Omschrijving
- Type: CUSTOMER
- Severity: WARNING
- Bescherming tegen: SOCIAL ENGINEERING
- CIS: M365 4.13 – (L1) Ensure DMARC Records for all Exchange Online domains are published
Deze Customer Check controleert of DMARC Records correct zijn gepubliceerd voor alle domeinen die gekoppeld zijn aan Exchange Online.
Waarom deze check?
DMARC is een belangrijke functie om de echtheid van uw e-mailberichten aan te tonen. Andersom dient het om e-mails die ten onrechte uit uw naam worden verzonden, bijvoorbeeld door phishers en spammers, te blokkeren. Dit dient indirect de reputatie van uw organisatie, aangezien zonder deze bescherming een aanvaller zogenaamd uit uw naam iemand kan proberen te misleiden.
DMARC staat voor “Domain-based Message Authentication, Reporting & Conformance”. Deze functie levert de mogelijkheid op voor de afzender om afhandelingsinstructies voor e-mail aan een ontvanger te geven. DMARC werkt door middel van DNS records en wordt samen met SPF (CHK-1033) en DKIM (CHK-1029) aangeraden om betrouwbaarheid van e-mailverkeer te optimaliseren.
In deze check controleren we de juistheid van DMARC configuratie voor alle domeinen die aan uw Microsoft Tenant verbonden zijn. Daarbij een uitzondering voor de *.onmicrosoft.com domeinen, aangezien die in eigendom van Microsoft zelf zijn en u de DMARC instellingen daarvan dus niet kunt beheren.
CIS Benchmarks
Deze maatregel is in lijn met het volgende item uit de Center for Internet Security (CIS) Microsoft 365 Foundations Benchmark:
- CIS M365 4.13 – (L1) Ensure DMARC Records for all Exchange Online domains are published
Welke mogelijke uitkomsten heeft de check?
Deze check heeft twee mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:
- Okay: DMARC is voor alle e-maildomeinen correct ingesteld (*.onmicrosoft.com uitgezonderd)
- Warning: Voor 1 of meerdere domeinen die gekoppeld zijn aan uw Exchange Online (*.onmicrosoft.com uitgezonderd) is DMARC niet correct ingesteld.
Hoe moet dit worden opgevolgd?
Indien de output Warning is, adviseren wij om DMARC in te stellen voor alle domeinen waar dit nog niet of niet volledig het geval is. Meer informatie over het implementeren van DMARC vindt u hier:
DMARC gebruiken om e-mail te valideren – Office 365 | Microsoft Docs