DMARC

Inhoudsopgave

    Status

    Lijst status
    • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
    • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
    • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
    • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
    Verplicht (pas toe leg uit)
    Functioneel toepassingsgebied

    Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

    DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.

    Organisatorisch werkingsgebied

    Benoemt de organisaties waarvoor de verplichting geldt.

    Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

    Aanvullende verplichtingen

    Soms legt het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) voor een standaard verplichtingen op die verder gaan dan de verplichtingen beschreven in de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.

    Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.

    Europese status

    ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.

    Ja

    Nut en werking

    Typering
    Bescherming tegen e-mailphishing
    Nut

    DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.

    Werking

    DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.

    Domein
    Relatie met andere standaarden
    Relatie met andere standaarden
    Relatie met andere standaarden
    Trefwoorden

    Detailinformatie

    Volledige naam

    Domain-based Message Authentication, Reporting, and Conformance

    Versie
    RFC 7489
    Specificatiedocument
    Beheerorganisatie
    IETF

    Toepassing

    Community

    Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.

    Hulpmiddelen

    Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.

    Conformiteitstest

    Hulpmiddelen of processen waarmee producten kunnen worden getest op conformiteit met de standaard.

    Handreiking implementatie strikte DMARC policy

    FS-20191211.05A4-opdracht-implementatie-strikte-dmarc-policy

    PDF Document | 359.35 KB
    18 mei 2020 (09:58)

    Toetsingsinformatie

    Toelichting bij opname

    Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis.

    Bij het toetsen van de standaard was deze nog niet volledig in beheer genomen bij IETF. De standaard zelf is stabiel en de beheerprocedures zijn geheel afgestemd op IETF. Besloten is dat om DMARC op te nemen op de ‘Pas toe of leg uit’-lijst onder voorwaarde dat DMARC minimaal een proposed standard is en wordt beheerd door IETF.

    Adoptieadviezen

    De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.

    Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:

    1. Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
    2. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
    3. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
    4. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
    5. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
    6. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
    Uitstekend beheer
    • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
    • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.
    Nee
    Aanmelding

    Aanmelding_DMARC

    PDF Document | 407.67 KB
    16 maart 2020 (16:43)
    Expertadvies

    Expertadvies_DMARC_1.0

    PDF Document | 433.13 KB
    16 maart 2020 (16:43)
    Forumadvies

    Forumadvies-DMARC-en-SPF

    PDF Document | 333.45 KB
    16 maart 2020 (16:43)
    Forumadvies

    FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_1

    PDF Document | 291.89 KB
    16 maart 2020 (16:43)
    Intakeadvies

    Intakeadvies-DMARC

    PDF Document | 319.87 KB
    16 maart 2020 (16:44)
    Reacties

    Reacties-uit-openbare-consultatie-DMARC-en-SPF

    PDF Document | 293.49 KB
    16 maart 2020 (16:44)
    Datum van aanmelding

    Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.

    30-10-2014

    Datum van besluit

    Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.

    18-05-2015