DMARC-record toevoegen aan DNS
Wat is een DMARC record en hoe voeg ik DMARC toe aan mijn DNS. Een DMARC-record bevat belangrijke instructies over hoe berichten die de e-mailverificatie niet doorstaan, moeten worden afgehandeld door mailingservers.
In dit artikel leggen we aan de hand van voorbeelden uit wat een DMARC-record is en laten we u zien hoe u een DMARC-record aan uw DNS kunt toevoegen.
Ben je klaar? Laten we dan aan de slag gaan!
Wat is een DMARC record?
Een DMARC-record is een TXT-record dat instructies bevat over hoe een e-mailserver moet omgaan met een e-mail die niet kan worden geverifieerd. DMARC (Domain-based Message Authentication, Reporting and Conformance) is ontworpen om e-mailmisbruik te verminderen. Met DMARC-records kunt u bepalen of e-mailontvangers een verdachte e-mail moeten weigeren, in quarantaine plaatsen of niet moeten behandelen.
Hoe werkt DMARC?
DMARC maakt gebruik van twee bestaande e-mailverificatieprotocollen (SPF en DKIM) om e-mailontvangers te helpen de authenticiteit van een bericht te bepalen en te beslissen of het bericht in de inbox wordt afgeleverd of naar een quarantaine- of spammap wordt verplaatst, volgens de richtlijnen van de afzender.
Het is belangrijk om een DMARC-record aan te maken, omdat het servers helpt legitieme e-mails van valse e-mails te onderscheiden. Dit minimaliseert cyberdreigingen zoals phishing, e-mailspoofing en CEO-fraude. Daarom moet u een DMARC-record maken om een betere e-mailbeveiliging te garanderen.
DMARC – Beleid en parameters
Een typisch DMARC-record bevat ten minste drie belangrijke componenten (of tag-waardeparen). Hier is een voorbeeld van een DMARC-record:
v=DMARC1; p=reject; rua=mailto:contact@joewp.comHier hebben we drie tags: v, p en rua met de waarden DMARC1, reject en mailto: contact@joewp.com.
De v-tag geeft de versie van DMARC aan, de p-tag is het beleid (of de actie die moet worden ondernomen als e-mails de DMARC-controles niet doorstaan) en de rua-tag is het e-mailadres waarop u geaggregeerde DMARC-rapporten wilt ontvangen.
In ons voorbeeld heeft de p-tag de waarde “reject”. Het beleid definieert hier een weigering wanneer de verificatie van een bericht mislukt.
DMARC – Richtlijnen
Er zijn drie verschillende DMARC-beleidsregels
Geen – Geen maatregelen
Quarantaine – behandel de e-mail in kwestie als verdacht en markeer deze bijvoorbeeld dienovereenkomstig of verplaats deze naar de spam-map
Weigeren – Weiger de betreffende e-mail
DMARC – Optionele parameters
Optionele parameters die u kunt gebruiken:
sp = beleid voor de subdomeinen
pct = het percentage e-mailberichten waarop het DMARC-beleid moet worden toegepast, standaard is 100 procent
rua = door komma’s gescheiden lijst van e-mailadressen waarnaar het totale rapport moet worden gestuurd
ri = max. Interval in seconden, dat kan bestaan tussen het verzenden van de individuele totale rapporten, standaard is “86400” seconden = 24 uur
ruf = door komma’s gescheiden lijst van e-mailadressen om een gedetailleerd rapport te verzenden van de e-mailberichten die de DMARC-evaluatie niet hebben doorstaan
RF = formaat voor gedetailleerd rapport, standaard en momenteel alleen ondersteund formaat is “AFRF”
fo = gedetailleerde rapportopties, opties zijn “0”, “1”, “d” en “s”, verschillende opties worden gescheiden door dubbele punt,
bijv. “fo=0:s”, standaard is “fo=0”
fo=0 – er wordt een rapport gegenereerd wanneer SPF en DKIM worden geschonden
fo=1 – er wordt een rapport gegenereerd als SPF of DKIM wordt geschonden
fo=d – er wordt een rapport gegenereerd als DKIM wordt geschonden
fo=s – er wordt een rapport gegenereerd wanneer SPF wordt geschonden
adkim = overeenkomende modus DKIM, standaard is “r”
s (strikte modus) – domein van DKIM-handtekening en het domein van de FROM-e-mailheader moeten overeenkomen
R (Relaxed Mode) – een subdomein kan ook worden gebruikt
aspf = overeenkomende modus SPF, standaard is “r”
s (strikte modus) – Domeinen uit de FROM van de e-mailheader en de zogenaamde SMTP-envelop moeten overeenkomen
R (Relaxed Mode) – een subdomein kan ook worden gebruikt
SMTP voor e-mail gebruiken
Als u WP Mail SMTP gebruikt om uw WordPress-e-mails te verwerken, krijgt u een melding als DMARC niet correct is geconfigureerd in uw domein. Mogelijk ziet u ook een foutmelding zoals “Geen DMARC-record gevonden”.
De volgende stappen helpen u het probleem op te lossen.
Hoe maak je een DMARC record aan?
Laten we het stapsgewijze proces van het instellen van een DMARC-record op uw domein doornemen. We laten u zien hoe u een algemene gegevensset maakt die met elke host werkt.
Controleer uw DNA met een DMARC analyzer
Als u niet zeker weet of u een DMARC TXT-record op uw website hebt ingesteld, kunt u een DMARC-checker zoals MXToolbox gebruiken. Hiermee kunt u uw DNS-records scannen.
https://mxtoolbox.com/SuperTool.aspx?
Vul in het invoerveld uw domeinnaam in en klik op de DMARC Lookup knop.
