11min Security

Wat is DMARC, hoe werkt het en vooral: waarom wil je het hebben?

Wat is DMARC, hoe werkt het en vooral: waarom wil je het hebben?

DMARC is een beveiligingsprotocol dat controleert of een e-mail is verstuurd vanuit het domein waarvan het ook zegt afkomstig te zijn. In een grillig securitylandschap is de implementatie van dit protocol een relatief eenvoudige stap die snel meer veiligheid kan opleveren. Veel bedrijven en organisaties maken er nog geen gebruik van, dus hier is nog een wereld te winnen.

Als het aankomt op e-mailbeveiliging wil iedereen natuurlijk graag spam en andere ongewenste e-mails blokkeren. Maar van de andere kant bekeken wil je als bedrijf – bijvoorbeeld als je nieuwsbrieven of advertentiemails verstuurt – ook dat jouw e-mails altijd goed aankomen bij (potentiële) klanten die deze willen ontvangen. Tegelijkertijd moet je voorkomen dat kwaadwillenden zich voordoen als jouw bedrijf. Eén van de krachtigste instrumenten die bedrijven hiervoor kunnen gebruiken, is DMARC: Domain-based Message Authentication, Reporting & Conformance.

Google en Yahoo hebben het gebruik van dit protocol al verplicht gesteld voor bulkmailers. Dat wil zeggen dat ze e-mails vanuit platforms als Mailchimp, Spotler, ActiveCampaign en Sendinblue als spam aanmerken wanneer DMARC niet is geïmplementeerd in combinatie met ten minste één ander beveiligingsprotocol. In elk geval geldt dit voor domeinen die dagelijks meer dan 5.000 e-mails de wereld insturen.

Verplicht voor overheidsdiensten

Wie minder verstuurt, krijgt een soepelere behandeling, maar de vraag is hoe lang die uitzonderingspositie blijft. Ook de overheid heeft het gebruik van DMARC inmiddels verplicht gesteld voor overheden en uitvoeringsorganisaties, tenzij ze een bijzonder goede reden hebben om van deze richtlijn af te wijken (het zogeheten ‘Pas toe of leg uit-principe). Andere organisaties krijgen het dringende advies het protocol te gaan gebruiken als ze dat nog niet doen.

Overigens gaan de vereisten van Google en Yahoo verder dan alleen DMARC. Verzenders van meer dan 5.000 e-mails per dag moeten hun domeinen ook authentiseren met TLS (Transport Layer Security), SPF (Sender Policy Framework) en/of DKIM (DomainKeys Identified Mail). TLS is een cryptografisch protocol voor het beveiligen van communicatie over netwerken, waaronder e-mail. Het zorgt ervoor dat de inhoud van berichten onderweg niet te lezen is door derden. Het beveiligt dus de transportlaag, maar is geen authentisatieprotocol zoals SPF en DKIM. Over die laatste twee hebben we het verderop nog.

Vaak nog niet ingesteld

In Nederland en België hebben veel bedrijven nog geen DMARC-records ingesteld. Recent onderzoek van het CBS toont aan dat iets meer dan de helft van de bedrijven met twee of meer medewerkers DMARC heeft ingesteld, maar slechts 13,6 procent met voldoende streng beleid (betekenis: verdachte e-mails worden daadwerkelijk gefilterd). Grote bedrijven met 250 of meer werknemers hebben hun DMARC het best op orde: 44,1 procent, ook nog eens met voldoende strikt beleid.

Voor België meldde hostingprovider Nomeo in september dat bij 450.000 onderzochte domeinen slechts voor 23 procent een DMARC-record is ingesteld. Slechts 5 procent van die domeinnamen weert verdachte berichten daadwerkelijk uit de mailbox.

Wat doet DMARC?

DMARC is een protocol voor e-mailauthenticatie en moet voorkomen dat kwaadwillenden mails versturen waarvan het lijkt alsof ze van een betrouwbaar domein komen. Een domein is het deel van een e-mailadres dat na de ‘at’ (@) komt, zoals ‘mijnbedrijf.nl’. Het is dus het adres van de organisatie of website die de e-mail verstuurt. Ontvanger willen natuurlijk dat altijd duidelijk is waar een e-mail vandaan komt en DMARC helpt daarbij.

Cybercriminelen willen nog wel eens doen alsof hun phishingmail of andere malafide berichtgeving van een legitiem domein afkomstig is. Deze techniek heet spoofing. Dit gebeurt meestal door het afzenderadres in de e-mail te vervalsen, zodat het lijkt alsof het bericht van een legitiem bedrijf of persoon komt. Dit kan op verschillende manieren, zoals het eenvoudigweg aanpassen van de afzendernaam die meestal als eerste toont in mailprogramma’s van beoogde slachtoffers (terwijl een blik op het daadwerkelijk gebruikte e-mailadres zou laten zien dat het ergens anders vandaan komt).

Maar ook het versturen van mails die het daadwerkelijke domein van een legitieme organisatie na te bootsen is mogelijk door aanpassingen in de SMTP-server (die de e-mail verzendt). Criminelen doen dit door een vervalsingsmethode in de code van hun eigen e-mailsoftware of via geavanceerde tools die het mogelijk maken om het afzenderadres te manipuleren. Het kan zeer lastig zijn deze malafide mails te detecteren. Voor beveiligingssoftware, maar zeker ook voor menselijke ontvangers.

Hoe werkt DMARC?

Het belangrijkste doel van DMARC is om het vertrouwen (van mensen, welteverstaan) in e-mailcommunicatie herstellen door ervoor te zorgen dat alleen legitieme berichten worden afgeleverd. Het werkt in combinatie met andere beveiligingsprotocollen zoals SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), die helpen bij het verifiëren van de afzender van een e-mail.

Dit werkt als volgt: SPF controleert of een inkomende e-mail afkomstig is vanaf een geautoriseerde server die is opgenomen in het SPF-record van het domein. DKIM verifieert of de e-mail daadwerkelijk afkomstig is van het domein waarvan het beweert te komen, door een digitale handtekening te verifiëren.

DMARC zorgt er ten slotte voor dat deze twee mechanismen effectief samenwerken. Het vergelijkt het domein in het afzenderveld van de e-mail met de domeinen die SPF en DKIM hebben geverifieerd. Wanneer een e-mail een van de beveiligingschecks (SPF of DKIM) niet doorstaat, treedt de DMARC-policy in werking, die bepaalt wat er met zo’n mail moet gebeuren. Domeinbeheerders bepalen zelf welke actie moet volgen wanneer een mail de toets der kritiek niet kan doorstaan.

Policy en rapportage

Er zijn drie belangrijke DMARC-policy-instellingen. Allereerst: als er geen actie nodig is, dan geldt het nulbeleid p=none. Het is dan nog steeds mogelijk te rapporteren over de e-mailstatus. Dat is nuttig voor testdoeleinden of wanneer beheerders niet meteen het strengste beleid willen implementeren dat mogelijk is (omdat dit waarschijnlijk ook legitieme mails zou blokkeren), maar wel op de hoogte willen blijven of iets moeten kunnen terugzoeken. De tweede policy is p=quarantine: de e-mail krijgt het predikaat ‘verdacht’ en krijgt een enkeltje richting de spamfolder van de ontvanger.

Dan is er nog p=reject. Dit is de strengste policy en betekent dat de mail niet eens in de inbox (of de spamfolder) van de ontvanger terecht komt. Ook blijft het niet in de server hangen, de afzender ontvangt doorgaans een bounce-back of foutmelding waarin staat dat het bericht is geweigerd omdat het niet voldeed aan de DMARC-beleidsregels (bijvoorbeeld vanwege een mislukte SPF- of DKIM-controle). Het kiezen van een strengere policy kan de kans op spoofing en phishing-aanvallen verminderen, maar het kan ook legitieme e-mails blokkeren als de afzender een en ander niet goed heeft geconfigureerd.

De rapportagefunctie van DMARC vervolgens, biedt domeineigenaren inzicht in al het e-mailverkeer dat hun domein gebruikt. Dat helpt bij het sneller identificeren van misbruik en andere beveiligingsrisico’s. Zo kunnen ze dankzij DMARC te weten komen dat iemand probeert e-mails te sturen die eruit zien alsof ze van hun bedrijf komen, terwijl dat eigenlijk niet zo is.

Dergelijke rapporten komen in twee smaken: geaggregeerd of forensic. Die eerste betreft een globale samenvatting, de tweede toont waarom een specifieke mail is afgewezen. Een forensic rapport wordt meestal pas opgevraagd nadat het geaggregeerde rapport reden heeft gegeven voor nader onderzoek. Voor de goede orde: de rapportagefunctie is alléén beschikbaar als er daadwerkerkelijk een DMARC-record is ingesteld.

Over DMARC-records

Een DMARC-record wordt opgeslagen in de DNS (Domain Name System) van het domein. Dit record is een TXT-record en bevat de DMARC-policy, evenals de e-mailadressen waar rapporten naartoe moeten worden gestuurd. Zo’n record kan er bijvoorbeeld zo uitzien:

v=DMARC1; p=quarantine; rua=mailto:admin@mijnbedrijf.nl; ruf=mailto:admin@mijnbedrijf.nl,mailto:support@mijnbedrijf.nl; pct=100

Wat betekent dit allemaal?

  • v=DMARC1: Geeft de versie van DMARC aan.
  • p=quarantine: Het beleid voor e-mails die de verificatie niet doorstaan.
  • rua=mailto:dmarc-aggregate@mydomain.com: Het adres waar geaggregeerde rapporten naartoe moeten.
  • ruf=mailto:dmarc-afrf@mydomain.com: Het adres voor forensische rapporten over specifieke e-mails, die bijvoorbeeld de DMARC-test niet doorstaan (dit kan overigens voor elke mail, ook legitieme). In dit voorbeeld gaat er zowel een mail naar hetzelfde adres dat ook de geaggregeerde rapporten ontvangt, alsmede naar een ander adres. Dit is bijvoorbeeld een medewerker die dergelijke forensische rapporten nader onderzoekt.
  • pct=100: Het percentage van de e-mails dat onder het DMARC-beleid moet vallen.

Wat moet een klant van een bulkmail-platform doen?

Natuurlijk zijn e-mails die bedrijven verzenden via bulkmailplatforms zoals Mailchimp meestal niet direct afkomstig van de platformdomeinen zelf (zoals @mailchimp.com), maar van een eigen domein van het bedrijf dat de e-mailcampagne verzendt (bijvoorbeeld @mijnbedrijf.nl).

Wat Google, Yahoo, de overheid en al die andere autoriteiten of platformeigenaren bedoelen wanneer ze zeggen dat ze DMARC verplicht stellen, is dat de eigenaar van het afzenderdomein (in dit geval @mijnbedrijf.nl) deze standaard moet implementeren, ook als de e-mailtechnologie van een derde partij wordt gebruikt om de e-mail te verzenden. Dit betekent dat het bedrijf dat @mijnbedrijf.nl beheert, verantwoordelijk is voor de juiste DMARC-configuratie, en niet de e-mailserviceprovider zoals Mailchimp, Spotler of ActiveCampaign.

Dit werkt als volgt: Wanneer een bedrijf e-mails verstuurt via Mailchimp, gebeurt het versturen van de mails via de servers van Mailchimp (of Spotler, of ActiveCampaign, Sendinblue etc.). De e-mail moet echter het domein @mijnbedrijf.nl authentiseren via SPF of DKIM. Dit gebeurt door middel van speciale records in de DNS van het @mijnbedrijf.nl-domein.

