DMARC is een DNS record en staat voor Domain-based Message Authentication Reporting & Conformance. Daar beginnen de meeste klanten al te duizelen... Toch is het belangrijk om enigszins bekend te worden met dit DNS record want grote mailproviders zoals Gmail, Yahoo! en Microsoft kijken steeds meer naar of dit record correct is ingesteld of niet.
In dit artikel lees je meer over het DMARC record en waarom iedere verzender dit record zou moeten instellen in de DNS van het afzenddomein.
Indien DMARC eenmaal is ingesteld en in de rua- en ruf-parameter in het DMARC record is aangegeven waar de rapporten naartoe moeten worden verstuurd kan worden geanalyseerd in hoeverre applicaties (zoals websites, CRM- en facturatiepakketten en bijvoorbeeld emailmarketing software pakketten zoals MailCamp) SPF en DKIM correct hebben ingesteld op hun afzenddomein en bounce-adres (return-path).
Een voorbeeld van een DMARC record is;
_dmarc.mailcamp.nl. IN TXT "v=DMARC1; p=quarantine; rua=mailto:rua@report.rect.to; ruf=mailto:ruf@report.rect.to; pct=20; fo=1;"
In dit voorbeeld is er gekozen om de RUA-rapporten naar rua@report.rect.to te sturen en de RUF-rapporten naar ruf@report.rect.to. Deze 2 adressen horen bij de DMARC rapportage tool van MailCamp. Door deze 2 adressen in te stellen in jouw DMARC record kunnen wij de rapporten inzichtelijk maken in de MailCamp software zodat je in de MailCamp software kunt monitoren of mail verzonden vanuit jullie afzenddomein correct aligned is (m.a.w. SPF en DKIM zijn correct ingesteld in de applicatie die mail heeft verzonden vanuit jullie afzenddomein).
In deze rapportages staan dus niet alleen de resultaten van uit MailCamp verzonden emails met jullie afzendadres maar álle resultaten van mails verzonden aan bijvoorbeeld Gmail. Gmail is dan ook een van de partijen die deze rapporten versturen.
Het is overigens mogelijk om meerdere emailadressen op te geven in de RUA- of RUF-parameter indien je meer verschillende tooling wilt gebruiken. Hieronder een voorbeeld van een DMARC record met meerdere e-mailadressen voor rapportage.
_dmarc.mailcamp.nl. IN TXT "v=DMARC1; p=quarantine; rua=mailto:rua@report.rect.to,mailto:dmarc@mailcamp.nl; ruf=mailto:ruf@report.rect.to,mailto:dmarc@mailcamp.nl; pct=20; fo=1;"
Je kunt de rapportages dus ook gewoon naar je eigen mailbox laten sturen echter worden deze rapporten in XML-format verzonden en dat is niet voor iedereen eenvoudig te begrijpen. Vandaar dat we dat niet aanbevelen.
Rapportages analyseren
Heb je ervoor gekozen om de rapporten niet naar rua@report.rect.to en/of ruf@report.rect.to maar naar een andere DMARC analyzer tool of een ander emailadres te laten sturen? Dan dien je in die tooling of dat emailadres de resultaten van de rapportages te analyseren. In de overige gevallen kun je in MailCamp de rapportages bekijken.
Let op! Na het instellen van de RUA- en RUF-parameters duurt het enkele dagen voordat er rapportages binnen MailCamp getoond worden!
Om de rapportages in de MailCamp software te bekijken navigeer je naar Mailinglijst >> Beheer Mailinglijsten. Klik vervolgens op het groene kruisje onder de DMARC kolom.
Op de volgende pagina wordt het ingestelde DMARC record weergegeven en wordt er uitleg gegeven wat de parameters uit het DMARC record betekenen.
Onder het kopje 'Analyseer DMARC Rapportages' kun je naar de rapportages door op de button 'Bekijk DMARC rapportages' te klikken.
Onderaan de pagina vind je hier de door MailCamp ontvangen rapportages voor het betreffende verzenddomein.
Onder de kolom Organisatie staat de naam van de mailprovider waarvan wij de rapportage hebben ontvangen. Ook zijn er kolommen met de parameters van het DMARC record die stonden ingesteld op het moment dat de rapportage is gemaakt zoals het (subdomein)beleid, het percentage waarvoor het beleid moet werken en het specifieke SPF en DKIM beleid.
