Hoe activeer ik DMARC bij STRATO?
Inhoud
- Wat is DMARC?
- Wat moet ik weten over DMARC?
- Waarom zou ik DMARC gebruiken?
- Wat doet DMARC?
- Hoe activeer ik DMARC bij STRATO?
Wat is DMARC?
Domain-based Message Authentication, Reporting and Conformance (DMARC) is een mechanisme dat misbruik van e-mail moet voorkomen, bijvoorbeeld om phishing te stoppen.
Wat moet ik weten over DMARC?
Met de juiste DMARC- en SPF-instellingen kun je voorkomen dat iemand een e-mail ontvangt die in jouw naam verstuurd is, maar in werkelijkheid niet van jou afkomstig is. De respectievelijke instellingen en de DKIM-handtekeningen zijn bedoeld als informatie voor de ontvangende mailserver. Deze mailserver kan zo controleren of een e-mail vervalst is of niet. Is het inderdaad een vervalste e-mail? Dan reageert de mailserver volgens het DMARC-beleid dat je zelf hebt ingesteld.
Wanneer je een mail verstuurt, beoordeelt de mailserver van de ontvanger deze informatie. De ontvangende mailserver gebruikt de DKIM-handtekening en de SPF-data om te bepalen of de e-mail echt van jou afkomstig is. Is dit niet het geval, en gebruiken onbekende derden je afzenderadres voor oneigenlijke of criminele doeleinden? Dan wordt de e-mail behandeld volgens het ingestelde DMARC-beleid.
Phishingmails worden vaak verzonden met de ‘header-from’ van bekende domeinen (je eigen domein, PayPal, eBay, bol.com, STRATO enz.). We raden je daarom aan om goed te letten op de juiste instellingen.
Niet alle mailservers ondersteunen je DMARC-instellingen. Dit worden er wel steeds meer.
Wanneer je e-mails vanuit je postvak doorstuurt, let dan op het volgende. Gebruik hiervoor een filterregel voor je STRATO postvak met de actie Omleiden naar. Dit zorgt ervoor dat de e-mail wordt doorgestuurd op een manier waarbij de DKIM en SPF-controles op de ontvangende mailserver goed verlopen.
Stuur je een e-mail direct via je e-mailprogramma door, met de naam van de oorspronkelijke afzender (redirect)? Dan wordt deze mogelijk als een nieuwe e-mail vanuit jouw postvak verstuurd. Daarom kan de ontvangende mailserver deze e-mail als vervalsing aanzien. Steeds meer e-mailproviders controleren DMARC streng en weigeren berichten die deze controle niet doorstaan.
Waarom zou ik DMARC gebruiken?
Cybercriminelen proberen hun slachtoffers vaak een vals gevoel van veiligheid te geven. Hiertoe schrijven ze e-mails uit naam van vertrouwde personen en organisaties.
DMARC controleert de structuur en de informatie van deze e-mails. Voldoet een e-mail niet aan de eisen? Dan kan de mail direct als verdacht worden gemarkeerd of worden geweigerd. We raden je aan de instelling voor spambeveiliging in te stellen op ‘Spam naar spammap verplaatsen’. Een geweigerde e-mail komt namelijk helemaal niet aan en kan daarom ook niet worden verplaatst naar je inbox.
Wat doet DMARC?
DMARC biedt een mechanisme dat de ontvangende mailserver vertelt hoe e-mails moeten worden behandeld, afhankelijk van de resultaten van de DKIM en SPF-controles. Daarom moet er minstens één DNS-entry voor DKIM of SPF aan het afzenderdomein zijn gekoppeld. Dus voor ‘mijnstratodomein.nl’ in het geval van de afzender mijnadres@mijnstratodomein.nl.
Het DMARC-beleid (policy) wordt openbaar in de DNS opgeslagen, net als DKIM en SPF. Dit gebeurt in een TXT-record met het prefix _dmarc, dat met bepaalde waarden gevuld wordt. DMARC kent hiervoor drie verschillende procedures, als de SPF en DKIM-controles beide een negatief resultaat opleveren:
1. Policy ‘none’: de e-mail wordt ongewijzigd afgeleverd. Wel kan er een rapport voor de foutmelding worden aangemaakt, als de mailserver dat ondersteunt.
2. Policy 'quarantine':: de e-mail wordt als spam behandeld. Als ontvanger bepaal je zelf wat dit betekent. Bij STRATO kun je kiezen uit vier behandelingen voor ontvangen mails:
- Spam nooit weigeren (= e-mail komt gewoon aan in je inbox)
- Onderwerp van spammails in de inbox markeren
- Spam naar spammap verplaatsen
- Spam altijd weigeren: de e-mail wordt niet bezorgd en de afzender ontvangt hiervan een melding.
3. “reject”: e-mails worden geweigerd, de afzender ontvangt hierover een melding.
Andere belangrijke DMARC-instellingen:
Je kunt DMARC-rapporten laten toesturen door de ontvangers. Er wordt onderscheid gemaakt tussen forensische rapporten (foutrapporten voor elk bericht waar een fout optrad) en geaggregeerde rapporten. We raden je aan ‘geen rapporten’ in te schakelen, tenzij je een gevorderde gebruiker bent en deze functie goed kent. Ook sturen niet alle aanbieders zulke rapporten. De STRATO mailserver stuurt zulke rapporten bijvoorbeeld niet, vanwege de regels op het gebied van privacybescherming.
Hoe activeer ik DMARC bij STRATO?
1. DKIM is bij STRATO al geactiveerd. Alle e-mails die je via STRATO verstuurt zijn dus al voorzien van een DKIM-handtekening. Je hoeft verder niets te doen. De enige voorwaarde is dat je het bericht met je eigen afzenderadres verstuurt.
2. SPF inschakelen::
Ga in je pakket naar het Domeinbeheer. Klik achter je domein op het tandwieltje ⚙.
Op de volgende pagina vind je het tabblad DNS. Achter TXT- en CNAME-records inclusief SPF en DKIM-instellingen kies je configuratie.
Bij de SPF-regel kies je voor Standaard STRATO mailserver:
3. Voor het DMARC-record voer je vervolgens de volgende instellingen in:
type: TXT
Voorvoegsel: _dmarc
Waarde: v=DMARC1; p=quarantine; pct=100
(In plaats van ‘quarantine’ schrijf je ‘none’ of ‘reject’, afhankelijk van het gekozen beleid. Zie ‘Wat kan DMARC? )
Klik op Instellingen doorvoeren.
4. Herhaal dit proces voor alle domeinen waarvoor je een DMARC-beleid wilt instellen.
5. Stel vervolgens je spambeveiliging in.
Ga naar E-mailbeheer > Postvak bewerken voor het ontvangende e-mailaccount.
Klap vervolgens Spambeveiliging / Black- en whitelist uit:
Kies de gewenste instelling en sla deze op.
6. Herhaal dit voor alle gewenste e-mailpostvakken.