Email Deliverability
Authentication
Email Deliverability
Authentication
Met een DMARC record geef je als e‑mailverzender aan dat je beveiliging van je e‑maildomein serieus neemt. Het is ontworpen om jouw e‑maildomeinen te beschermen tegen spoofing. Spoofing is een methode die internetcriminelen gebruiken om zich voor te doen als een legitieme verzender en valse e‑mails te sturen. Het uit zich dan ook meestal in spam of in phishing, waarmee criminelen proberen vertrouwelijke informatie of geld te ontfutselen. Door DMARC goed in te stellen, ben je beter beschermd tegen spoofing. Toch blijft het belangrijk om alert te zijn, want DMARC beschermt niet tegen alles.
Met DMARC haal je alles uit je SPF en/of DKIM record. Met deze twee methodes beperk je misbruik van je domeinen. DMARC bepaalt vervolgens wat een ontvangende mailserver mag doen met een e‑mail waarbij één van de twee records niet klopt.
Bij het ontvangen van een e‑mail controleert de ontvangende mailserver namelijk of deze (één of beide) records in orde zijn, alvorens de e‑mail daadwerkelijk in de inbox belandt. Het voordeel dat DMARC hier biedt is dat het vervolgens aangeeft wat er met de e‑mail mag gebeuren als een controle faalt.
DMARC geeft de ontvangende mailserver dus meer zekerheid en laat het belanden in de inbox niet meer over aan giswerk door die server. Het biedt jou als verzender meer zekerheid over je deliverability en geeft je inzicht in je e‑mailstromen.
Bij het verzenden van je e‑mail, wordt vanuit jouw (verzendende) mailserver gecommuniceerd richting de ontvangende mailserver. Deze ontvangende mailserver bepaalt op basis van jouw ‘From’‑domein of je e‑mail doorgelaten mag gaan worden. Dat gebeurt als volgt:
Bij het beoordelen van de e‑mail, checkt de ontvangende mailserver middels de public key van het domein of SPF en DKIM goed geregeld is. Daarnaast checkt het of er een DMARC policy aanwezig is. Die staat opgenomen in het DMARC record, waarbij de p= het beleid bepaald omtrent e‑mails die niet voldoen.
De policy kan op drie manieren ingesteld worden: ‘none’, ‘quarantine’ en ‘reject’. Bij none laat de domeineigenaar weten dat de mailserver niets hoeft te doen met het gefaalde bericht, quarantaine zorgt ervoor dat het bericht aangemerkt wordt en reject elimineert het gehele bericht.
DMARC geeft dus, kort gezegd, bij de ontvangende mailserver aan dat de e‑mail die jij verstuurt 'goed' is, en die van de phisher 'fout'. Hierdoor weet de mailserver wat hij vervolgens met die specifieke e‑mail moet gaan doen. Zo elimineert het fout e‑mailverkeer en maakt het een einde aan misbruik van jouw domein.
Dat is echter ook waar DMARC stopt met functioneren. Het is zo ontworpen dat het een specifiek domein beschermt, maar niet de nevendomeinen of de displaynaam. Hierdoor is het nog steeds mogelijk om in plaats vanuit het legitieme example.org, vanuit een foutief example.net of exampl3.org te e‑mailen.
Daarnaast kan ook met de displaynaam (bijvoorbeeld: "Tom van Flowmailer") gespeeld worden. Die is namelijk niet per sé verbonden aan het verzendende domein. Op desktop‑applicaties is dat nog niet een enorm probleem, omdat hier beide worden weergegeven. Verschillende mobiele apparaten krijgen in hun mailbox echter alleen de displaynaam te zien, waardoor dat op korte termijn het enige referentiemateriaal is voor de ontvanger.
Door bovenstaande omwegen wordt het voor DMARC vrij lastig gemaakt om alle phishing vanuit 'jouw' domein tegen te gaan. Daarom is het raadzaam om, náást een goede implementatie van DMARC, klanten te informeren over de e‑mailadressen die jij gebruikt om te e‑mailen. Zo weet een klant zeker welke e‑mail wèl van jou komt en welke niet. Of een klant daadwerkelijk steeds zijn of haar e‑mails nauwkeurig checkt op legitimiteit blijft dan nog onzeker, maar door te informeren geef je in ieder geval aan dat je de veiligheid van je klanten (en je eigen domein) zeer serieus neemt.
Allereerst is DMARC pas effectief als de ontvanger elk bericht controleert en de verzender de juiste instellingen hanteert. Steeds meer providers doen dit al, waardoor met name onder consumenten een groot percentage ontvangers al bescherming geniet. Wanneer DMARC aan beide kanten wordt ondersteund, kun je als ontvanger de echtheid van een e‑mail bepalen door het afzender adres goed te controleren. Klopt het domein van de afzender precies, dan kun je ook zeker zijn van een legitiem bericht.
Voor alle betrokken partijen is het belang daarom groot om zo snel mogelijk alle e‑mailcommunicatie DMARC compliant te maken. Dit vereist echter wel een actieve aanpak, waarbij ook bestaande berichtstromen tegen het licht gehouden moeten worden. In Nederland maken veel banken, financiele instellingen en overheden al gebruik van DMARC of werken aan de implementatie.
Nu je meer weet hoe e‑mailauthenticatie en ‑beveiliging werkt, zul je willen weten hoe jouw e‑maildomein ervoor staat. Heb je een goed functionerend SPF record? Is je DMARC beleid al perfect in orde? Check hoe jouw domein scoort met onze nieuwe DMARC Checktool
