DMARC

DMARC is het protocol voor e-mailsystemen om te bepalen wat er met een ontvangen e-mail moet gebeuren als de versleutelde handtekening (DKIM) niet klopt en/of de afzender niet geverifieerd kan worden (SPF). Bijvoorbeeld als spam markeren, of verwijderen. Door twijfelachtige mail uit de inbox te houden, verlaagt dat de kans op phishing en hacks. DMARC, SPF en DKIM zijn een essentiële combinatie om veilig te e-mailen.

Inhoudsopgave

Status

Lijst status ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten. ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt. ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst. ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.	Verplicht (pas toe leg uit)
Functioneel toepassingsgebied Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).	DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Organisatorisch werkingsgebied Benoemt de organisaties waarvoor de verplichting geldt.	Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Aanvullende verplichtingen Soms legt het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) voor een standaard verplichtingen op die verder gaan dan de verplichtingen beschreven in de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.	Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.
Europese status ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.	Ja

Nut en werking

Typering	Bescherming tegen e-mailphishing
Nut	DMARC geeft de verzendende partij de mogelijkheid om beleid te formuleren wat er met e-mails moet gebeuren wanneer de echtheidswaarmerken niet kloppen. Het geeft ook rapportagemogelijkheden voor legitieme en niet-legitieme uitgaande e-mailstromen.
Werking	DMARC maakt het mogelijk om beleid in te stellen over de manier waarop een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.
Domein	Veilig internet
Relatie met andere standaarden	DKIM
Relatie met andere standaarden	DNSSEC
Relatie met andere standaarden	SPF
Trefwoorden	Website Informatiebeveiliging E-mail

Detailinformatie

Volledige naam	Domain-based Message Authentication, Reporting, and Conformance
Versie	RFC 7489
Specificatiedocument	Domain-based Message Authentication, Reporting, and Conformance (DMARC)
Beheerorganisatie	IETF

Toepassing

Community Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.	Veilige E-mail Coalitie DMARC.org IETF Platform Internetstandaarden
Hulpmiddelen Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.	NCSC factsheet ‘Bescherm domeinnamen tegen phishing’ Toolbox (DMARC) Forum Standaardisatie adviseert overheden vanwege privacy zeer voorzichtig te zijn met DMARC Failure Reports (waarvoor de RUF-tag wordt gebruikt). De reden hiervoor is dat deze Failure Reports niet alleen valse maar ook legitieme mails kunnen bevatten die onbedoeld in een mailbox van een derde-partij terecht kunnen komen. Dat betekent dat we overheden afraden om Failure Reports te versturen. Het ontvangen van Failure Reports zou alleen (tijdelijk) gebruikt moeten worden als er geen andere mogelijkheid is om een spoofing-actie tegen te gaan. Daarbij is het belangrijk om Failure Reports te ontvangen in een mailbox waarvoor alleen noodzakelijke autorisaties worden verleend. Voor achtergrondinformatie zie: https://tools.ietf.org/html/rfc7489#section-9.1 https://certified-senders.org/wp-content/uploads/2018/08/Report_DMARC_and_GDPR.pdf
Conformiteitstest Hulpmiddelen of processen waarmee producten kunnen worden getest op conformiteit met de standaard.	Internet.nl Handreiking implementatie strikte DMARC policy

Toetsingsinformatie

Toelichting bij opname	Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. En op 24 mei 2018 op advies van Forum Standaardisatie heeft zij besloten om DMARC op te nemen op de 'pas toe leg uit'-lijst.
Adoptieadviezen De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.	Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven: Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.
Uitstekend beheer ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie. ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.	Nee
Aanmelding	Aanmelding_DMARC.pdf PDF Document \| 407.67 KB
Expertadvies	Expertadvies_DMARC_1.0.pdf PDF Document \| 433.13 KB
Forumadvies	Forumadvies-DMARC-en-SPF.pdf PDF Document \| 333.45 KB
Forumadvies	FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_1.pdf PDF Document \| 291.89 KB
Intakeadvies	Intakeadvies-DMARC.pdf PDF Document \| 319.87 KB
Consultatie	Reacties-uit-openbare-consultatie-DMARC-en-SPF.pdf PDF Document \| 293.49 KB
Datum van aanmelding Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.	30-10-2014
Datum van besluit Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.	18-05-2015

Standaard Samenwerken