS-instellingen van je domein. Dit record vertelt e-maildiensten hoe ze moeten omgaan met e-mails die vanuit jouw domein worden verzonden, maar niet voldoen aan de DMARC-checks. Volg deze stappen om aan de slag te gaan:

  1. Controleer SPF en DKIM: Zorg ervoor dat je al SPF en DKIM voor je domein hebt geconfigureerd voordat je DMARC instelt.
  2. Maak een DMARC-record aan: Een DMARC-record ziet eruit als een stukje tekst dat je aan je DNS toevoegt, bijvoorbeeld: v=DMARC1; p=none; rua=mailto:jouwemail@domein.com. Dit voorbeeld zet het beleid op none, wat betekent dat het alle e-mails doorlaat maar wel rapporteert over fouten.
  3. Kies je beleid: Je kunt kiezen uit none, quarantine (markeert verdachte e-mails voor quarantaine) of reject (wijst verdachte e-mails volledig af). Start met none om te begrijpen hoe DMARC werkt zonder legitieme e-mails te blokkeren.
  4. Update je DNS-instellingen: Voeg het DMARC-record toe aan de DNS-instellingen van je domein. Dit proces varieert afhankelijk van je hostingprovider, maar je vindt meestal een optie om DNS-records te beheren in het controlepaneel van je domein.
  5. Monitor en pas aan: Nadat je DMARC hebt ingesteld, ontvang je rapporten over de e-mailactiviteit. Gebruik deze informatie om eventuele problemen op te lossen en pas je beleid aan naar quarantine of reject als je klaar bent voor strengere handhaving.

Door deze stappen te volgen zorg je ervoor dat je e-maildomein beschermd is tegen misbruik en helpt je om de integriteit en de betrouwbaarheid van je uitgaande e-mails te waarborgen.

Tips om DMARC te gebruiken:

  1. Start voorzichtig: Laat in het begin alle e-mails door, terwijl je uit de rapporten leert hoe jouw e-mails worden ontvangen en behandeld.
  2. Wees alert: Zorg ervoor dat al jouw e-mailactiviteiten correct zijn ingesteld, om te voorkomen dat ze per ongeluk worden geblokkeerd.
  3. Blijf geïnformeerd: Gebruik de rapporten die DMARC genereert om te zorgen dat jouw e-mailadres veilig en correct wordt gebruikt.

DMARC is een krachtige tool om jouw e-mailcommunicatie veilig en betrouwbaar te houden. Door te zorgen voor een goede instelling, bescherm je niet alleen je eigen reputatie, maar help je ook om het internet een veiligere plek voor iedereen te maken.

Let wel op:

Hoewel de stappen om DMARC in te stellen op het eerste gezicht eenvoudig lijken, kan het daadwerkelijke proces complex en technisch uitdagend zijn. Het vereist een goed begrip van DNS-configuraties, evenals van SPF- en DKIM-records. Fouten in deze instellingen kunnen leiden tot e-mailafleveringsproblemen, waarbij legitieme e-mails worden geblokkeerd of als spam worden gemarkeerd. Daarom is het sterk aan te raden om het instellen van DMARC over te laten aan een IT-professional of een e-mailbeveiligingsexpert.

Wat gebeurt er als je DMARC niet goed instelt?

Zonder DMARC, of met een verkeerd ingestelde DMARC, kunnen jouw echte e-mails ten onrechte worden gemarkeerd als onbetrouwbaar, of kunnen kwaadwillenden jouw e-mailadres gebruiken zonder jouw toestemming. 

Dit kan ertoe leiden dat jouw communicatie wordt verstoord of dat jouw reputatie schade oploopt.

Conclusie

Het invoeren van DMARC is een cruciale stap voor elke organisatie die haar communicatie wil beveiligen en phishing wil bestrijden. 

Met de juiste configuratie van DMARC geef je niet alleen een krachtig signaal af over de beveiliging van je domein, maar draag je ook bij aan een algemeen veiliger internet. 

Begin vandaag nog met de implementatie en zet een belangrijke stap naar een veiligere digitale omgeving voor je organisatie en haar stakeholders.

Gerelateerde pagina's:

Avatar2

Ik ben Niek, een ervaren webontwikkelaar en bouw graag websites die de wereld iets beter maken. Mijn expertise ligt in het gebruik van Craft CMS en Laravel. Ik ben vooral gepassioneerd over projecten die bijdragen aan duurzaamheid en sociale impact.