Veilig emailen: DMARC records toevoegen

Domain-based Message Authentication, Reporting and Conformance (DMARC) is een e-mail validatie systeem. Je kunt DMARC instellen als je voor je domein zowel SPF als DKIM al actief hebt. Een DMARC record is een TXT record in je DNS waarbij je vastlegt wat een ontvangende server moet doen met een e-mail van je domein als die niet voldoet aan SPF en DKIM. 

Helaas is het zo dat elke spammer kan kiezen met welke afzender de spam-mail verstuurd wordt. Daarom adviseren wij sterk om naast SPF en DKIM ook een DMARC record toe te voegen om aan te geven aan ontvangers van deze onjuist met jouw domein verstuurde mail wat ze met die mail moeten doen.

Dus als je er last van hebt als spammers met jouw domein mailen, dan is DMARC met SPF en DKIM de oplossing!

Toevoegen van een DMARC record in cPanel

Voordat je een DMARC record toevoegd moet je controleren of er inderdaad al een SPF en DKIM record aanwezig is, zie de Hoasted SPF en DKIM handleiding. Alleen als die aanwezig zijn kun je de onderstaande stappen volgen om een DMARC record in te stellen:

  1. Log in op je cPanel account
  2. Ga naar Domeinen > 'Zone Editor'

  3. Klik Beheer (Manage) bij het domein en klik op het driehoekje rechts van 'Record toevoegen'-knop en selecteer Add "DMARC" Record:

    DMARC-record toevoegen

  4. Je krijgt dan drie keuzen hoe omgegaan moet worden door mailservers, als er een mail binnenkomt met dit domein afkomstig van een server die niet in de SPF staat en evenmin het juiste DKIM record heeft: Geen, Quarantaine of Delete:

    Keuzemenu voor DMARC-beleidsopties: Geen, Quarantaine, Reject

    A. Geen: behandel de mail op dezelfde manier als het gedaan zou worden zonder DMARC validatie

    B. Quarantaine: accepteer de mail maar stop het in de spammap 

    C. Reject: weiger de mail

    Wij adviseren minimaal Quarantaine, aangezien de mail onterecht namens jouw domein is verstuurd. De ontvangende server zal dan die mail veelal in de spammap van de ontvanger plaatsen. Bij Reject zal de mail geweigerd worden.

    Voor de internet.nl score op e-mail moet de policy voldoende strikt zijn ( p=quarantine  of  p=reject ) om misbruik van je domein door phishers en spammers tegen te gaan.

  5. Sla het record op met de knop 'Record Toevoegen'.

Het DMARC record is nu aangemaakt.

Optionele parameters

Als je regelmatig (bijvoorbeeld dagelijks) een rapport wilt, of extra keuzes wenst, klik je Optionele parameters:

Optionele parameters DMARC

Onderdelen:

  • Subdomain Policy, sp: of de DMARC ook moet gelden voor subdomeinen, bijvoorbeeld nieuws.domein.nl
  • DKIM Mode, adkim : strict wil zeggen dat de unieke DKIM key echt identiek dient te zijn met die van het verzendende domein. Stel dat de mail komt van @mail.domein.nl met een DKIM key van domein.nl zal die geweigerd worden. In geval van relaxed wordt dit nog wel toegelaten.

  • SPF Mode, aspf: strict wil zeggen dat het Mailfrom domein dezelfde moet zijn als in de Header From domein. (technisch: de sendmail_from is het adres waar bounces naar gestuurd worden en dat hoeft niet hetzelfde te zijn als de From).

    In geval van relaxed wordt het nog wel toegelaten als het om een subdomein gaat. 

    Voorbeeld: MailFrom: mail.domein.nl Header From: domein.nl Bij strict wordt dit tegengehouden, bij Relaxed toegelaten.

  • Percentage, pct: Als dit op 100% staat en de Policy: quarantaine of reject is, moet de ontvangende server alle mails die van een andere mailserver komen respectievelijk in de spam stoppen of weigeren. 
  • Generate Failure Reports When: je kunt kiezen of je het gerapporteerd wilt hebben als bij een mail alles niet correct is (zowel SPF als DKIM falen), of ook als een van beiden niet juist is.
  • Report Format rf: Kies daar altijd afrf, de defacto standaard, iodef wordt niet veel gebruikt en door MXTools ook afgeraden. 
  • Report interval, ri: om de hoeveel seconden een rapport gemaild moet worden. 86400 is 24 uur, dus een dagelijks rapport.
  • Send Aggregate Mail Reports To, rua: naar welk mail adres het rapport gemaild moet worden.
  • Send Failure Reports To, ruf: naar welke meerdere adressen het rapport gemaild moet worden, de adressen moeten door een comma zonder spatie genoemd worden. In cPanel geef je in als voorbeeld: info@domein.nl,postmaster@domein.nl

Controle DMARC record

Om het DMARC record te controleren van je domein ga je naar MX Toolbox. Je vult het domein in en krijgt dan de uitslag. Als DMARC goed is, heb je bij alle vijf elementen positief gescoord:

Controle DMARC record

Heeft dit artikel je goed geholpen? Dank voor je feedback! Er is een probleem opgetreden bij het verzenden. Probeer opnieuw.

Gerelateerde artikelen