DMARC

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

DMARC (Domain-based Message Authentication, Reporting and Conformance) is een verificatieprotocol voor e-mail. Het is ontworpen om de beheerders van e-maildomeinen de mogelijkheid te geven hun domein te beschermen tegen ongeoorloofd gebruik, beter bekend als e-mail spoofing. Het doel van DMARC is om een domein te beschermen tegen misbruik door CEO-fraude, phishingaanvallen en andere vormen van e-mailoplichterij.[1].

DMARC vormt een uitbreiding op twee bestaande e-mailverificatiemechanismen; namelijk het Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM). Net als SPF en DKIM is DMARC een DNS-instelling. Zodra deze is gepubliceerd, kan elke ontvangende e-mailserver de inkomende e-mail verifiëren op basis van de instructies in het DMARC beleid. Als de e-mail de authenticatie passeert, wordt deze afgeleverd en is deze te vertrouwen.[2] Als de e-mail de controle niet doorstaat, kan de e-mail, afhankelijk van de instructies in het DMARC-record, worden afgeleverd, in quarantaine worden geplaatst of worden geweigerd.

De functie van DMARC[bewerken | brontekst bewerken]

Een DMARC-beleid staat een afzender toe om aan te geven dat zijn of haar e-mails worden beschermd door SPF en/of DKIM, en vertelt een ontvangende mailserver wat het moet doen als geen van deze authenticatiemethoden slaagt. Dit heeft drie uitkomsten: 'niets', het bericht 'in quarantaine' plaatsen, of het bericht 'afwijzen'. Het beleid kan daarnaast ook aangeven dat en hoe een ontvangende server moet rapporteren over berichten die voorbijgaan en/of mislukken. Hiervoor wordt vaak een apart e-mailadres aangemaakt om rapportage heen te sturen, aangezien in het beginstadium van DMARC implementatie veel malafide e-mails aan het licht komen.

Het DMARC beleid wordt als TXT record gepubliceerd in het Public Domain Name System (DNS). Een goed ingesteld DMARC record kan positief effect hebben op de e-mail deliverability ('afleverbaarheid') van afzenders.

Alignment[bewerken | brontekst bewerken]

DMARC werkt door te controleren of de instellingen van het verzendende domein From: overeenkomen met de informatie in het bericht, zogenaamde "alignment". Zodra SPF en DKIM aligned zijn, is DMARC dat ook. SPF controleert of het IP-adres van de verzendende server is geautoriseerd door de eigenaar van het domein dat in het SMTP MAIL FROM commando verschijnt.

Met DKIM kunnen e-mails cryptografisch worden ondertekend en de handtekening moet het From: veld dekken. Een geldige handtekening bewijst dat de ondertekenaar een domeineigenaar is, en dat het From: -veld niet is gewijzigd sinds de handtekening werd toegepast. Er kunnen meerdere DKIM-handtekeningen op een e-mailbericht staan; DMARC vereist één geldige handtekening.

DNS-record[bewerken | brontekst bewerken]

DMARC-records worden in DNS gepubliceerd met een subdomeinlabel _dmarc, bijvoorbeeld _dmarc.example.com. Dit wordt vergeleken met het SPF record op example.com en de DKIM sleutels op selector._domainkey.example.com.

De inhoud van het TXT-bronrecord bestaat uit name=value tags, die gescheiden worden door puntkomma's. Bijvoorbeeld:

"v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com;"

Hier is v de versie van het beleid, p het beleid ('policy'), sp het beleid voor het subdomein en rua het adres om rapportages naartoe te verzenden. Er zijn twee vormen rapportage voor DMARC: Forensic en aggregate. Aggregate reports (rua) worden eenmaal per dag verzonden en bevatten informatie over de metadata van gefaalde berichten, terwijl forensic reports (ruf) kopieën van de originele e-mails bevatten.

Geschiedenis[bewerken | brontekst bewerken]

De DMARC-standaard werd voor het eerst gepubliceerd in 2012. Verschillende industriegiganten, waaronder PayPal, Google, Microsoft en Yahoo! hebben samengewerkt om de DMARC-specificatie RFC 7489[3] op te zetten. Aanvankelijk werden DMARC records voornamelijk in de financiële sector aangemaakt. Tegenwoordig maken er steeds meer organisaties gebruik van, hoewel het adoptiepercentage in Nederland [4] anno 2020 nog (te) relatief laag ligt. Net als SPF en DKIM is DMARC opgenomen op de pas-toe-of-leg-uitlijst[5] van Forum Standaardisatie (Rijksoverheid) en wordt het geadviseerd door het NCSC [6].

Bijdragers aan ontwikkeling/ondersteuning DMARC[bewerken | brontekst bewerken]

DMARC wordt door de volgende partijen ondersteund en bemiddeld:

  • E-mail Clients: AOL, Comcast, Google (Gmail), Mail.Ru, Microsoft (Outlook.com, Hotmail), Netease (163.com, 126.com, 188.com, yeah.net), XS4ALL, Yahoo, Yandex
  • Bemiddelaars: Agari, Cloudmark, DMARC Analyzer, dmarcian, EasyDMARC, Flowmailer, MailReport, Netcraft, OnDMARC, Postmark, PowerDMARC, Redsift, ReturnPath, Symantec, Trusted Domain Project, Valimail