DMARC

Uit NORA Online
FS:Dmarc / (Doorverwezen vanaf DMARC)
Naar navigatie springen Naar zoeken springen
De printervriendelijke versie wordt niet langer ondersteund en kan weergavefouten bevatten. Werk uw browserbladwijzers bij en gebruik de gewone afdrukfunctie van de browser.
Exporteer naar RDF

Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Dmarc

DMARC is het protocol voor e-mailsystemen om te bepalen wat er met een ontvangen e-mail moet gebeuren als de versleutelde handtekening (DKIM) niet klopt en/of de afzender niet geverifieerd kan worden (SPF). Bijvoorbeeld als spam markeren, of verwijderen. Door twijfelachtige mail uit de inbox te houden, verlaagt dat de kans op phishing en hacks. DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen.
Over de standaard
Lijst status Verplicht (pas toe leg uit)
Beschrijving Bescherming tegen e-mailphishing
Uitleg
Nut DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.
Werking DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.
Waarvoor geldt de verplichting
Aanvullende verplichtingen Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Trefwoorden Website, Informatiebeveiliging, E-mail
Detailinformatie
Beheerorganisatie IETF
Uitstekend beheerNee
Specificatiedocument https://datatracker.ietf.org/doc/rfc7489/
Volledige naam Domain-based Message Authentication, Reporting, and Conformance
Versie RFC 7489
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest
Domein

Veilig internet

Relatie met andere standaarden
Toelichting
Toetsingsinformatie
Hulpmiddelen
  • NCSC factsheet ‘Bescherm domeinnamen tegen phishing’
  • Toolbox (DMARC)
  • Forum Standaardisatie adviseert overheden vanwege privacy zeer voorzichtig te zijn met DMARC Failure Reports (waarvoor de RUF-tag wordt gebruikt). De reden hiervoor is dat deze Failure Reports niet alleen valse maar ook legitieme mails kunnen bevatten die onbedoeld in een mailbox van een derde-partij terecht kunnen komen. Dat betekent dat we overheden afraden om Failure Reports te versturen. Het ontvangen van Failure Reports zou alleen (tijdelijk) gebruikt moeten worden als er geen andere mogelijkheid is om een spoofing-actie tegen te gaan. Daarbij is het belangrijk om Failure Reports te ontvangen in een mailbox waarvoor alleen noodzakelijke autorisaties worden verleend.

Voor achtergrondinformatie zie:

Functioneel toepassingsgebied DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Organisatorisch werkingsgebied Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Toelichting bij opname Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis . En op 24 mei 2018 op advies van Forum Standaardisatie heeft zij besloten om DMARC op te nemen op de 'pas toe leg uit'-lijst.
Datum van aanmelding 2014-10-30
Datum van besluit 2015-05-18
Europese status (MSP) Ja
Documentatie
    Forum-Adviezen
    Advies aan beheerder
    Adoptieadviezen

    Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:

    1. Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
    2. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
    3. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
    4. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
    5. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
    6. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
    Leveranciers
    bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

    De omschrijving van het functionele gebruik van de voorziening

    Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

    Alle belanghebbenden van overheidsdienstverlening in de ruimste zin van het woord.

    Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Dmarc&oldid=69077"