Domain-based Message Authentication, Reporting, & Conformice (DMARC) is een specificatie voor e-mailverificatie die wordt gebruikt om internetdomeinen te beschermen tegen aanvallers die proberen deze domeinen te gebruiken om frauduleuze e-mail aan gebruikers te verzenden.
DMARC wordt gebruikt in combinatie met een of beide van de volgende e-mailverificatiesystemen:
- Het Sender Policy Framework (SPF) identificeert welke mailservers e-mail mogen verzenden namens een domein, waardoor aanvallers geen frauduleuze e-mails kunnen verzenden met die domeinnaam. De lijst met geautoriseerde mailservers is opgenomen in een specifiek geformatteerde SPF TXT-record, die wordt gepubliceerd in de DNS-records (Domain Name System) voor het verzendende domein.
- Met DomainKeys Identification Mail (DKIM) kan een organisatie een domeinnaam koppelen aan een e-mailbericht, zodat de ontvanger de afzender kan valideren. Met het oog op extra beveiliging kunnen ontvangende e-mailuitwisselingsprogramma's door middel van een mechanisme voor het ondertekenen van uitgaande berichten met een persoonlijke sleutel, controleren of inkomende e-mail van een domein geautoriseerd is door de beheerders van dat domein. DKIM kan worden ingeschakeld voor organisaties die een aangepast maildomein gebruiken door een aanvraag voor een servicecatalogus in te dienen.
Verzonden berichten
Begin 2016 implementeerden Google en Yahoo een strenger DMARC-beleid voor hun e-mailservices om meer soorten e-mail te beschermen. Voor organisaties die e-mailservices van Google of andere derden gebruiken, kan dit van invloed zijn op de configuratie van e-mail in Brightspace®.
Afhankelijk van uw configuratie wordt bij het verzenden van een e-mail door een individuele persoon, het e-mailadres van die persoon als het FROM -adres vermeld. Dit is handig voor de ontvanger bij het identificeren van de afzender, maar kan problemen veroorzaken wanneer de e-mail van de afzender een extern domein is.
Bijvoorbeeld: Als het e-maildomein van de organisatie wordt gehost door Gmail en een cursist met een e-mailadres dat gebruikmaakt van het Gmail-domein, een e-mail verzendt naar een andere cursist met een Gmail-account, dan wijst Gmail het bericht af. Dit komt doordat de Gmail DMARC "p=reject"-record-D2L®-servers die de e-mail verzenden, niet zijn goedgekeurd voor verzending namens het door Gmail gehoste e-maildomein. Als het e-mailbericht is ondertekend met aanvullende informatie, staat Gmail toe dat de e-mail wordt ontvangen.
Doorgestuurde berichten
E-mails die worden doorgestuurd vanaf D2L®-servers lijken afkomstig te zijn van het D2L®-domein van een afzender (in de indeling {username}@{D2LMailDomain}) in plaats van het oorspronkelijke (externe) afzenderaccount. In e-mailkopteksten wordt het nieuwe FROM-adres weergegeven als het D2L®-e-mailadres van de gebruiker, en het REPLY-TO-adres als het (externe) e-mailadres van de oorspronkelijke afzender.
Voorbeeld van de manier waarop doorgestuurde e-mails worden weergegeven:
Antwoorden op: {OriginalSender}@{ExternalDomain}
Van: {Student}@{D2LMailDomain}
@{Student}@{ExternalMailDomain}
Onderwerp: FW: Voorbeeld van e-mail
--------------------------------------
Om {HH:MM AM/PM} op {Long Format Date} schreef {Original Sender}<{OriginalSender}@{ExternalDomain}>
Opmerkingen:
• Als uw organisatie e-mails filtert/weigert op basis van het FROM-adres, kan de DMARC-specificatie ervoor zorgen dat e-mailfilters op onverwachte manieren werken. Mogelijk moet u filters aanpassen om rekening te houden met deze standaard voor het doorsturen van e-mail.
• Raadpleeg Beste methoden voor uitgaande e-mail om er zeker van te zijn dat u SPF- en CNAME-records correct hebt geconfigureerd voor uw organisatie. Als u de SPF niet correct instelt voor het D2LMailDomain, zullen uw organisatie of externe mailproviders met een zeer streng spambeleid correct doorgestuurde e-mailberichten afwijzen.