VMC 08-31-2021

DMARC instellen om uw domein in aanmerking te laten komen voor VMC

DigiCert
digicert-blogimages-mar22

In ons laatste bericht bespraken we hoe u een logo kunt maken in het juiste bestandsformaat voor BIMI/VMC. In dit bericht behandelen we de volgende stap:

DMARC instellen voor uw organisatie.

Wat is DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) is een verificatie-, beleids- en rapportageprotocol voor e-mail waarmee organisaties hun domein kunnen beschermen tegen ongeoorloofd gebruik, zoals nepmails en phishing. Maar voordat u in aanmerking komt voor een VMC, moet uw organisatie eerst voldoen aan het DMARC-protocol.

Aarzel niet langer

Deze procedure kan weken, soms maanden duren, al naargelang de omvang van uw organisatie (groter = langer). U kunt dus maar beter meteen beginnen.

Deze blog dient als basishandleiding voor de uitgangspunten van de procedure. Voor een uitgebreide, stapsgewijze handleiding adviseren wij u om onze complete DMARC- en BIMI-gids te downloaden..

Dit hebt u nodig

Zorg voordat u begint dat u:

  1. beschikt over een teksteditor, zoals Notepad++, Vim, Nano enz.;
  2. toegang hebt tot uw DNS-records.

    1. Als u het DNS niet zelf beheert, neemt u contact op met uw DNS-beheerder.
    • de webserver;
    • de interne mailserver;
    • de mailserver van de provider;
    • eventuele mailservers van derden.
  3. Stap 1: IP-adressen verzamelen voor SPF

    De eerste stap op weg naar DMARC-naleving is het opzetten van een Sender Policy Framework (SPF). Dit voorkomt dat ongeautoriseerde IP-adressen e-mails kunnen versturen vanaf uw domein.

    Maak eerst een lijst met alle geautoriseerde IP-adressen die op dit moment e-mail versturen vanaf uw domein.

    Dit omvat:

Het geeft niet als u op dit moment nog niet alle IP-adressen kunt vinden. DMARC-monitoring (stap 4) doet dat voor u. Maar door er in deze fase zoveel mogelijk te verzamelen bespaart u tijd.

Stap 2: Maak een SPF-record voor uw domein(en)

Open uw teksteditor en maak voor elk domein een SPF-record.

Voorbeeld 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

Voorbeeld 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:derde.com -all

Als u klaar bent, slaat u het bestand op en publiceert u het op uw DNS.

Gebruik een SPF-tool (zoals deze van onze partner Valimail) om te controleren of u alles juist hebt ingevoerd.

Stap 3: DKIM instellen:

DKIM is een norm voor e-mailverificatie die gebruikmaakt van cryptografie op basis van openbare en persoonlijke sleutels voor het ondertekenen van e-mailberichten. DKIM voorkomt dat er met e-mails wordt geknoeid terwijl ze onderweg zijn.

1. Kies eerst een DKIM-selector.

Voorbeeld: ‘standaard._domein.voorbeeld.com’ = hostnaam

2. Genereer dan een sleutelpaar met een openbare en persoonlijke sleutel voor uw domein.

Windows: Gebruik PUTTYGen

Linux/Mac: Gebruik ssh-keygen

3. Maak en publiceer een nieuw TXT-record via uw DNS-beheerconsole.

Dat ziet er als volgt uit: v=DKIM1; p=YourPublicKey

Stap 4: Monitor. Communiceer. Herhaal.

Nu volgt de belangrijkste stap. Dit is tevens het meest tijdrovende onderdeel. U laat DMARC uw huidige e-mailverkeer monitoren, zodat u een goede basis creëert voor wat goedgekeurd is (en uiteindelijk door DMARC in quarantaine geplaatst of geweigerd zal worden).

OPMERKING: Hoewel het verleidelijk is om deze stap over te slaan en rechtstreeks naar naleving te gaan, voorkomt deze monitoringfase dat belangrijke berichten zoekraken of permanent worden gewist wanneer DMARC volledig operationeel is.

