DMARC-rapporten: Hoe ze te lezen en te gebruiken

Dit artikel legt uit hoe je de dagelijkse DMARC-rapporten kunt interpreteren die door ontvangende mailservers worden verzonden.

Inleiding:

DMARC, wat staat voor Domain-based Message Authentication, Reporting and Conformance, is een e-mailverificatieprotocol. Het voegt een extra beveiligingslaag toe door voort te bouwen op bestaande mechanismen (SPF en DKIM) om identiteitsvervalsing en phishingpogingen effectief te voorkomen. DMARC stelt domeineigenaren ook in staat om rapporten te ontvangen over e‑mails die namens hun domein worden verzonden, zodat ze beter kunnen controleren hoe hun domein wordt gebruikt.

Deze standaard beschermt je domein tegen frauduleus gebruik door spammers die het afzenderadres (“From”) kunnen vervalsen om het te laten lijken alsof de e‑mail afkomstig is van een legitieme gebruiker van jouw domein. DMARC voorkomt dit soort vervalsing door te controleren of e‑mails daadwerkelijk gemachtigd zijn om namens jouw domein te worden verzonden.

DMARC steunt op andere standaard authenticatieprotocollen, zoals SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), om beheerders te helpen frauduleuze e-mails van cyberaanvallers te identificeren. Door deze mechanismen te combineren, versterkt DMARC de mogelijkheid om spoofing te detecteren en de reputatie van je domein te beschermen.

Opmerking: Wanneer je je domein verifieert op systeme.io, worden de SPF- en DKIM-records automatisch aan je domein toegevoegd.

Het DMARC-protocol stelt afzenders in staat een beleid te definiëren dat bepaalt hoe ontvangende servers moeten omgaan met e‑mails die niet slagen voor SPF- of DKIM-controles. Volgens dit beleid kunnen niet-conforme berichten als spam worden gemarkeerd of volledig worden geweigerd.

Wat zijn DKIM en SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM is een methode voor e‑mailverificatie die gebruikmaakt van een digitale handtekening, zodat ontvangers kunnen controleren dat een bericht is verzonden door een geautoriseerde afzender en niet is gewijzigd tijdens de overdracht.

Wanneer een e-mail wordt verzonden, wordt deze ondertekend met een privésleutel die is gekoppeld aan het domein van de afzender. Bij ontvangst gebruikt de e-mailserver van de afzender (zoals Gmail, Outlook, enz.) de publieke sleutel die in de DNS van het domein staat om de handtekening te valideren. Dit garandeert dat de inhoud van de e‑mail niet is gemanipuleerd.

Met andere woorden: DKIM voorkomt dat derden een e‑mail onderscheppen, wijzigen en vervolgens met frauduleuze informatie doorsturen.

Een bijkomend voordeel is dat DKIM helpt bij het opbouwen van de reputatie van je verzenddomein. Internet Service Providers (ISP's) analyseren de verzendkwaliteit (spampercentages, bouncepercentages, betrokkenheid van ontvangers, enz.) om de betrouwbaarheid van een domein te beoordelen. Het naleven van deze beste praktijken verbetert direct je e‑mailafleverbaarheid.

2. SPF (Sender Policy Framework)

SPF is een e-mailverificatieprotocol waarmee ISP's, zoals Gmail, kunnen controleren of een mailserver gemachtigd is om e‑mails te verzenden namens een bepaald domein. In feite is het een toegangslijst in de DNS van het domein die aangeeft welke diensten of IP‑adressen namens jou mogen verzenden.

Wanneer een bericht wordt ontvangen, controleert de ontvangende server of de afzender op de toegestane lijst staat die in het SPF-record is gedefinieerd. Zo niet, dan kan het bericht als verdacht worden gemarkeerd of worden geweigerd.

Wat zijn de voordelen van DMARC?

Bescherm je domeinreputatie

DMARC beschermt je merk en domein tegen spoofingpogingen. Het voorkomt dat onbevoegde partijen e-mails verzenden namens jouw domein. In sommige gevallen kan het publiceren van een DMARC-record je domeinreputatie bij e-mailproviders al verbeteren.

Betere zichtbaarheid van domeingebruik

DMARC-rapporten geven duidelijk inzicht in hoe je domein wordt gebruikt, legitiem of niet. Je ziet wie er namens jouw domein e-mails verzendt en snel verdachte activiteiten opsporen.

Verbeter de e‑mailafleverbaarheid

DMARC controleert of je e‑mails correct zijn geauthenticeerd via SPF en DKIM. Door problemen op te sporen en op te lossen, vergroot je de kans dat je e‑mails in de inbox terechtkomen en verklein je de kans dat ze als spam worden gemarkeerd.

Verminder spam en klachten

Door vervalste e-mails te voorkomen dat ze eindgebruikers bereiken, helpt DMARC spamklachten te verminderen en beschermt het de reputatie van je domein bij ISP’s.

DMARC‑rapporten stellen je in staat om de resultaten van e‑mailauthenticatie te analyseren en actie te ondernemen om de reputatie van je domein of bedrijf te beschermen.

