Inleiding
DMARC brengt SPF en DKIM samen in een policy. DMARC beschermt de FROM: header. DMARC bestaat uit een TXT record in de DNS waarin een policy wordt aangegeven. Het belangrijkste onderdeel van DMARC houdt in dat wanneer er een policy actief is, er door de ontvangende partij gecontroleerd moet worden of er of een SPF record, of een DKIM record bestaat in hetzelfde domein als de FROM: header. Dit wordt alignment genoemd. Hiermee wordt het domein genoemd in de FROM: header geauthenticeerd. Verder kan een eigenaar van een domein in zijn DMARC policy e-mailadressen opnemen waarnaar rapportages van ontvangende partijen gestuurd kunnen worden. Met deze rapportages kan de eigenaar van een domein verifiëren dat zijn domeinen niet worden misbruikt, of dat er geen misconfiguratie is.
DMARC DNS record
Een DMARC record bevat een policy die aangeeft wat er moet gebeuren met een email waarvan het domein in de FROM: header niet gelijk is aan of het domein in het SPF record, of het domein in de DKIM policy. Een DMARC policy wordt in een TXT record binnen _dmarc.domeinnaam.tld geplaatst en kan er zo uitzien (let op dat dit een minimaal DKIM record is, de website van dkim.org heeft een aantal links naar relevante tools https://dmarc.org/resources/deployment-tools/):
"v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com“
| onderdeel | betekenis |
|---|---|
| v=DMARC1 | versienummer, is altijd DMARC1 |
| p=reject | policy (reject, none en quarantaine). |
| pct=100 | percentage emails die mogen worden gereject |
| rua=mailto:postmaster@dmarcdomain.com | email adres waar Aggregate reports naartoe kunnen worden gestuurd (moet binnen het DMARC domein zitten) |
Een policy "none" kan zeer nuttig zijn om te beginnen. Er worden dan alleen rapportages uitgestuurd, en nog geen emails gereject.