Complete gids voor Google G Suite DMARC Record Setup

We zijn allemaal bekend met phishing-schema's waarbij gebruikers worden verleid om hun wachtwoorden, creditcardnummers of andere gevoelige informatie in te voeren, die vervolgens wordt gestolen voor snode doeleinden. Het medium voor deze plannen is meestal een e-mailbericht waarin het domein van de afzender wordt vervalst.

Als dat vervalste domein van uw merk afkomstig is, brengt het uw toeleveringsketen en uw reputatie in gevaar. En als meerdere ontvangers het bericht als spam rapporteren, kunnen legitieme berichten die vanuit uw organisatie zijn verzonden, in de spammappen van de ontvangers terechtkomen.

Deze vorm van merkimitatie is een groeiend probleem. Uit het onderzoek State of Brand Protection 2021 van Mimecast blijkt dat er in 2020 gemiddeld 44% meer merkimpersonatie-e-mails per maand inkomend waren bij Mimecast-klanten dan in 2019. Bovendien hebben in Mimecast's State of Email Security 2021 (SOES) onderzoek meer dan drie op de vier ondervraagde bedrijven (76%) in 2020 ten minste één web- of e-mail-spoofingaanval meegemaakt waarbij hun domeinen of een lookalike werden gebruikt, en 25% zag er 10 of meer.

Als uw organisatie Google Workspace (voorheen G Suite) gebruikt voor Gmail en andere diensten, kunt u het DMARC-protocol gebruiken in samenwerking met DNS-servers en ontvangende e-mailservers om de spoofing van de domeinen van uw merk te voorkomen.

Wat is een DMARC record?

Een DMARC-record (Domain-based Message Authentication, Reporting and Conformance) geeft aan wat een ontvangende e-mailserver moet doen als een Gmail-bericht van het domein van uw merk niet wordt geverifieerd.

DMARC werkt met twee e-mail authenticatie methoden: Sender Policy Framework (SPF) en Domain Keys Identified Mail (DKIM). Met SPF kunt u aangeven welke IP adressen in uw domein geautoriseerd zijn om e-mail te versturen. DKIM voegt een digitale handtekening toe aan uitgaande berichten. De ontvangende server gebruikt SPF om te verifiëren dat het bericht van een betrouwbare bron afkomstig is en DKIM om te controleren of het bericht onderweg niet is gewijzigd.

Google Werkruimte DMARC Beleid

Een DMARC record moet een beleid specificeren voor de actie die de ontvangende server moet ondernemen als de inkomende e-mail SPF of DKIM authenticatie faalt. Er zijn drie Gmail DMARC policy opties:

• Geen: Het bericht normaal afleveren.
• Quarantaine: Stuur het bericht naar de spam-map van de ontvanger of naar de quarantaine, indien een quarantaine-optie is geconfigureerd.
• Reject: Het bericht niet afleveren. Vaak zal de ontvangende server de afzender op de hoogte brengen van de mislukking van het bericht.

Google Workspace raadt aan eerst de instelling "geen" te gebruiken en vervolgens de rapporten zorgvuldig te bekijken. Naarmate u vervolgens illegale versus legitieme gebruikers van uw domein identificeert - bijvoorbeeld marketingpartners die namens u e-mail verzenden - raadt Google aan het beleid te wijzigen in quarantaine en uiteindelijk in weigeren. Ongeacht de ondernomen actie, kunt u het DMARC-record zo instellen dat de ontvangende e-mailserver een rapport stuurt dat aangeeft welke van de e-mailservers van uw domein e-mail verzenden en het percentage berichten dat door de authenticatie komt of er niet in slaagt.

Optioneel kan een tweede beleid genaamd alignment worden ingesteld voor SPF en DKIM. De mogelijke waarden zijn "strict" of "relaxed" en hebben iets verschillende effecten voor SPF en DKIM.

Voor SPF zijn de opties:

• strict: Het "van"-adres van het bericht moet exact overeenkomen met de domeinnaam van de afzender.
• relaxed: Gedeeltelijke overeenkomsten, inclusief subdomeinnamen, zijn aanvaardbaar.

Voor DKIM zijn de opties:

• strict: De domeinnaam moet exact overeenkomen met het d=domainname veld in de DKIM header.
• relaxed: Gedeeltelijke overeenkomsten, inclusief subdomeinen, zijn aanvaardbaar.

Stappen om een Google Workspace DMARC Record in te stellen [i]

DMARC wordt ingesteld als een DNS TXT record op uw domein host. Het record bevat vlaggen die parameters specificeren voor de ontvangende server. Elke parameter is een tag-waarde paar. Bijvoorbeeld, om de policy op weigeren te zetten, zou het tag-waarde paar "p=weigeren" zijn.

Door deze stappen te volgen zal uw DMARC record ingesteld en gepubliceerd worden:

1. Configureer zowel SPF als DKIM, en wacht dan 48 uur voordat u het DMARC record publiceert.

2. Creëer de DMARC record als een regel tekst met tag-waarde paren gescheiden door puntkomma's. De bijgaande tabel bevat voorbeeld tags en mogelijke waarden. Wees je ervan bewust dat deze tags en waarden kunnen verschillen van host tot host. De v en p tags zijn verplicht en moeten vooraan staan. De overige tags zijn optioneel.

3. Zoek in de beheerconsole van uw domeinhost de plaats op waar u het DNS record kunt bijwerken. Voer de naam van uw DMARC TXT record in als "dmarc" gevolgd door een punt en uw domeinnaam. Sommige hosts zullen automatisch de domeinnaam toevoegen. Upload het record en sla de wijzigingen op.

Herhaal dit proces voor elk van uw domeinen.

Oplossingen van derden voor DMARC Setup

Als het Google Workspace DMARC proces een beetje ontmoedigend lijkt, is er goed nieuws: security service providers zoals Mimecast bieden cloud-gebaseerde DMARC tools . Dergelijke tools vereenvoudigen de DMARC installatie-bijvoorbeeld door setup wizards te voorzien voor het creëren van DMARC records voor al uw domeinen. Andere tools valideren DMARC records en maken gebruiksvriendelijke rapporten en grafieken voor het analyseren van berichten die niet geauthenticeerd konden worden, evenals forensische rapporten voor het vinden van de bron van kwaadaardige e-mailberichten.

De kern van de zaak

Aangezien online merkimitatie blijft toenemen, wordt het een steeds groter probleem voor merken van elke omvang. Het instellen van Google Workspace DMARC kan merken helpen zich te verdedigen tegen e-mail-spoofingconstructies die zich voordoen als hun domeinen.

[i] Zie Google DMARC instructies