Fase 1: DMARC monitor instellen voor observatie fase

Wie stuurt er mails namens het domein. In DMARC kun je een functie aanzetten om dit zichtbaar te maken. DMARC, samen met die functie, stel je in de DNS van het domein in. We stellen DMARC in deze fase zo in dat geen enkele mail wordt afkeurt, maar dat je wel van elke mail een rapportje ontvangt zodat je kunt observeren wie er namens het domein mails verstuurt. In zo'n rapportje staat o.a. vanaf welk IP adres de mail afkomstig is en of de mail al dan niet aan SPF en/of DKIM voldeed.

Zo'n DMARC rapport is in een voor mensen lastig te lezen formaat (xml-formaat). Daar zijn gelukkig diensten voor om het voor mensen tot een leesbaar overzicht te maken. Voor elke organisatie is er een die past. Nederland zijn deze twee DMARC diensten bekend: URIports.com dat uitgebreide pakketten tegen een scherpe prijs biedt (interessant voor het MKB) en DMARCadvisor dat voor persoonlijk gebruik (ZZP-ers) een gratis account biedt en voor de betaalde meer detail, zoals forensische rapporten. In het Verenigd Koninkrijk is OnDMARC van RedSift (aanbevolen), en bekende Amerikaanse is DMARCian.

Wanneer je een account bij een van de DMARC diensten hebt gemaakt ontvang je een mail adres dat je in het ' DMARC record' in DNS opneemt. Kijk onder het kopje "DMARC observatie fase" wat je in DNS opneemt.

Rapportages bekijken, wat zie je precies

Na een maand krijg je al goed zicht wie er namens jouw domein mails verstuurt. Neem de tijd om hier doorheen te bladeren, je raakt er na verloop van tijd aan gewend.

Schrik niet wat je in de rapportage tegenkomt. Vaak zie je, naast de voor jou bekende maildiensten, ook mail afkomstig van internetverbindingen van thuisgebruikers en uit vreemde landen.

Met name in landen waar mensen minder geld hebben voor een goede antivirus (gratis antivirus gebruiken) worden computers actief misbruikt door criminelen, doordat er malware op draait dat kwaadaardige mails namens bestaande domeinen verstuurt.

Afhankelijk van de omvang van jouw organisatie is het een goed idee om een periode in deze fase te blijven, maar stel het niet uit en houd 6 maanden als absolute maximum aan.

Dashboard van uriports.com. Het laat zien wat het resultaat van SPF-, DKIM- en DMARC-analyze weer.

Communicatie binnen de organisatie

Het wordt nu belangrijk dat alle afdelingen op de hoogte zijn dat als een nieuwe externe maildiensten nodig is, dit eerst met de ICT afdeling besproken wordt. Werk aan een procedure zodat dit voor iedereen duidelijk is.

DMARC instellen in DNS

De kolommen naam, type en de waarde kun je overnemen, alleen dien je de DMARC mail adressen aan te passen naar jouw account. In Uriports vind je dit mailadres onder het account icoontje 'Settings'. Plak dat mail adres in je DMARC.

Hieronder, onder de kop "DMARC opbouw" (deel 1 en 2) lees je wat de betekenis van elke DMARC onderdeel is.

DMARC opbouw in observatie fase

+--------+-------+---------+-----------------------------------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+-----------------------------------------------------------+
| _dmarc | 1 dag | TXT | v=DMARC1; p=none; rua=mailto:dmarc@1a2b3c4d.uriports.com; |
| | | | rua=mailto:dmarc@1a2b3c4d.uriports.com; fo=1:d:s |
+--------+-------+---------+-----------------------------------------------------------+

DMARC observatie fase

Nadat DMARC is ingesteld begin je met het verzamelen van de online diensten die uit naam van het domein mails mag versturen. Denk aan facturen, nieuwsbrieven, voorraadbeheer, etc.. Controleer of dit lijstje overeenkomt met wat je in de DMARC rapportage ziet. Na een maand / anderhalve maand is er al een goed overzicht.

