DMARC

Uit NORA Online
FS:Dmarc
Naar navigatie springen Naar zoeken springen


Beschrijving
DMARC is het protocol voor e-mailsystemen om te bepalen wat er met een ontvangen e-mail moet gebeuren als de versleutelde handtekening (DKIM) niet klopt en/of de afzender niet geverifieerd kan worden (SPF). Bijvoorbeeld als spam markeren, of verwijderen. Door twijfelachtige mail uit de inbox te houden, verlaagt dat de kans op phishing en hacks. DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen.
Status
Lijst status Verplicht (pas toe leg uit)
Functioneel toepassingsgebied DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Organisatorisch werkingsgebied Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Aanvullende verplichtingen Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Europese status (MSP)Ja
Nut en werking
Typering
Nut DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.
Werking DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.
Relatie met andere standaarden
Domein

Veilig internet

TrefwoordenWebsite, Informatiebeveiliging, E-mail
Gangbaar
Detailinformatie
Volledige naamDomain-based Message Authentication, Reporting, and Conformance
VersieRFC 7489
Specificatiedocumenthttps://datatracker.ietf.org/doc/rfc7489/
BeheerorganisatieIETF
Community* Veilige E-mail Coalitie* DMARC.org* IETF* Platform Internetstandaarden
Hulpmiddelen* NCSC factsheet ‘Bescherm domeinnamen tegen phishing’
  • Toolbox (DMARC)
  • Forum Standaardisatie adviseert overheden vanwege privacy zeer voorzichtig te zijn met DMARC Failure Reports (waarvoor de RUF-tag wordt gebruikt). De reden hiervoor is dat deze Failure Reports niet alleen valse maar ook legitieme mails kunnen bevatten die onbedoeld in een mailbox van een derde-partij terecht kunnen komen. Dat betekent dat we overheden afraden om Failure Reports te versturen. Het ontvangen van Failure Reports zou alleen (tijdelijk) gebruikt moeten worden als er geen andere mogelijkheid is om een spoofing-actie tegen te gaan. Daarbij is het belangrijk om Failure Reports te ontvangen in een mailbox waarvoor alleen noodzakelijke autorisaties worden verleend.

Voor achtergrondinformatie zie:

Conformiteitstest * Internet.nl
Praktijkvoorbeelden
Toetsingsinformatie
Toelichting bij opname Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis . En op 24 mei 2018 op advies van Forum Standaardisatie heeft zij besloten om DMARC op te nemen op de 'pas toe leg uit'-lijst.
AdoptieadviezenOm adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:
  1. Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
  2. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
  3. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
  4. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
  5. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
  6. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
Uitstekend beheerNee
Documentatie
    Datum van aanmelding2014-10-30
    Datum van besluit2015-05-18
    Overig
    Waarvoor geldt de verplichting
    Toelichting
    Aandachtspunten
    Advies aan beheerder
    Sjabloon-bestektekst
    CPV-code(s)
    Leveranciers
    bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero