DMARC (Domain-based Message Authentication, Reporting and Conformance) is een verificatieprotocol voor e-mail. Het is ontworpen om de beheerders van e-maildomeinen de mogelijkheid te geven hun domein te beschermen tegen ongeoorloofd gebruik, beter bekend als e-mail spoofing. Het doel van DMARC is om een domein te beschermen tegen misbruik door CEO-fraude, phishingaanvallen en andere vormen van e-mailoplichterij.[1]
DMARC vormt een uitbreiding op twee bestaande e-mailverificatiemechanismen; namelijk het Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM). Net als SPF en DKIM is DMARC een DNS-instelling. Zodra deze is gepubliceerd, kan elke ontvangende e-mailserver de inkomende e-mail verifiëren op basis van de instructies in het DMARC beleid. Als de e-mail de authenticatie passeert, wordt deze afgeleverd en is deze te vertrouwen.[2] Als de e-mail de controle niet doorstaat, kan de e-mail, afhankelijk van de instructies in het DMARC-record, worden afgeleverd, in quarantaine worden geplaatst of worden geweigerd.
De functie van DMARC
Een DMARC-beleid staat een afzender toe om aan te geven dat zijn of haar e-mails worden beschermd door SPF en/of DKIM, en vertelt een ontvangende mailserver wat het moet doen als geen van deze authenticatiemethoden slaagt. Dit heeft drie uitkomsten: 'niets', het bericht 'in quarantaine' plaatsen, of het bericht 'afwijzen'. Het beleid kan daarnaast ook aangeven dat en hoe een ontvangende server moet rapporteren over berichten die voorbijgaan en/of mislukken. Hiervoor wordt vaak een apart e-mailadres aangemaakt om rapportage heen te sturen, aangezien in het beginstadium van DMARC implementatie veel malafide e-mails aan het licht komen.
Het DMARC beleid wordt als TXT record gepubliceerd in het Public Domain Name System (DNS). Een goed ingesteld DMARC record kan positief effect hebben op de e-mail deliverability ('afleverbaarheid') van afzenders.
Alignment
DMARC werkt door te controleren of de instellingen van het verzendende domein From:
overeenkomen met de informatie in het bericht, zogenaamde "alignment". Zodra SPF en DKIM aligned zijn, is DMARC dat ook. SPF controleert of het IP-adres van de verzendende server is geautoriseerd door de eigenaar van het domein dat in het SMTP MAIL FROM commando verschijnt.
Met DKIM kunnen e-mails cryptografisch worden ondertekend en de handtekening moet het From:
veld dekken. Een geldige handtekening bewijst dat de ondertekenaar een domeineigenaar is, en dat het From:
-veld niet is gewijzigd sinds de handtekening werd toegepast. Er kunnen meerdere DKIM-handtekeningen op een e-mailbericht staan; DMARC vereist één geldige handtekening.
DNS-record
DMARC-records worden in DNS gepubliceerd met een subdomeinlabel _dmarc
, bijvoorbeeld _dmarc.example.com
. Dit wordt vergeleken met het SPF record op example.com
en de DKIM sleutels op selector._domainkey.example.com
.
De inhoud van het TXT-bronrecord bestaat uit name=value
tags, die gescheiden worden door puntkomma's. Bijvoorbeeld:
"v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com;"
Hier is v
de versie van het beleid, p
het beleid ('policy'), sp
het beleid voor het subdomein en rua
het adres om rapportages naartoe te verzenden. Er zijn twee soorten rapportage voor DMARC: Failure en aggregate. Aggregate reports (rua
) worden eenmaal per dag verzonden en bevatten informatie over de metadata van alle berichten, terwijl failure reports (ruf
) kopieën van de originele e-mails bevatten die gefaald zijn.[3]
Geschiedenis
De DMARC-standaard werd voor het eerst gepubliceerd in 2012. Verschillende industriegiganten, waaronder PayPal, Google, Microsoft en Yahoo! hebben samengewerkt om de DMARC-specificatie RFC 7489[4] op te zetten. Aanvankelijk werden DMARC records voornamelijk in de financiële sector aangemaakt. Tegenwoordig maken er steeds meer organisaties gebruik van, hoewel het adoptiepercentage in Nederland[5] anno 2022 nog (te) relatief laag ligt.[6] Net als SPF en DKIM is DMARC opgenomen op de pas-toe-of-leg-uitlijst[7] van Forum Standaardisatie (Rijksoverheid) en wordt het geadviseerd door het NCSC.[8]
Bijdragers aan ontwikkeling/ondersteuning DMARC
DMARC wordt door de volgende partijen ondersteund en bemiddeld:
- E-mail Clients: AOL, Comcast, Google (Gmail), Mail.Ru, Microsoft (Outlook.com, Hotmail), Netease (163.com, 126.com, 188.com, yeah.net), XS4ALL, Yahoo, Yandex
- Bemiddelaars: Agari, Cloudmark, DMARC Advisor, DMARC Analyzer, dmarcian, EasyDMARC, Flowmailer, MailReport, Netcraft, OnDMARC, Postmark, PowerDMARC, Redsift, ReturnPath, Symantec, Trusted Domain Project, Valimail
- ↑ Davids, Marco, Waar DKIM en DMARC kunnen helpen in geval van phishing. www.sidn.nl. SIDN (20 augustus 2015). Gearchiveerd op 30 juni 2020. Geraadpleegd op 30 juni 2020.
- ↑ Blijleven, Tom, Dé kans die je nu laat liggen in jouw e-mailcommunicatie. Frankwatching (29 juni 2020). Gearchiveerd op 30 juni 2020. Geraadpleegd op 30 juni 2020.
- ↑ DMARC Failure Reports (Forensic Reports) Explained.. Gearchiveerd op 20 februari 2022. Geraadpleegd op 20 februari 2022. “DMARC failure reports were previously known as DMARC forensic reports.”
- ↑ RFC 7489: "Domain-based Message Authentication, Reporting, and Conformance (DMARC)"
- ↑ Trage dmarc-adoptie is schadelijk voor Nederland. Computable. Gearchiveerd op 9 augustus 2021. Geraadpleegd op 9 augustus 2021.
- ↑ Groeneweg, Martijn, Phishing Scorecard van Nederland (6 april 2022). Gearchiveerd op 24 juni 2023. Geraadpleegd op 6 april 2022.
- ↑ Verplichte standaarden | Forum Standaardisatie. www.forumstandaardisatie.nl. Gearchiveerd op 26 juli 2020. Geraadpleegd op 30 juni 2020.
- ↑ Factsheet Bescherm domeinnamen. www.ncsc.nl. Gearchiveerd op 9 augustus 2021. Geraadpleegd op 9 augustus 2021.