internet.nl

[Master]

Op internet.nl kan je o.a. de veiligheid van jouw website en email testen. Met zo'n test word dan gecontroleerd op verschillende veiligheidsinstellingen (o.a. https i.p.v. http, IPv6, DMARC-records).

Test for modern Internet Standards like IPv6, DNSSEC, HTTPS, DMARC, STARTTLS and DANE.

Test for modern Internet Standards like IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS and DANE.

www.internet.nl

Met een DMARC record geef je als e‑mailverzender aan dat je beveiliging van je e‑maildomein serieus neemt. Het is ontworpen om jouw e‑maildomeinen te beschermen tegen spoofing. Spoofing is een methode die internetcriminelen gebruiken om zich voor te doen als een legitieme verzender en valse e‑mails te sturen.
Hoe stel je een DMARC in? Op mijn Antagonist server staat standaard al een DMARC ingesteld. Ga hiervoor naar het DNS beheer.

Door helemaal rechts op het potloodje te klikken kan je dit naar wens aanpassen. De reports laat ik naar een apart aangemaakte email adres sturen. Hiervoor heb ik een forwarder aangemaakt zodat deze emails duidelijk herkenbaar in mijn mailbox aankomen.
De instelling die ik zelf gebruik:

v=DMARC1;p=quarantine; rua=mailto:dmarc_report@mijndomein.nl; ruf=mailto:dmarc_report@mijndomein.nl; fo=1

Hierbij heb ik een dmarc_report email adres aangemaakt (deze naam kan je dus naar eigen keuze aanmaken) en "mijndomein.nl" moet dan uiteraard aangepast worden naar jouw eigen email adres.
Na bovenstaande bewerking komt het er zo uit te zien:

 

[Master]

Voor eigenaren van een website op Vimexx kan het zijn dat er nog geen DMARC is aangemaakt. Hiervoor ga je in jouw Direct Admin naar "DNS Management" en daarna scrol je naar onderaan. Daar vind je de opties om records aan te maken. In dit geval moet je een txt invoer hebben, welke in onderstaand veld ingevuld kan worden:

In het linker invoervak vul je dan _dmarc in en in het rechter invoervak het aangepaste voorbeeld uit het vorige bericht.

Klik hierna op "Add" en de record is aangemaakt.

 

[Black Tiger]

Even een aanvulling op bovenstaand, want ik mis iets heel belangrijks.

Een DMARC record kan namelijk niet stand-alone gebruikt worden c.q. misschien kun je het wel instellen maar dan heb je er niets aan.
Het DMARC record controleert de geldigheid van de combinatie van je SPF en DKIM record. Dus om een DMARC record te kunnen maken, moet je al voorzien zijn van een correct SPF en een correct DKIM record, anders heeft het maken van een DMARC record geen enkele zin.

Veelal heeft je hosting provider al een standaard SPF record voor je aangemaakt. Dat kan evt. nog verbeterd worden. Niet elke hoster heeft een DKIM record of heeft een DKIM record actief, daar moet je dus wel even op letten.

 

[Master]

Niet elke hoster heeft een DKIM record of heeft een DKIM record actief, daar moet je dus wel even op letten.

Bij Antagonist en Vimexx is het in elk geval aanwezig. Ik heb geen idee of er testen/reviews online staan waarbij je dit soort zaken voor alle hosters kan vinden.

 

[Black Tiger]

Ik weet ook niet of er reviews of testen zijn wat dit betreft. Steeds meer hosters hebben het.
Maar het leek me wel belangrijk om aan te geven dat die twee samen een vereiste zijn om te hebben, om enig effect te hebben van een DMARC record.

 

[Master]

Op dat punt ben ik zelf in elk geval weer iets wijzer geworden. Ik was er namelijk al vanuit gegaan dat dat soort zaken inmiddels wel standaard aanwezig waren.

 

[Black Tiger]

Ja dat zou je verwachten. DMARC sowieso nog niet aangezien dat met forwards nog problemen kan opleveren. DKIM zou je wel verwachten maar is nog lang niet overal het geval. Echter wel zeer adviseerbaar als je zelf mailservers draait.

 

[Master]

Ik weet ook niet of er reviews of testen zijn

Ik had gehoopt dat op een website zoals hostingvergelijker.nl meer informatie te vinden zou zijn. Hosting vergelijkers lijken alleen maar op de hoeveelheid opslag, snelheid en prijs te kijken. Zelfs op hun faq kom ik daar niets over tegen. Nu lijkt mij beveiligingen om o.a. spoofing tegen te gaan toch wel iets wat steeds belangrijker word. Ik meen dat zelfs hotmail en gmail mails zonder geldige DMARC als mogelijke spam kunnen zien.

 

[Black Tiger]

Ik meen dat zelfs hotmail en gmail mails zonder geldige DMARC als mogelijke spam kunnen zien.

Nee hoor, zoals gezegd is DMARC iets wat nog lang niet geintegreerd is en zelfs problemen met forwards kan veroorzaken.
Het is wel zo dat in elk geval Gmail minder snel een mail als spam zal aanmerken als deze DKIM heeft dan zonder DKIM. Het kan zijn dat hotmail hier ook op let.
Maar op DMARC letten ze nog niet op die manier omdat gewoon teveel bedrijven, hosters en zelfs de grootste ISP's hiervan geen gebruik maken.
Echter als er -wel- een DMARC record aanwezig is, dan wordt dat zeker gecontroleerd en bij enige afwijking wordt de DKIM policy gebruikt.

Van de andere kant is het weer zo dat veel mensen geen effectieve DKIM policy gebruiken (veel hebben die op "none" staan). Dat is goed om te testen, maar later moet je dat toch eens op quarantaine en/of reject zetten.
Echter dan komt er weer de waarschuwing, als je reject gebruikt, let dan op als mensen je mail gaan forwarden want dan loop je sneller het risico dat mail geweigerd wordt en in het niets verdwijnt. Zou niet moeten mogen maar dat mechanisme werkt nog niet 100%.