Werk je in een grotere organisatie? Noteer de diensten die je in de DMARC rapportage ziet en namens het domein mails verstuurt. Vraag bij de diverse afdelingen die ze logischerwijs zouden kunnen gebruiken. Stel voor elke legitieme dienst de SPF en DKIM bij. Zoek eventueel op de supportpagina's van deze online diensten hoe je de SPF en DKIM moet instellen of neem contact op met hun support team.

Opmerking: Het valt je misschien op dat "p=none" staat ingesteld. Met andere woorden: "Laat alle mail door, ook al voldoen ze niet aan SPF en DKIM!". In de observatie fase laat je alles door zodat je kunt zien wat er allemaal gebeurt, want mogelijk kom je toch nog een bekende maildienst tegen die namens jouw domein mail mag versturen.

DMARC opbouw - deel 1 de basis

Aan het begin van de regel start je met v=DMARC1. Je kunt dit terugvinden in de internet standaard van DMARC. Daarna volgt het beleid:

  • v=DMARC1” – Hiermee begint een SPF record zodat duidelijk is waar het om gaat (en de 1 is versie 1)

  • p=reject” – P is het domein, dus “voorbeeld.nl“. Voldoet een mail niet aan SPF of DKIM? Dan heb je de opties quarantine, reject of none. Met none worden alle mails gewoon doorgelaten, of het nou voldoet aan SPF of DKIM of niet. Niet gebruiken dus, zonde van je tijd.

  • sp=reject” – SP is voor alle subdomeinen. Bijvoorbeeld test.voorbeeld.nl. Als je geen mails verstuurd uit een subdomein, is reject de beste optie. Alle andere opties zijn dan ook geldig. Opmerking: Wanneer je SP niet gebruikt, zal automatisch de waarde van P worden gebruikt voor subdomeinen.


DMARC opbouw - deel 2 observatie / monitoring instellen

Zodra het account bij een van de DMARC report / monitor diensten is aangemaakt kun je het DMARC record verder aanvullen met deze optie:

  • rua=mailto:<mail adres>: RUA-rapporten (XML) de belangrijkste informatie welke mails van het domein voldoen aan SPF, DKIM en DMARC (authenticatiestatus).

  • ruf=mailto:<mail adres>: RUF-rapporten (platte tekst) zijn geredigeerde kopieën met forensisch detail van individuele mails die niet 100% voldoen aan DMARC.


Daarnaast geef je aan welke foutmeldingen je in de monitor wilt ontvangen. In het voorbeeld zie je deze combinatie: fo=1:d:s. Vergelijk dat met hieronder:

  • fo” – Met FO (Failure reporting Options, standaard is fo=0) geef je aan wat je in een forensisch rapport (ruf) terug wil zien.
    Combineren kan ook, bijvoorbeeld met "fo=1:d:s"

    • fo=0: Genereert een DMARC fout rapport wanneer SPF en DKIM (beide) falen.

    • fo=1: Genereert een DMARC fout rapport wanneer SPF of DKIM (een van beide) faalt.

    • fo=d: Genereert een DMARC fout rapport wanneer DKIM niet aan een mail aanwezig is / in orde is of niet kan worden gecontroleerd.

    • fo=s: Genereert een DMARC fout rapport wanneer de mailzender niet in SPF aanwezig is of SPF niet kan worden gecontroleerd (meer dan 10 SPF entries?).

Opmerking: RUA-rapporten worden één maal per dag door ontvangende mailservers verzonden. RUF-rapporten worden bijna direct na fouten verstuurd.

Je vindt meer tags bij dmarc.org en meer detail en achtergrond of in dit artikel van Google.


DMARC opbouw - Optioneel

  • adkim=s” – Met S(trict) worden mails die geen DKIM hebben geweigerd. Vergelijkbaar met SPF mechanisme. Standaard is R(elaxed).

  • "aspf=s" - Mails die niet afkomstig zijn systemen in jouw SPF lijst, worden met S strikt aangehouden. Standaard is R(elaxed).


Opmerking

Hierboven zie je staan dat als (nog niet alle) systemen niet in SPF staan, en (nog niet alle) DKIM aanwezig is het als fout wordt gezien, terwijl je SPF en DKIM nog niet hebt ingesteld. Dat klopt, dat gaan we nu op de actielijst zien en instellen.