Nieuw middel in de strijd tegen spam: DMARC

Afgelopen week ontdekte ik een nieuw middel in de strijd tegen spam: DMARC. Dit staat voor “Domain-based Message Authentication, Reporting & Conformance” en vormt eigenlijk een schil over de bestaande e-mail authenticatie technieken SPF en DKIM. Waar SPF en DKIM eigenlijk technieken zijn om de authenticiteit van ontvangen e-mailberichten te verifiëren, kun je met DMARC aan een ontvangende partij vertellen hoe ze met e-mails vanaf jouw domein om dienen te gaan wanneer één of meer verificaties mislukken.

DMARC stelt de beheerder van een domein dus in staat om met behulp van een DNS TXT resource record beleid te specificeren op basis waarvan (de mailserver van) de ontvangende partij geautomatiseerd kan besluiten hoe er om wordt gegaan met ongeverifieerde berichten. Het beleid komt in drie smaken:

1. None: accepteer e-mail ongeacht de uitkomst van de verificatie.
2. Quarantine: accepteer ongeverifieerde e-mail maar behandel deze als spam.
3. Reject: verwijder de e-mail, zonder terugkoppeling (bounce) naar de zender.

Zonder DMARC is het aan de ontvangende partij om te besluiten wat te doen met ongeverifieerde berichten. Dat is moeilijk omdat de ontvangende partij niet weet of er voor het domein (waar een e-mail van binnenkomt) goed beheer wordt toegepast op de relevante e-mail authenticatie technieken. Met andere woorden: door het toepassen van DMARC geeft de beheerder van een domein eigenlijk impliciet aan dat hij de correcte werking van SPF en DKIM garandeert. Een fout in de configuratie van deze e-mail authenticatie technieken kan er namelijk voor zorgen dat (de mailserver van) de ontvanger op basis van het DMARC beleid besluit om de e-mail te weigeren.

Naast het kenbaar maken van het beleid omtrent de afhandeling van ongeverifieerde berichten, biedt DMARC ook de mogelijkheid om inzicht te krijgen in de wijze waarop derden e-mails afhandelen die (ogenschijnlijk) van jouw domein afkomen. Dit inzicht ontstaat doordat DMARC-bewuste (!) mailservers een terugkoppeling sturen naar de beheerder van het verzendende domein. Er zijn twee vormen van terugkoppeling/feedback die beheerders kunnen ontvangen:

1. Forensic report of failure report: dit betekent onder andere dat een beheerder een e-mail met feedback ontvangt voor elke e-mail die op basis van het DMARC beleid door een DMARC-bewuste mailserver wordt geweigerd. In een ongunstig geval betekent dit dat het aantal failure reports het aantal legitiem verstuurde e-mails ruim kan overstijgen. Het wordt daarom ook afgeraden om dit in het begin in te schakelen. Dit moet je pas doen als je er klaar voor bent en ongeveer weet wat je kan verwachten.
2. Aggregate reports: dit is een e-mailbericht dat normaal gesproken 1x per 24 uur wordt verstuurd. Het bevat een overzicht van IP-adressen van waaruit e-mails van jouw domein zijn verstuurd, met daarbij informatie over de validatie van DKIM en/of SPF. Dit kan behoorlijk in de aantallen lopen, zeker als je slachtoffer bent van phishing.

Het onderstaande plaatje geeft een duidelijk totaaloverzicht van de werking van DMARC in combinatie met SPF en DKIM.

Wanneer je begint met het toepassen van DMARC, wordt geadviseerd om te beginnen met het beleid op none en het ontvangen van aggregate reports. Zo loop je niet het risico om overspoeld te worden met feedback e-mails, en heb je gelegenheid om te ontdekken of er nog ergens configuratiefouten zitten voordat je het DMARC beleid strenger instelt om spammers aan te pakken.

Al met al lijkt DMARC een goede aanvulling op SPF en DKIM, maar is het implementeren ervan in niet zonder gevolgen. Als je er serieus mee aan de slag wilt, dan zul je er ook (beheer)tijd voor vrij moeten maken. Met name voor grote e-mailomgevingen kan de impact behoorlijk zijn. Daarnaast ben je voor de effectiviteit van DMARC afhankelijk van de penetratiegraad ervan; hoe meer partijen DMARC ondersteunen, des te effectiever de strijd tegen spam.