NL
DNS-tools: DMARC
Stap 1:
Met DMARC kun je aanbevelingen doen over hoe een ontvangende server moet omgaan met e-mails die in strijd zijn met SPF en DKIM. Ook kun je je laten informeren bij overtredingen.De DNS-records voor SPF en DKIM voor gebruik met onze mailserver zijn standaard ingesteld.
Als je e-mails via externe mailservers verstuurt, pas dan eerst de standaard SPF aan jouw behoeften aan en voeg de publieke DKIM-sleutel van de externe mailserver toe.
Volg hiervoor eerst deze handleidingen:
SPF
DKIM (bij verzending via externe mailservers)
Stap 2:
Standaard wordt bij ons de volgende DMARC-record ingesteld:v=DMARC1; p=none;
Hiermee worden bij een overtreding geen maatregelen uitgevoerd.
Deze handleiding beschrijft hoe je de standaard DMARC-record kunt aanpassen of een nieuwe record kunt aanmaken als deze niet aanwezig is.
Stap 3:
Log in bij KAS (technisch beheer) en klik op Tools -> DNS-instellingen.Stap 4:
Bewerk het domein waarvoor je DNS-wijzigingen wilt doorvoeren.Stap 5:
Klik op Bewerken bij het bestaande DMARC-record.Stap 6:
Als er geen DMARC-record is, klik dan op nieuwe DNS-record aanmaken.Stap 7:
Als Name gebruik je altijd "_dmarc". Het DNS-record voor DMARC heeft het Type "TXT". Er is geen Prio. Het record bij Data/Waarde kan er bijvoorbeeld zo uitzien:
v=DMARC1; p=reject; rua=mailto:mail@uw-domein.nl; ruf=mailto:mail@uw-domein.nl; adkim=s; aspf=r
Parameter en waarde worden met een gelijkteken (=) zonder spaties ertussen aangegeven en afgesloten met een puntkomma (;).
verplichte parameters:
v = DMARC-versie, moet de waarde "DMARC1" bevatten en als eerste staan
p = Beleid voor het domein, hoe een ontvangende server bij overtredingen van SPF en DKIM met een e-mail moet omgaan, de volgende waarden zijn mogelijk:
none - geen maatregelen
quarantine - betreffende e-mail als verdacht behandelen en bijvoorbeeld markeren of naar de spambox verplaatsen
reject - betreffende e-mail weigeren
optionele parameters:
sp = Beleid voor de subdomeinen
pct = het percentage e-mails waarop het DMARC-beleid moet worden toegepast, standaard is 100 procent
rua = door komma gescheiden lijst van e-mailadressen waar het totaalrapport naartoe moet worden gestuurd
ri = max. interval in seconden tussen het verzenden van de afzonderlijke totaalrapporten, standaard is "86400" seconden = 24 uur
ruf = door komma gescheiden lijst van e-mailadressen waar een gedetailleerd rapport over de e-mails die de DMARC-evaluatie niet hebben doorstaan naartoe moet worden gestuurd
rf = Formaat voor gedetailleerd rapport, standaard en momenteel enig ondersteund formaat is "afrf"
fo = Opties voor het gedetailleerde rapport, opties zijn "0", "1", "d" en "s", meerdere opties worden door dubbele punt gescheiden,
bijv. "fo=0:s", standaard is "fo=0"
fo=0 - er wordt een rapport gemaakt bij overtreding van SPF en DKIM
fo=1 - er wordt een rapport gemaakt bij overtreding van SPF of DKIM
fo=d - er wordt een rapport gemaakt bij overtreding van DKIM
fo=s - er wordt een rapport gemaakt bij overtreding van SPF
adkim = Matchmodus DKIM, standaard is "r"
s (strikte modus) - Domein uit DKIM-handtekening en het domein uit de FROM van de e-mailheader moeten overeenkomen
r (relaxte modus) - een subdomein kan ook worden gebruikt
aspf = Matchmodus SPF, standaard is "r"
s (strikte modus) - Domeinen uit de FROM van de e-mailheader en de zogenaamde SMTP-envelope moeten overeenkomen
r (relaxte modus) - een subdomein kan ook worden gebruikt
extra opmerking over "rua" en "ruf":
Als de e-mailadressen voor de rapporten tot een ander domein behoren, dan heeft dit andere domein een DNS-record als toestemming nodig.
Het DMARC-record is bijvoorbeeld voor het domein example.com en de e-mailadressen behoren tot uw-domein.nl, dan moet het volgende DNS-record bij uw-domein.nl worden aangemaakt:
example.com._report._dmarc.uw-domein.nl TXT "v=DMARC1"Support & FAQ doorzoeken