Onder de kolom SPF en DKIM kun je zien of de verzenders uit het rapport SPF en DKIM correct hadden ingesteld of niet. Indien er een kruisje staat is het zinnig om aan de rechterkant onder acties te klikken op 'Bekijk Rapport'.
In de tabel onderaan kun je zien welke mails er precies wel en niet aligned waren. In het geval hieronder gaat het om een SPF record wat niet aligned was en verzonden vanaf een server met het IP adres 209.85.220.41;
In het bovengenoemde geval dien je te analyseren welk domein een probleem gaf en waarom.
Stel jezelf in dit geval bijvoorbeeld de volgende vragen;
- Ken ik onbekenddomein.nl?
- Is het wellicht een softwarepakket waar ik gebruik van maak en waarvan ik vergeten ben dat dit pakket mails stuurt vanuit ons afzendadres en ze daarom niet aan het SPF record heb toegevoegd.
- Herken ik het IP adres? Is het misschien van een landingspagina waar een formulier op staat die een mailtje stuurt met ons afzendadres?
Het kan ook zijn dat DKIM niet aligned is zoals in het rapport hieronder;
In dit geval stellen eveneens de vragen;
- Kennen we het domein zendesk.com?
En in dit geval is dit het domein van ticketing-systeem Zendesk. En klaarblijkelijk worden de mails die uit Zendesk worden verstuurd vanuit het afzenddomein niet gesigned met DKIM. In dat geval ga je op zoek hoe je de mails vanuit dit specifieke systeem kan laten signen met DKIM. In dit specifieke geval staat het antwoord hier; https://support.zendesk.com/hc/en-us/articles/4408822303386-Digitally-signing-your-email-with-DKIM.
Gebruik je Google Apps? Dan staat het antwoord hier; https://support.google.com/a/answer/174124?hl=nl en https://support.google.com/a/answer/180504?hl=nl
Gebruik je Microsoft 365? Dan staat het antwoord hier; https://learn.microsoft.com/nl-nl/microsoft-365/security/office-365-security/email-authentication-dkim-configure
Heb je een Wordpress website die mailtjes stuurt? Dan is dit wellicht een oplossing https://www.youtube.com/watch?v=vz9soGG_4Ak
Google, Youtube en ChatGPT zijn jouw vrienden bij het uitzoeken hoe je ervoor kan zorgen dat mails verzonden vanuit jouw afzenddomen worden 'ondertekend' met DKIM.
DMARC Beleid aanscherpen
Grote partijen als Google, Yahoo! en Microsoft willen graag dat iedereen het beleid (de policy) in het DMARC record uiteindelijk op reject zet wat wil zeggen dat álle mail die niet voldoet aan SPF en DKIM wordt weggegooid en dus niet afgeleverd. Om problemen te voorkomen waarbij belangrijke mail die je zelf hebt verstuurd niet aankomt dien je dat stapsgewijs te doen.
Eerst zorg je ervoor dat de rapporten worden uitgelezen op een emailadres. Deze dien je te analyseren.
Indien blijkt dat SPF en DKIM vrijwel altijd aligned is dan kun je de policy wijzigen van 'none' naar 'quarantaine'. Indien het beleid op quarantaine staat zal de mail die niet aligned is met SPF en DKIM naar de SPAM-box worden afgeleverd. Dat kan vrij rigoureuze gevolgen hebben daarom kun je met de parameter 'pct' (percentage) uit het DMARC record aangeven welk percentage van de mails die niet aligned zijn naar de SPAM-box moeten. Begin dus altijd met pct=10, m.a.w. 10% van de mails die niet aligned zijn moeten naar de SPAM-box. Dit kijk je een tijdje aan en vervolgens maak je hier 30(%) van, daarna 60 en uiteindelijk 100. Staat er geen PCT-parameter in jouw DMARC record? Dan wordt op 100% van de mails het beleid toegepast.
Staat je beleid op reject en komt alle mail vanuit jouw verzendadres aan die ook aan zou moeten komen? Dan heb je alles perfect ingesteld!
We kunnen ons voorstellen dat je toch nog vragen hebt over DMARC en de bijbehorende rapportages. Neem dan gerust contact op!
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.