DMARC is geen schakelaar die u omzet. Het is een protocol dat alleen werkt als SPF en DKIM eerst kloppen, en dat u in fasen aanscherpt om legitieme mailstromen niet om te brengen. Een verkeerde p=reject op dag één gooit uw factuurmail, marketingnieuwsbrief en HR-uitnodigingen in de spamfolder van uw klanten.

SPF en DKIM eerst correct

SPF publiceert welke servers namens uw domein mogen versturen. Inventariseer eerst alle verzendende systemen: Microsoft 365, Mailchimp, Salesforce Marketing Cloud, AFAS, uw ERP, monitoringtools. DKIM ondertekent uitgaande mail met een private key. Beide records komen in DNS en moeten valideren via MXToolbox voor u verder gaat.

Start met p=none en monitor

Het eerste DMARC-record zet u op p=none met een rua-adres voor aggregate reports. Op p=none gebeurt er nog niets met afwijkende mail, maar u krijgt dagelijks XML-reports binnen van Google, Microsoft, Yahoo en de meeste grote ontvangers. Postmark en Valimail bieden gratis tot betaalde dashboards die deze reports leesbaar maken.

Wat u in de reports zoekt

Drie soorten verzending komen boven: uw eigen geautoriseerde stromen die kloppen, uw eigen stromen die nog niet onder SPF of DKIM vallen, en spoofing door derden. De middelste categorie is uw werk. Voeg ontbrekende SaaS-providers toe aan SPF, configureer DKIM voor elke mail-sender en herhaal tot 99 procent van uw eigen mail aligned is.

Doorschalen naar quarantine en reject

Na zestig dagen schone reports gaat u naar p=quarantine met pct=25. Dat betekent dat een kwart van de niet-aligned mail in quarantaine belandt. Loopt dat goed, dan verhoogt u in stappen naar pct=100. Pas daarna naar p=reject. Een volledige uitrol van none naar reject duurt typisch drie tot zes maanden bij een organisatie met meerdere SaaS-senders.

Microsoft 365-valkuilen

Bij M365 moet u opletten op forwarding. Een mail die via een mailbox-rule wordt doorgestuurd, breekt SPF. Activeer ARC-sealing in Exchange Online en zet eventueel SRS aan. Distributielijsten met externe deelnemers zijn een tweede valkuil: de oorspronkelijke DKIM-handtekening moet behouden blijven, of het bericht moet opnieuw worden ondertekend door uw domein.

Verwant: Freelance cybersecurity consultant, Freelance Microsoft 365 consultant.