Hoe stel ik DMARC in?

Email wordt door veel personen en/of bedrijven gebruikt maar helaas ook vaak misbruikt door hackers.
Misschien heb je zelf ook wel eens last gehad dat een e-mailadres misbruikt werd door hackers of dat je
website veel mails verstuurde omdat de website gehackt was.
Er zijn in de loop der tijd verschillende beveiligingen uitgerold om spammers tegen te gaan.
Zo hebben we al een SPF record, dat controleert of de mailserver daadwerkelijk geautoriseerd is om mails te versturen.
Verder hebben we ook DKIM, een soort van handtekening van de mailserver, die ook controleert op basis van de DNS of deze juist is.
Maar helaas is het zo dat als je website of email wachtwoord gehackt is en er vervolgens mails worden verstuurd, de SPF en DKIM nog steeds juist zullen zijn.
Naast SPF en DKIM is er nog een beveiliging bijgekomen die meer inzicht geeft in email verkeer, namelijk DMARC.

Wat is en wat doet DMARC?
Een DMARC record zorgt ervoor dat je meer inzicht krijgt in de mails die verstuurd worden via de mailserver.
Ook kan je aangeven wat het advies is bij de ontvangende partij wat zij met de mail moeten doen.
De DMARC record kan je instellen met controle op SPF, DKIM of beide.
In het dmarc record zet je onder andere een email adres, deze wordt gebruikt om rapporten naar toe sturen.

Wanneer ontvang ik mijn DMARC rapport en hoe vaak?
Na 24 uur ontvang je vaak je eerste DMARC rapport.
Een dag later ontvang je weer een rapport.

Wat staat er in dit rapport?
In de mail zit een XML bijlage. Als je deze uitleest staat daar precies hoeveel mails er verstuurd zijn, en van hoeveel e-mails de DKIM en SPF juist / onjuist waren.
Ook kan je een kopie krijgen van de inhoud als 1 van de SPF/DKIM eisen faalt.
Zo krijg je een goed inzicht of alle mails wel op de juiste wijze verstuurd zijn  .

Kan DMARC problemen geven wanneer het verkeerd is ingesteld?
Ja dat kan, wanneer je bijvoorbeeld de SPF of DKIM niet goed hebt en je gebruikt p=reject, dan zal de mail vaak bij andere partijen geweigerd kunnen worden.

Hoe ziet een DMARC record er uit?
Dmarc is een DNS TXT record en kan je in je controle paneel bij de dns instellen.
Verder is DMARC op verschillende manieren in te stellen, afhankelijk van hoe dat jij de mail wil laten werken.
Hieronder is een voorbeeld van een DMARC record:
v=DMARC1; p=quarantine; rua=mailto:dmarcrapport@voorbeelddomein.nl;

V=DMARC1;
Het record begint met v=DMARC1;
Dit geeft aan dat het om een DMARC gaat, en niet om een SPF of DKIM.

P=quarantaine;
Vervolgens staat er: p=quarantaine;
De P staat voor Policy (wat we ook kennen uit SPF (Sender Policy Framework)).
Voor de policy heb je 3 mogelijkheden en deze mogelijkheden geven aan wat het advies is voor de ontvangende partij wanneer de DMARC niet correct is) namelijk:
- none (dit wil zeggen dat de ontvangende partij er niks mee doet, maar stelt je wel in staat om rapporten te ontvangen, dus handig voor onderzoek)
- quarantaine (dit wil zeggen dat de  ontvangende partij de mails in de spam folder moet plaatsen)
- reject (dit wil zeggen dat dat de ontvangende partij de mail niet moet aannemen).

RUA (aggregate DMARC reports)
Dit is het email adres waar de rapporten naar toe worden gestuurd.
Je ontvangt elke dag een XML bestand waar een overzicht in staat van hoeveel mails er zijn verstuurd en hoeveel geldige SPF en/of DKIM hadden.
Standaard ontvang je 1 keer per dag een rapport, je kan eventueel zelf aangeven of je het 1 keer per week.
Dit kan je doen door ri=xxx seconden toe te voegen aan de DMARC record.

RUF (forensic DMARC failure reports)
Naast RUA is er ook een RUF optie, deze optie laat inhoudelijk zien welke mails niet aan de DMARC voldoen, terwijl RUA het meer globaal laat zien.
Bij het instellen van de DMARC record kan je voor de RUF aangeven wanneer je een RUF rapport wilt ontvangen.
Dit kan bijvoorbeeld zijn wanneer de SPF faalt, of wanneer de DKIM faalt, of wanneer zowel de SPF als DKIM beide falen. 

Relaxed of Strict
Je kan aangeven of de dmarc relaxed of streng moet omgaan met de voorwaarden van de emails.
In het voorbeeld dat ik eerder had gegeven zie je geen relaxed of strict ingesteld.
Dit komt omdat de standaard waarde voor DMARC relaxed is.
In de strict modus van de DKIM kijkt de DMARC of de DKIM precies overeenkomt.
Wanneer dit is ingesteld op relaxed, kijkt de DKIM alleen of de email ondertekend is door het hoofddomein.
Wel is het volgens bronnen zo dat het gebruik van de strict modus, geen extra veiligheid bied.
Om deze reden is het dan ook te adviseren om de relaxed modus te gebruiken, omdat de strict het configureren een stuk moeilijker maakt.

Stel dat je toch een strenge controle uit wil voeren op de SPF en/of DKIM dan kan je dit specificeren met:

adkim=s; aspf=s

De adkim geeft aan dat het om de DKIM gaat, en de =s geeft aan dat het hij strict (streng) moet controleren.
Ditzelfde is van toepassing voor de aspf.

pct=100
Het is ook mogelijk om een percentage van de verstuurde mails te controleren.
Standaard staat het percentage op 100%, en hoeft niet gespecificeerd te worden wanneer je de 100% wilt blijven aanhouden. Wanneer je een lager percentage wil scannen, dan is het wel nodig om deze op te nemen in de DMARC record.

Hoe kom ik aan een DMARC record?
Het is begrijpelijk dat je een DMARC record niet zo maar even intypt, er zijn daarom op het internet verschillende tooltjes te vinden waarmee je een DMARC record kan genereren.
Een voorbeeld van een DMARC generator is dmarcian of mxtoolbox