Naar de inhoud Naar de navigatie

DMARC


Deze pagina wordt beheerd door Forum Standaardisatie, zie: https://www.forumstandaardisatie.nl/open-standaarden/Dmarc

Beschrijving

DMARC is het protocol voor e-mailsystemen om te bepalen wat er met een ontvangen e-mail moet gebeuren als de versleutelde handtekening (DKIM) niet klopt en/of de afzender niet geverifieerd kan worden (SPF). Bijvoorbeeld als spam markeren, of verwijderen. Door twijfelachtige mail uit de inbox te houden, verlaagt dat de kans op phishing en hacks. DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen.

Status

Lijst status Verplicht ('Pas toe of leg uit')
Functioneel toepassingsgebied DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Organisatorisch werkingsgebied Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Aanvullende verplichtingen Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Europese status (MSP)Ja

Nut en werking

Typering Bescherming tegen e-mailphishing
Nut DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.
Werking DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.
Relatie met andere FS-Standaarden
    Domein

    Veilig internet

    TrefwoordenWebsite,Informatiebeveiliging,E-mail
    Gangbaar

    Detailinformatie

    Volledige naamDomain-based Message Authentication, Reporting, and Conformance
    VersieRFC 7489
    Specificatiedocumenthttps://datatracker.ietf.org/doc/rfc7489/
    BeheerorganisatieIETF

    Toepassing

    Community* Veilige E-mail Coalitie* DMARC.org* IETF* Platform Internetstandaarden
    Implementatiehulpmiddelen* NCSC factsheet ‘Bescherm domeinnamen tegen phishing’
    • Toolbox (DMARC)
    • Forum Standaardisatie adviseert overheden vanwege privacy zeer voorzichtig te zijn met DMARC Failure Reports (waarvoor de RUF-tag wordt gebruikt). De reden hiervoor is dat deze Failure Reports niet alleen valse maar ook legitieme mails kunnen bevatten die onbedoeld in een mailbox van een derde-partij terecht kunnen komen. Dat betekent dat we overheden afraden om Failure Reports te versturen. Het ontvangen van Failure Reports zou alleen (tijdelijk) gebruikt moeten worden als er geen andere mogelijkheid is om een spoofing-actie tegen te gaan. Daarbij is het belangrijk om Failure Reports te ontvangen in een mailbox waarvoor alleen noodzakelijke autorisaties worden verleend.

    Voor achtergrondinformatie zie:

    Conformiteitstest * Internet.nl
    Praktijkvoorbeelden

    Toetsingsinformatie

    Toelichting bij opname lijst Forum StandaardisatieHet Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis . En op 24 mei 2018 op advies van Forum Standaardisatie heeft zij besloten om DMARC op te nemen op de 'pas toe leg uit'-lijst.
    AdoptieadviezenOm adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:
    1. Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
    2. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
    3. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
    4. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
    5. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
    6. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
    Uitstekend beheerNee
    Aanmelder
    Documentatie voor opname lijst Forum Standaardisatie
      Datum van aanmelding2014-10-30
      Datum van besluit OBDO2015-05-18

      Overig

      Waarvoor geldt de verplichting
      Toelichting relatie met andere FS-standaarden
      Aandachtspunten
      Advies aan beheerder
      Sjabloon-bestektekst
      CPV-code(s)
      Leveranciers

      Documentatie

      DocumentFunctieLink
      Aanmelding_DMARC.pdfAanmeldinghttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/DMARC/Aanmelding DMARC.pdf
      Expertadvies_DMARC_1.0.pdfExpertadvieshttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/DMARC/Expertadvies DMARC 1.0.pdf
      FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_1.pdfForumadvieshttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/DMARC/FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden 1.pdf
      Forumadvies-DMARC-en-SPF.pdfForumadvieshttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/DMARC/Forumadvies-DMARC-en-SPF.pdf
      Intakeadvies-DMARC.pdfIntakeadvieshttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/DMARC/Intakeadvies-DMARC.pdf
      Reacties-uit-openbare-consultatie-DMARC-en-SPF.pdfConsultatiehttps://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/DMARC/Reacties-uit-openbare-consultatie-DMARC-en-SPF.pdf
      Copyright
      Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

      De functioneel inhoudelijke afbakening van bepaalde artefacten.

      Naar de pagina met de definitie van ‘toepassingsgebied’

      De geografische of organisatorische afbakening waarin iets uitwerking heeft.

      Naar de pagina met de definitie van ‘werkingsgebied’

      Een vooraf vastgestelde handelwijze voor het realiseren van doelen.

      Naar de pagina met de definitie van ‘beleid’

      Een entiteit bestaande uit mensen die samenwerken om specifieke doelen te bereiken.

      Naar de pagina met de definitie van ‘organisatie’

      Vaststaand, erkend voorbeeld of model.

      Naar de pagina met de definitie van ‘standaard’

      Alle handelingen die relevant zijn voor het instandhouden van iets.

      Naar de pagina met de definitie van ‘beheer’
      Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Dmarc&oldid=98625"