Vanaf februari 2024 moet elk bedrijf dat meer dan 5.000 e-mailberichten verstuurt via Google of Yahoo, een authenticatietechnologie genaamd DMARC gaan gebruiken. Deze verplichting betekent dat DMARC, dat al door veel bedrijven wordt gebruikt, een basisvereiste zal worden voor iedereen die e-mail voor marketingdoeleinden inzet.
DMARC staat voor 'Domain-based Message Authentication, Reporting, and Conformance'. In simpel Nederlands gezegd: het is een protocol om je te beschermen tegen e-mailfraude. Het zorgt er namelijk voor dat e-mails die namens jouw domein worden verzonden, geauthenticeerd worden, zodat ontvangers weten dat het een legitieme e-mail is. DMARC is ontworpen om jouw e-maildomeinen te beschermen tegen ongeoorloofd gebruik, ook wel e-mail spoofing genoemd. Op deze manier kun je jouw e-maildomein beschermen tegen fraude, phishing en andere oplichterij via e-mail.
DMARC bouwt voort op twee reeds bestaande methoden voor e-mail verificatie: het Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM). DMARC functioneert als een DNS-configuratie en zodra deze geactiveerd is, kunnen e-mailservers die e-mails ontvangen deze controleren op basis van het vastgestelde DMARC-beleid. Indien een e-mail slaagt voor de authenticatie test, wordt deze als veilig beschouwd en bezorgd. Mocht de e-mail echter niet aan de vereisten voldoen, dan bepaalt het DMARC-record of de e-mail alsnog wordt bezorgd, in quarantaine geplaatst, of volledig wordt geblokkeerd.
Waarom is DMARC belangrijk? Stel je voor dat iemand zich voordoet als jouw bedrijf en valse e-mails naar je klanten stuurt. Dit kan niet alleen je reputatie schaden, maar ook serieuze financiële verliezen veroorzaken. DMARC helpt dit te voorkomen door ervoor te zorgen dat e-mails echt van jou komen.
Met een DMARC-beleid kan een verzender aangeven dat zijn of haar e-mails beveiligd zijn met SPF en/of DKIM. Dit beleid instrueert de ontvangende e-mailserver hoe te handelen als deze beveiligingsmethoden falen. Er zijn drie mogelijke acties: niets doen, het e-mailbericht in quarantaine plaatsen, of het bericht afwijzen. Bovendien kan het beleid specificeren hoe de ontvangende server moet rapporteren over e-mails die deze controles passeren of falen. Voor deze rapportage wordt vaak een specifiek e-mailadres opgezet, vooral omdat in de beginfase van de implementatie van DMARC vaak veel frauduleuze e-mails worden ontdekt. Heb je de DMARC-record correct ingesteld? Dan kan dit een gunstige impact hebben op de afleverbaarheid van e-mails van de afzender.
Vanaf februari 2024 is DMARC verplicht geworden. De reden? Een enorme toename van phishing en spoofing aanvallen. Het is een belangrijke maatregel in de strijd tegen e-mail fraude en -misbruik. Door het instellen van DMARC kunnen bedrijven hun e-maildomeinen beter beveiligen tegen misbruik door derden.
Doordat e-mailontvangers met zekerheid kunnen vaststellen dat de e-mails die zij ontvangen daadwerkelijk van de opgegeven afzender afkomstig zijn, vermindert de kans dat frauduleuze e-mails hun doelwit bereiken, maar helpt het ook de reputatie van het bedrijf te beschermen. Zo wordt namelijk voorkomen dat hun domeinnaam wordt geassocieerd met malafide activiteiten.
Voor bedrijven die grote hoeveelheden e-mails verzenden, is het risico op misbruik van hun domeinnaam groter, en de gevolgen kunnen ernstiger zijn. De verplichting om DMARC in te stellen bij het verzenden van meer dan 5.000 e-mails is daarom een proactieve stap om zowel bedrijven zelf als hun klanten te beschermen tegen de toenemende dreiging van e-mail gerelateerde cyberaanvallen. Dit draagt bij aan een veiligere online omgeving, waarin de integriteit van e-mailcommunicatie beter gewaarborgd is.
Ben je geen Google of Yahoo gebruiker met betrekking tot het versturen van e-mails en verstuur je niet zoveel e-mails? Dan ben je niet verplicht om een DMARC-record in te stellen. Maar uiteraard raden we het in alle gevallen wel aan om beter beschermd te zijn. Als ondernemer kan het ook voor jou van belang zijn om te zorgen dat jouw e-maildomeinen DMARC-geauthenticeerd zijn. Dit betekent dat je moet instellen hoe e-mailproviders moeten omgaan met e-mails die niet aan de DMARC-normen voldoen. Je kunt kiezen om ze in quarantaine te plaatsen of ze helemaal te weigeren.
Hoe stel je DMARC correct in? Wij zouden adviseren om op e-mail gebied een kundige ICT partij dit in te laten regelen, ook wij, als Schulten Media, werken met een externe ICT partner. Maar uiteraard zijn er ook stappen die je zelf kunt ondernemen. Hier zijn er een aantal:
Beleidsopstelling: Bepaal je DMARC-beleid. Wil je dat e-mails die falen direct worden geweigerd of eerst in quarantaine gaan?
DNS-Record: Voeg een DMARC-record toe aan je DNS-configuratie. Dit record vertelt e-mailproviders hoe ze met jouw e-mails om moeten gaan.
Rapportage en analyse: Analyseer regelmatig de DMARC-rapporten. Zo zie je of er pogingen zijn geweest om je e-maildomein te misbruiken.
De verplichting van DMARC is een belangrijke stap in het beveiligen van e-mailcommunicatie. Als onderneming is het essentieel om deze veranderingen serieus te nemen en je systemen dienovereenkomstig aan te passen. Door DMARC in te stellen, bescherm je niet alleen je eigen domein, maar ook je klanten en partners tegen frauduleuze activiteiten. Better safe than sorry!
Geplaatst op 13 feb 2024