Een DMARC-rapport bevat doorgaans de volgende informatie:

  • Naam van de entiteit (organisatie of provider) die het rapport genereert
  • Rapportageperiode (start- en einddatum)
  • Authenticatiestatus: geslaagd of mislukt voor SPF en DKIM
  • SPF/DKIM-alignment: of de records correct overeenkomen met het verzendende domein
  • Afzender-IP-adres van het geanalyseerde bericht
  • Actie ondernomen door de ontvangende server (geaccepteerd, in quarantaine geplaatst of geweigerd)

Deze rapporten bieden waardevolle inzicht in het e‑mailverkeer dat jouw domein gebruikt en helpen spoofingpogingen te detecteren.

Voordelen van het monitoren van DMARC-rapporten

Regelmatige monitoring van DMARC-rapporten biedt verschillende belangrijke voordelen voor domeinbeheerders:

  • Identificeer en los authenticatieproblemen op

    Rapporten tonen SPF- en DKIM-fouten die kunnen veroorzaken die ervoor kunnen zorgen dat je e‑mails in spam belanden. Door deze fouten te corrigeren, verbeter je je domeinreputatie en afleverbaarheid.

  • Betere controle over verzendbronnen

    Met behulp van rapportgegevens kun je controleren of alle e‑mails die namens jouw domein worden verzonden afkomstig zijn van legitieme bronnen. Spoofing of ongeautoriseerde verzendpogingen worden snel zichtbaar.

  • Naleving van regelgevende vereisten

    Door de groei van e‑mailverkeer eisen steeds meer partijen, waaronder e-mailproviders zoals Google, de implementatie van authenticatieprotocollen zoals DMARC. Bijvoorbeeld, sinds februari 2024 moeten bepaalde verzenders aan deze standaarden voldoen om de veiligheid van het platform te waarborgen.

  • Bewijs van naleving

    Gearchiveerde kopieën van je DMARC-rapporten kunnen dienen als tastbaar bewijs van naleving van beveiligings- en communicatievoorschriften.

Voorbeeld van een DMARC-rapport

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Hoe lees je een DMARC-rapport:

Je hebt twee opties: het rapport handmatig analyseren of AI‑hulp gebruiken.

A) Handmatig ontleden en interpreteren van een DMARC-rapport

De uitleg hieronder is gebaseerd op het voorbeeld hierboven:

  1. Je ISP, de naam van de e‑mailprovider:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
  1. Rapportidentificatienummer:
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
  1. Datumbereik (start en einde in seconden):
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
  1. DMARC‑record­specifcaties zoals gepubliceerd in de DNS‑instellingen van je domein:
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
  1. IP-adres van de verzendende bron:
<source_ip>XXX.XXX.XXX.XXX</source_ip>
  1. Samenvatting van authenticatieresultaten (SPF/DKIM geslaagd/mislukt):
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
  1. Van: domein:
<header_from> yourdomain.com</header_from>
  1. SPF-authenticatieresultaten:
<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>
  1. DKIM-authenticatieresultaten:
<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Gebruik AI zoals ChatGPT om een DMARC-rapport te analyseren

Je kunt AI-tools, zoals ChatGPT, gebruiken om een DMARC-rapport te analyseren en te interpreteren. Deze sectie toont stapsgewijze instructies.

  1. Zoek het DMARC-rapport

Open de e-mail met de XML-bijlage (deze worden meestal automatisch verzonden door ontvangende mailservers).

  1. Open het XML-bestand

Download het bestand en open het in een eenvoudige teksteditor, zoals Notepad (Windows) of TextEdit (Mac).

  1. Kopieer de inhoud

Selecteer de volledige XML-inhoud en kopieer deze.

  1. Plak het in ChatGPT

Ga naar ChatGPT en plak de XML-inhoud in het chatvenster. Je kunt bijvoorbeeld vragen:

“Kun je dit DMARC-rapport analyseren en aangeven of er e-mails zijn die SPF- of DKIM-controles niet hebben doorstaan?”

  1. Interpreteer de resultaten

ChatGPT zal de tags in het rapport analyseren en een duidelijke, gestructureerde uitleg geven, zoals: afzender, SPF/DKIM-resultaten, gebruikt IP-adres, genomen actie (geaccepteerd, in quarantaine geplaatst, geweigerd), enz.

Aanbevelingen om verder te gaan

Nu je weet hoe je DMARC implementeert, welke voordelen het biedt en hoe je rapporten interpreteert, heb je een belangrijke eerste stap gezet in het beschermen van de reputatie van je domein.

Maar als domeineigenaar stopt je verantwoordelijkheid daar niet: dit is een doorlopend proces dat regelmatige opvolging en aanpassingen vraagt.

Hier zijn enkele doorlopende beste praktijken:

  • Controleer regelmatig je DMARC-rapporten

    Controleer rapporten vaak om ongeautoriseerde verzendpogingen op te sporen.

  • Analyseer de gegevens en onderneem corrigerende acties

    Los eventuele verificatieproblemen (SPF/DKIM) snel op en pas je beleid aan waar nodig om de verzendbeveiliging te versterken.

  • Gebruik je domein op een verantwoorde manier

    Volg goede verzendpraktijken (gekwalificeerde contactlijsten, lage spampercentages, relevante inhoud) om je domeinreputatie en e-mailbezorging te behouden