Op deze manier begint u uw verkeer te monitoren met DMARC:

1. Zorg ervoor dat u SPF en DKIM goed hebt ingesteld.

2. Maak een DNS-record aan.

De teksttekenreeks in het DMARC-record moet lijken op het volgende: ‘_dmarc.uw_domein.com’.

Voorbeeld: ‘v=DMARC1;p=none; rua=mailto:dmarcreports@uw_domein.com’.

Als u het DNS voor uw domein beheert, maakt u een DMARC-record aan met ‘p=none’ (monitoringmodus) op dezelfde manier als u dat voor SPF- en DKIM-records doet.

Als u het DNS niet zelf beheert, vraagt u de DNS-provider om het DMARC-record voor u aan te maken.

3. Test uw DMARC-record met een DMARC-controletool.

Opmerking: De replicatie duurt meestal 24 tot 48 uur.

DMARC begint nu rapporten te genereren die een duidelijk beeld geven van de mail die via uw domein wordt verzonden, met inbegrip van berichten die door SPF en DKIM worden gemarkeerd.

Belangrijk: Hierdoor komt u te weten of er legitieme afzenders zijn die in uw eerdere SPF-record (stap 1) ontbraken. Is dat het geval, moet u uw record dienovereenkomstig aanpassen.

PHet probleem? De rapporten staan in het lastig te lezen .xml-bestandsformaat. Omdat controleren van deze gegevens veel tijd kost, adviseren we u dringend om een DMARC-rapportverwerker te gebruiken (zoals deze van Valimail). Dat vereenvoudigt het analyseren aanzienlijk.

Stap 5: De laatste stap

Als u er zeker van bent dat u alle, als ongeautoriseerd gemarkeerde versus legitieme berichten hebt geïdentificeerd, wordt het tijd om de naleving naar een hoger plan te tillen.

DMARC kent twee nalevingsniveaus: ‘in quarantaine plaatsen’ en ‘weigeren’. Vanzelfsprekend is ‘weigeren’ veiliger dan ‘in quarantaine plaatsen’ en we adviseren dan ook om ‘weigeren’ toe te passen, maar met beide niveaus komt uw domein in aanmerking voor een VMC.

Voordat we meteen naar ‘weigeren’ gaan, is het veilig om een tijdje in quarantaine te bivakkeren. Zo doet u dat:

1. Meld u aan bij uw DNS-server en zoek het DMARC-record.

2. Open het DMARC-record voor het opgegeven domein en verander het beleid van ‘p=none’ in ‘p=quarantine’.

Voorbeeld:

‘v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@your_domain.com’

3. Voeg de vlag ‘pct’ toe (het percentage berichten dat wordt gefilterd). We raden aan om te beginnen met 10% en het percentage geleidelijk op te voeren tot 100.

Wanneer het filterpercentage 100 is, komt u officieel in aanmerking voor een VMC en kunt u beginnen met weigeren.

Dit is gelukkig de eenvoudigste stap:

1. Open uw DMARC-record en verander ‘p=quarantine’ in ‘p=reject’.

Gefeliciteerd! U hebt nu officieel een goed beeld van de berichten die vanuit uw domein worden verzonden, u hebt de beveiliging voor alle gebruikers verbeterd, u hebt uzelf beschermd tegen een groot aantal phishingaanvallen en uw organisatie komt in aanmerking voor een VMC-certificaat (zodra deze verkrijgbaar zijn).

Raadpleeg voor meer informatie over het beveiligen van de e-mailtoegang in uw organisatie onze blog over veilige e-mailtoegang op afstand.

Uitgelichte verhalen

08-31-2021

DMARC instellen om uw domein in aanmerking te laten komen voor VMC

05-11-2021

Hoeveel verified mark certificates (VMC’S) heb ik nodig?

11-16-2021

Voorspellingen voor 2022 op het gebied van beveiliging