Over de standaard

Beschrijving

Anti-phishing

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

DMARC is een standaard voor het veiliger maken van e-mail verkeer door het tegengaan van spam en phisingmail door misbruik van domeinnamen bij e-mail te voorkomen.

Werking

DMARC maakt het mogelijk om beleid in te stellen over de manier hoe een e-mailprovider om moet gaan met e-mail waarvan niet kan worden vastgesteld dat deze afkomstig is van het vermelde afzenderdomein. Hierdoor kunnen organisaties voorkomen dat anderen e-mails versturen namens het e-maildomein van de organisatie. Het gebruik van DMARC kan daarmee ingezet worden voor het verminderen en/of voorkomen van misbruik van de domeinnaam middels e-mail. Ook kan door het gebruik van de standaard worden voorkomen dat e-mailmailingen door e-mailproviders onterecht voor spam worden aangezien.

Trefwoorden
Beveiliging
e-Mail
Website

Detailinformatie

Beheerorganisatie
IETF
Volledige naam
Domain-based Message Authentication, Reporting, and Conformance
Version
RFC 7489
Waarvoor geldt de verplichting

Bij investeringen in ICT-systemen voor uitgaande en inkomende e-mail en in domeinnaamsystemen (DNS).

Voor DMARC heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt. Tweemaal per jaar wordt gemeten hoe de overheid aan deze afspraak voldoet. Zie https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken voor details.

Implementatie

Toelichting

DMARC maakt gebruik van SPF en DKIM. SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein e-mail mag verzenden. DKIM koppelt een e-mail aan een domeinnaam met behulp van een digitale handtekening. DMARC gebruikt DKIM en SPF om de authenticiteit van een e-mail te verifiëren. Wanneer deze verificatie niet mogelijk is wordt het DMARC-beleid in werking gezet. Verder kent de standaard een nauwe relatie met DNSSEC een standaard voor het beveiligen van domeinnamen.

Domein
Internet & Beveiliging
Conformiteitstest

Conformiteit kan getoetst worden via www.internet.nl en www.phishingscorecard.com

Community en Organisaties

Informatie en hulp kan ook gevonden worden bij het platform internetstandaarden. Het doel van het platform is het gebruik van moderne internetstandaarden, waaronder DMARC, te stimuleren. 

Toetsingsinformatie

Functioneel toepassingsgebied

DMARC moet worden toegepast op alle overheidsdomeinnamen, ook op domeinen waarvan niet wordt gemaild, én op alle mailservers waarmee de overheid e-mail ontvangt.
Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

Organisatorisch werkingsgebied

Overheden en instellingen uit de publieke sector

Toelichting bij opname

Bij het toetsen van de standaard was deze nog niet volledig in beheer genomen bij IETF. De standaard zelf is stabiel en de beheerprocedures zijn geheel afgestemd op IETF. Besloten is dat om DMARC op te nemen op de ‘pas toe of leg uit’-lijst onder voorwaarde dat DMARC minimaal een proposed standard is en wordt beheerd door IETF.

In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard DMARC aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 24 mei 2018. Een toelichting treft u in dit document.

Datum van besluit
2015-05-18
Datum van aanmelding
2014-10-30

Adoptieadviezen

Adoptieadviezen

Om adoptie van de standaard te bevorderen zijn de volgende adviezen meegegeven:

  1. Het NCSC wordt opgeroepen om (in samenwerking met de expertgroep) een handreiking/ICT-richtlijnen voor de beveiliging van e-mail op te stellen, zoals ook is gedaan voor Transport Layer Security (TLS). Het is hierbij niet alleen van belang om de technologie van de standaarden toe te lichten (waaronder aandachtspunten bij de implementatie), maar ook het bestuurlijke belang van de standaarden.
  2. Het Forum Standaardisatie wordt opgeroepen om bij (semi)overheidsorganisaties het gebruik van DMARC, SPF en DKIM onder de aandacht te brengen via de leden van het Forum. Het gaat hier met name om (semi)overheidsorganisaties waarvan het aannemelijk is dat burgers, bedrijven en andere overheidsorganisaties e-mails met deze afzenders vertrouwen.
  3. Veilige e-mail is een belangrijke basis voor het realiseren van de ambities van de Digitale Overheid 2017 uit het regeerakkoord. De minister van BZK wordt opgeroepen om adoptie van de standaarden voor veilig e-mailverkeer vanuit de overheid richting burgers en bedrijven op de agenda van de Digitale Overheid 2017 te zetten.
  4. Het Forum Standaardisatie wordt opgeroepen om de CTO-raad, het platform internetstandaarden en het ECP (Platform voor de InformatieSamenleving) te betrekken bij activiteiten ter bevordering van de adoptie van de standaard.
  5. Het Forum Standaardisatie wordt opgeroepen om in samenwerking met het College bescherming persoonsgegevens (CBP) te onderzoeken of het mogelijk is om een (voorbeeld) Privacy Impact Assessment uit te (laten) voeren. De uitkomsten uit dit assessment kunnen als voorbeeld gebruikt worden door andere (semi)overheidsorganisaties.
  6. De eigenaren van informatiebeveiligingsbaselines binnen de overheid, zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Gemeenten (BIG) en de Baseline Informatiebeveiliging Waterschappen (BIWA), worden opgeroepen om de standaarden voor veilige e-mailcommunicatie, zoals DMARC, DKIM en SPF, op te nemen in deze baselines.