DMARC valideert of de e-mail voldoet aan SPF en/of DKIM en controleert of het bericht daadwerkelijk afkomstig is van het opgegeven domein @mijnbedrijf.nl. Als het bedrijf geen DMARC-record heeft ingesteld of niet voldoet aan de vereisten (bijvoorbeeld als de SPF- of DKIM-authenticatie mislukt), kan het ontvangende platform, de e-mailclient of de provider de e-mail markeren als spam.

Het is dus altijd de verantwoordelijkheid van de verzender – het bedrijf dat de e-mails verstuurt, ook als dat via een bulkmailplatform gebeurt – om ervoor te zorgen dat het eigen domein goed is ingesteld met een geldige DMARC-configuratie, inclusief SPF- en DKIM-records die de e-maildiensten van de derde partij toestaan om e-mails namens hen te verzenden.

Enkele best practices voor DMARC-implementatie

Voor een succesvolle implementatie van DMARC, zijn de volgende stappen weliswaar laaghangend fruit, maar toch goed om nog even op een rijtje te zetten:

  1. Implementeer SPF en DKIM voordat je DMARC inschakelt: DMARC vereist dat SPF en DKIM goed zijn ingesteld om te kunnen functioneren.
  2. Start met een zachte policy: Begin met de p=none instelling om rapporten te ontvangen zonder direct e-mails te blokkeren.
  3. Monitor en verfijn je instellingen: Gebruik de ontvangen DMARC-rapporten om te begrijpen welk verkeer je domein gebruikt en pas je instellingen aan om het beleid waar nodig strenger te maken.
  4. Controleer derde partijen: Als je gebruikmaakt van derde partijen voor e-mailcampagnes of marketing, zorg dan dat ook zij SPF, DKIM en DMARC correct implementeren.

Waarom DMARC gebruiken?

Dit artikel heeft hopelijk duidelijk gemaakt waarom het gebruik van DMARC belangrijk is voor e-mailbeveiliging, maar het kan geen kwaad de voordelen nog eens op te sommen. Die gaan over meer dan enkel verplicht gestelde security-maatregelen.

Allereerst beschermt DMARC (in combinatie met andere protocollen) tegen spoofing en phishing. Dit door te voorkomen dat cybercriminelen de naam van een legitiem bedrijf misbruiken om phishing-aanvallen uit te voeren, of dit in elk geval een stuk lastiger maken. Ook helpt DMARC bij betere zichtbaarheid van en rapportage over e-mails. Gebruikers van dit protocol ontvangen gedetailleerde rapporten over e-mailverkeer dat gebruik maakt van hun domein. Die helpen misbruik snel te identificeren en aan te pakken.

Daarnaast kan het gebuik van DMARC het vertrouwen in je merk vergroten. Je beschermt immers niet alleen je domein, maar ook het vertrouwen van klanten en partners die afhankelijk zijn van de veiligheid van jouw e-mailcommunicatie.

En dan nog iets…

Daarnaast zijn er sector-specifieke verplichtingen die zijdelings met DMARC en andere protocollen te maken hebben. Een goed voorbeeld zijn de nieuwe PCI DSS v4.0-normen (Payment Card Industry Data Security Standard) die vanaf maart 2025 van kracht worden. Bedrijven moeten deze set beveiligings-standaarden volgen om de gegevens van creditcardhouders te beschermen.

Hoewel DMARC geen expliciete vereiste is binnen deze normen, helpt het wel degelijk om te voldoen aan de bredere beveiligingsdoelen die deze standaard voorstaat. Veilig e-mailen is essentieel voor organisaties die betalingen verwerken, vooral gezien de risico’s van phishing en andere social engineering-aanvallen waarbij criminelen via misleiding nietsvermoedende gebruikers hun gevoelige data ontfutselen. Via een geslaagde phishingcampagne kunnen die namelijk toegang krijgen tot systemen die onder PCI DSS vallen, zoals klantgegevens of betaalinformatie.

Lees ook: Kwart retailers gebruikt nog geen authenticatiesoftware