gouwepeer

Admin
Medewerker
Op internet.nl kan je o.a. de veiligheid van jouw website en email testen. Met zo'n test word dan gecontroleerd op verschillende veiligheidsinstellingen (o.a. https i.p.v. http, IPv6, DMARC-records).


Met een DMARC record geef je als e‑mailverzender aan dat je beveiliging van je e‑maildomein serieus neemt. Het is ontworpen om jouw e‑maildomeinen te beschermen tegen spoofing. Spoofing is een methode die internetcriminelen gebruiken om zich voor te doen als een legitieme verzender en valse e‑mails te sturen.
Hoe stel je een DMARC in? Op mijn Antagonist server staat standaard al een DMARC ingesteld. Ga hiervoor naar het DNS beheer.
Screenshot 2022-12-29 at 15-32-57 s228.webhostingserver.nl DNS-beheer DirectAdmin 1.63.7.png

Door helemaal rechts op het potloodje te klikken kan je dit naar wens aanpassen. De reports laat ik naar een apart aangemaakte email adres sturen. Hiervoor heb ik een forwarder aangemaakt zodat deze emails duidelijk herkenbaar in mijn mailbox aankomen.
De instelling die ik zelf gebruik:
Code:
v=DMARC1;p=quarantine; rua=mailto:dmarc_report@mijndomein.nl; ruf=mailto:dmarc_report@mijndomein.nl; fo=1
Hierbij heb ik een dmarc_report email adres aangemaakt (deze naam kan je dus naar eigen keuze aanmaken) en "mijndomein.nl" moet dan uiteraard aangepast worden naar jouw eigen email adres.
Na bovenstaande bewerking komt het er zo uit te zien:
Screenshot 2022-12-29 at 15-47-50 s228.webhostingserver.nl DNS-beheer DirectAdmin 1.63.7.png
 

gouwepeer

Admin
Medewerker
Voor eigenaren van een website op Vimexx kan het zijn dat er nog geen DMARC is aangemaakt. Hiervoor ga je in jouw Direct Admin naar "DNS Management" en daarna scrol je naar onderaan. Daar vind je de opties om records aan te maken. In dit geval moet je een txt invoer hebben, welke in onderstaand veld ingevuld kan worden:
Screenshot 2022-12-29 at 15-54-00 web0151.zxcs.nl - DirectAdmin v1.643.png


In het linker invoervak vul je dan _dmarc in en in het rechter invoervak het aangepaste voorbeeld uit het vorige bericht.
Screenshot 2022-12-29 at 15-56-07 web0151.zxcs.nl - DirectAdmin v1.643.png

Klik hierna op "Add" en de record is aangemaakt.
 

Black Tiger

Bekend lid
Nieuw lid
Even een aanvulling op bovenstaand, want ik mis iets heel belangrijks.

Een DMARC record kan namelijk niet stand-alone gebruikt worden c.q. misschien kun je het wel instellen maar dan heb je er niets aan.
Het DMARC record controleert de geldigheid van de combinatie van je SPF en DKIM record. Dus om een DMARC record te kunnen maken, moet je al voorzien zijn van een correct SPF en een correct DKIM record, anders heeft het maken van een DMARC record geen enkele zin.

Veelal heeft je hosting provider al een standaard SPF record voor je aangemaakt. Dat kan evt. nog verbeterd worden. Niet elke hoster heeft een DKIM record of heeft een DKIM record actief, daar moet je dus wel even op letten.
 

gouwepeer

Admin
Medewerker
Niet elke hoster heeft een DKIM record of heeft een DKIM record actief, daar moet je dus wel even op letten.
Bij Antagonist en Vimexx is het in elk geval aanwezig. Ik heb geen idee of er testen/reviews online staan waarbij je dit soort zaken voor alle hosters kan vinden.
 

Black Tiger

Bekend lid
Nieuw lid
Ik weet ook niet of er reviews of testen zijn wat dit betreft. Steeds meer hosters hebben het.
Maar het leek me wel belangrijk om aan te geven dat die twee samen een vereiste zijn om te hebben, om enig effect te hebben van een DMARC record.
 

gouwepeer

Admin
Medewerker
Op dat punt ben ik zelf in elk geval weer iets wijzer geworden. Ik was er namelijk al vanuit gegaan dat dat soort zaken inmiddels wel standaard aanwezig waren.
 