Maak uw nieuwe DMARC TXT-record aan
In dit gedeelte laten we u zien hoe u een DMARC-record kunt kopiëren en plakken dat met elke host werkt.
Aan de hand van ons voorbeeld is het eenvoudig om handmatig een DMARC-record toe te voegen.
Een DMARC record is een TXT record dat begint met: “_dmarc.” dus in type Option TXT.
Zoek in het veld Naam naar ‘_dmarc.’ met een punt (punt) aan het einde. Sommige hosts hebben het punt echter niet nodig. In dat geval kun je deze gewoon verwijderen als je een foutmelding ziet. In dit geval gebruikt u: “_dmarces” zonder de punt.
Voer bijvoorbeeld in het grote veld in het DNS-record dit DMARC-record in:
v=DMARC1; p=none; fo=1; rua=mailto:me@example.comDit is wat deze regel doet:
We gebruiken p=none omdat dit de minst beperkende instelling is. U ontvangt nog steeds e-mailrapporten als er een probleem is met uw DNS, maar het is onwaarschijnlijk dat de bezorging van uw eigen e-mail wordt beïnvloed. Als u verdachte DMARC-meldingen ontvangt, kunt u dit deel van de regel wijzigen in p=quarantine.
Zorg ervoor dat u het gedeelte “rua=mailto:me@example.com” wijzigt met uw e-mailadres.
Als de authenticatiemethode (DKIM of SPF) niet is afgestemd op uw DMARC-record, wordt de fo=1-regel gegenereerd met een forensisch rapport met details van de gebeurtenis.
Kortom, de TTL-instelling (Time to Live) is als een vervaldatum voor uw DNS. We raden aan om deze instelling in te stellen op Auto, wat meestal 4 uur is. De instelling is niet doorslaggevend en kan individueel op een andere waarde worden ingesteld, bijv. 24 uur of 14400.
Bepaalde leveranciers kunnen om een targetingregel vragen. U kunt ze echter zonder aarzelen uitsluiten. Het is geen criterium om uw DMARC-tekstrecord te laten werken.
Op onze website joewp.com ons voltooide DMARC-record is als volgt:
v=DMARC1; p=reject; rua=mailto:contact@joewp.com; ruf=mailto:contact@joewp.com; adkim=s; aspf=rHoe lang duurt het voordat het DMARC-record actief is?
Het duurt meestal even voordat uw DMARC-record is doorgezaaid
Als u wijzigingen aanbrengt in de DNS van uw website, kan het tot 48 uur duren voordat de wijzigingen van kracht worden.
Functiecontrole van uw DMARC-record
U kunt dan een webgebaseerde DMARC-checker zoals MXToolbox gebruiken om te controleren of de records correct zijn toegepast.
De DMARC-regel moet in een groene balk verschijnen. Dit zal je laten zien dat de regels werken.
Controle van e-mail SMTP in WordPress
Dan kun je in het WordPress dashboard onder “WP Mail SMTP” (WP Forms) controleren of de instellingen kloppen en het versturen van de mails perfect werkt. Stuur gewoon een test-e-mail naar een van uw e-mailadressen. Als alles goed gaat, krijg je de boodschap “Succes! De testmail is succesvol verzonden! Controleer uw inbox om er zeker van te zijn dat de e-mail met succes is afgeleverd.” zoals te zien is in de onderstaande schermafbeelding.
DMARC en SPF + DKIM record bij de provider all-inkl.com
Als u uw website onderhoudt met de domeinhost ‘all-inkl.com’, volgt u deze stappen:
Om DMARC in te stellen, heb je vooraf een SPF- en DKIM-record nodig.
Maak een SPF-record bij all-inkl.com
Hier is een handleiding voor het maken van een SPF-record op all-inkl.com: https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/spf_482.html
Maak een DKIM-vermelding voor all-inkl.com
In de volgende instructies wordt uitgelegd hoe u een DKIM-record maakt: https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/dkim-bei-versand-ueber-unsere-mailserver_541.html
Maak een DMARC-record aan bij all-inkl.com
Met DMARC kunt u aanbevelingen doen over hoe een ontvangende server een e-mail moet behandelen in geval van SPF- en DKIM-schendingen. U heeft ook de mogelijkheid om geïnformeerd te worden in geval van overtredingen.
Stap 1
Alle e-mails die via mailboxen van uw KAS (technische administratie) worden verzonden, worden digitaal ondertekend en kunnen door een ontvangende mailserver op echtheid worden gecontroleerd. Een DKIM-sleutel wordt opgeslagen in de nameserver op all-inkl.com. DKIM-ondertekening van een e-mail kan er alleen voor zorgen dat een e-mail in ongewijzigde vorm bij een ontvanger aankomt. Er is geen evaluatie met betrekking tot spam.
Stap 2
Om DKIM voor uw domein te activeren, klikt u op Domein in de KAS (technisch beheer) en bewerkt u daar uw domein.
Stap 3
Voor DKIM-ondertekening stelt u de selectie in op “ingeschakeld” en slaat u de wijziging op.
Stap 4
In de KAS (technisch beheer) onder Tools -> DNS-instellingen vindt u een vermelding die lijkt op die in de afbeelding hierboven.
Resultaat
Met DMARC kunt u malware en phishing-aanvallen blokkeren en de bezorgbaarheid van uw e-mails verbeteren. Zodra u het hebt ingeschakeld, zorgt een DMARC-record ervoor dat alleen geautoriseerde afzenders geautoriseerd zijn om berichten te verzenden.
Ontvangers kunnen zo direct herkennen van wie de e-mail werkelijk afkomstig is. Zo weet je zeker dat jouw domein niet illegaal gebruikt wordt voor spam of phishing.
