Defaults.Exposed › Instellen › DMARC

DMARC instellen bij AWS Route 53

Voeg in uw Route 53-hostedzone een DMARC-record toe om mailproviders te vertellen wat ze moeten doen met e-mail die uw controles niet doorstaat.

Waarom dit belangrijk is voor uw bedrijf

DMARC bindt SPF en DKIM aan elkaar en voegt de ontbrekende instructie toe: wat moet een ontvangende mailprovider doen wanneer een e-mail die zogenaamd van u komt de controles niet doorstaat? Zonder DMARC gokt elke provider er maar naar. Mét DMARC bepaalt u het zelf — en u kunt providers vragen u rapporten te sturen die laten zien wie er post in uw naam verstuurt.

In gewone taal: DMARC is wat criminelen daadwerkelijk tegenhoudt om uw domein te vervalsen en zo uw klanten of medewerkers op te lichten. Het is het beleid bovenop de sloten die SPF en DKIM bieden — gratis, en die paar minuten dik waard.

Stel eerst SPF en DKIM in

DMARC werkt door de uitkomsten van SPF en DKIM te controleren. Heeft u die nog niet ingesteld, doe dat dan eerst — een DMARC-beleid zonder iets eronder heeft niets om af te dwingen.

Controleer of Route 53 uw DNS beheert

Zoals bij elk DNS-record werkt dit alleen als Route 53 de DNS voor uw domein beantwoordt. Route 53 is uw DNS-host, niet uw postbusprovider. Open in de Route 53-console Hosted zones, selecteer uw domein en noteer de vier NS-waarden (nameservers); die moeten overeenkomen met de nameservers die bij uw registrar staan ingesteld. Heeft u het domein via Route 53 geregistreerd, dan komen ze meestal al overeen; staat het ergens anders geregistreerd — of heeft u meer dan één hostedzone voor het domein — controleer het dan zorgvuldig. Verwijzen de actieve nameservers ergens anders heen, voeg het DMARC-record dan toe bij de provider die uw DNS beheert.

Stap voor stap bij Route 53

1. Log in op de AWS-console en open Route 53.
2. Kies in het linkermenu Hosted zones en klik vervolgens op de naam van uw domein.
3. Klik op Create record.
4. Verschijnt er een wizard met routeringsopties, schakel dan over naar het eenvoudige formulier (zoek naar Quick create record).
5. Vul bij Record name exact in: _dmarc Typ er niet uw domeinnaam achter — Route 53 voegt het domein voor u toe (het toont uw domein naast het veld).
6. Zet Record type op TXT.
7. Begin bij Value rustig met een alleen-monitoren-beleid, omgeven door dubbele aanhalingstekens: "v=DMARC1; p=none; rua=mailto:[email protected]" Vervang het adres door een postbus die u daadwerkelijk leest. Dit vraagt providers u samenvattende rapporten te mailen, zonder dat er voorlopig iets aan de afhandeling van uw post verandert.
8. Laat TTL op de standaardwaarde staan.
9. Klik op Create records.

Uw beleid kiezen (het deel p=)

• p=none — alleen monitoren. Er wordt niets geblokkeerd; u ontvangt slechts rapporten. Begin hier.
• p=quarantine — falende post naar spam/ongewenst sturen.
• p=reject — falende post ronduit weigeren (de sterkste bescherming).

Draai p=none een paar weken, lees de rapporten om te bevestigen dat al uw legitieme post slaagt, ga dan over op quarantine en uiteindelijk op reject. Direct naar reject springen voordat u de rapporten heeft bekeken, riskeert dat u uw eigen echte e-mail blokkeert.

Valkuilen bij Route 53

• De waarde moet tussen dubbele aanhalingstekens staan. Route 53 verwacht dat u de aanhalingstekens zelf typt: "v=DMARC1; p=none; ...". Ze weglaten is de meestgemaakte fout bij Route 53.
• Record name is _dmarc, met de underscore. Een veelvoorkomende fout is de underscore weglaten of _dmarc.uwdomein.nl typen — bij Route 53 vult u alleen _dmarc in en wordt de zone voor u toegevoegd. Het volledige domein typen levert een kapotte host _dmarc.uwdomein.nl.uwdomein.nl op die nooit wordt gecontroleerd.
• Slechts één DMARC-record. Net als bij SPF mag er maar één DMARC-TXT-record op _dmarc staan. Bestaat er al een, bewerk die dan in plaats van een tweede toe te voegen.
• Gebruik een echte rapportagepostbus. Het adres na rua=mailto: moet er een zijn die u echt controleert, anders zijn de rapporten verspild. Het mag op hetzelfde domein staan of op een ander. (Richt u rapporten op een domein dat u niet beheert, dan moet dat domein het toestaan — maar voor uw eigen domein zit het goed.)
• Juiste hostedzone, juiste account. Met meerdere zones of AWS-accounts is het zo gebeurd dat u de verkeerde bewerkt. Bevestig dat de vier NS-waarden van de zone overeenkomen met uw actieve nameservers.
• Geef het tijd. DNS-wijzigingen kunnen een paar minuten tot een paar uur duren voordat ze actief zijn.

Controleer of het gelukt is

Zodra het record is opgeslagen en doorgevoerd, voer dan de gratis controle op deze site uit. Die vertelt u in gewone taal of uw DMARC-record aanwezig is en welk beleid u heeft ingesteld.

Klaar? Controleer je domein gratis om te bevestigen dat het werkte — en bekijk je volledige beoordeling over alle 34 controles.