Black Tiger

Bekend lid
Nieuw lid
Ja dat zou je verwachten. DMARC sowieso nog niet aangezien dat met forwards nog problemen kan opleveren. DKIM zou je wel verwachten maar is nog lang niet overal het geval. Echter wel zeer adviseerbaar als je zelf mailservers draait.
 

gouwepeer

Admin
Medewerker
Ik weet ook niet of er reviews of testen zijn
Ik had gehoopt dat op een website zoals hostingvergelijker.nl meer informatie te vinden zou zijn. Hosting vergelijkers lijken alleen maar op de hoeveelheid opslag, snelheid en prijs te kijken. Zelfs op hun faq kom ik daar niets over tegen. Nu lijkt mij beveiligingen om o.a. spoofing tegen te gaan toch wel iets wat steeds belangrijker word. Ik meen dat zelfs hotmail en gmail mails zonder geldige DMARC als mogelijke spam kunnen zien.
 

Black Tiger

Bekend lid
Nieuw lid
Ik meen dat zelfs hotmail en gmail mails zonder geldige DMARC als mogelijke spam kunnen zien.
Nee hoor, zoals gezegd is DMARC iets wat nog lang niet geintegreerd is en zelfs problemen met forwards kan veroorzaken.
Het is wel zo dat in elk geval Gmail minder snel een mail als spam zal aanmerken als deze DKIM heeft dan zonder DKIM. Het kan zijn dat hotmail hier ook op let.
Maar op DMARC letten ze nog niet op die manier omdat gewoon teveel bedrijven, hosters en zelfs de grootste ISP's hiervan geen gebruik maken.
Echter als er -wel- een DMARC record aanwezig is, dan wordt dat zeker gecontroleerd en bij enige afwijking wordt de DKIM policy gebruikt.

Van de andere kant is het weer zo dat veel mensen geen effectieve DKIM policy gebruiken (veel hebben die op "none" staan). Dat is goed om te testen, maar later moet je dat toch eens op quarantaine en/of reject zetten.
Echter dan komt er weer de waarschuwing, als je reject gebruikt, let dan op als mensen je mail gaan forwarden want dan loop je sneller het risico dat mail geweigerd wordt en in het niets verdwijnt. Zou niet moeten mogen maar dat mechanisme werkt nog niet 100%.
 

Black Tiger

Bekend lid
Nieuw lid
In dit artikel van Antagonist staat het een en ander ook mooi duidelijk uitgelegd :)
Maar een beetje te simpel, het klopt niet helemaal.

Dit bijvoorbeeld is niet volledig:
DMARC kijkt of een e-mail voorzien is van SPF en DKIM. Als dat niet zo is, dan treedt DMARC in werking.
Is maar deels waar. Want je moet sowieso SPF en DKIM aanwezig hebben om DMARC überhaupt te kunnen gebruiken. DMARC controleert of het SPF record correct is en zo niet of het DKIM record aangeeft dat het toch van een geauthoriseerde server is.

Maar het hele begin klopt al niet, te simpel qua uitleg.
Stel, je schrijft een brief en zet er je handtekening op. Vervolgens verstuur je het via PostNL. De ontvanger krijgt de brief geleverd door DHL. Ook is de handtekening nergens te bekennen. Hopelijk twijfel je nu of alles wel goed is gegaan…
Totaal verkeerd vergelijk, want een handtekening verdwijnt niet van een brief af, letterlijk. En in een mail is DKIM de handtekening. Je moet dus eerder DKIM vergelijken met jouw handtekening, die is dus ook in al jouw legale mailheaders te vinden, dus ook DHL ziet die handtekening. DKIM is een authenticatie techniek op basis van dus de handtekening en DNS.

Er staat ook het verhaal van de forwards niet bij, want dan worden headers veranderd, het kan dan zijn dat het SPF record veranderd wordt, dat geeft dan een fail. En dan ligt het er aan of DKIM een pass geeft. Normaliter wel. Alleen Microsoft ligt weer eens dwars, die passen vaak de headers op zulke wijze aan dat ze er hun eigen spf en dkim onder zetten en dan zegt dus DMARC van duw het maar in de quarantaine.

Dit artikel is iets technische, maar wel veel correcter qua uitleg hoe de hele constructie werkt.