MailShield
All posts
Technical

DMARC rapport lezen: wat betekenen die XML bestanden?

8 min
DMARC rapport lezen: wat betekenen die XML bestanden?

Je hebt DMARC ingesteld, een DNS record gepubliceerd, en nu stromen er XML bestanden je mailbox binnen. Je opent er een en ziet regels vol tags, IP-adressen en cryptische waarden. Wat betekent dit allemaal?

DMARC aggregate rapporten zijn de kern van e-mailauthenticatie monitoring. Ze vertellen je precies wie er e-mail verstuurt namens jouw domein, of die e-mails de authenticatiecontroles doorstaan, en wat ontvangende servers ermee doen. Maar ze zijn niet bepaald leesbaar.

Wat staat er in een DMARC rapport?

Een DMARC aggregate rapport is een XML bestand dat door ontvangende mailservers wordt gestuurd (zoals Google, Microsoft, Yahoo). Het rapport bevat:

  • De rapporterende organisatie en het tijdsbestek (meestal 24 uur)
  • Jouw gepubliceerde DMARC beleid (none, quarantine of reject)
  • Per verzendend IP-adres: het aantal e-mails, SPF resultaat, DKIM resultaat en de actie die de ontvanger nam
  • Of SPF en DKIM alignment geslaagd is (of het From-domein overeenkomt met het geauthenticeerde domein)

De structuur van een rapport

Een typisch DMARC rapport begint met metadata: wie het heeft verstuurd, voor welk domein, en over welke periode. Daarna volgen de records, een voor elk uniek IP-adres dat e-mail heeft verstuurd als jouw domein.

Een enkel rapport van Google kan honderden records bevatten als je veel verschillende diensten gebruikt die e-mail versturen namens jouw domein (marketing tools, CRM, helpdesk, transactionele e-mail, etc.).

Voor elk record zie je:

  • source_ip: het IP-adres van de verzendende server
  • count: hoeveel e-mails vanaf dat IP zijn verstuurd
  • disposition: wat de ontvanger ermee deed (none, quarantine, reject)
  • dkim: of de DKIM controle slaagde (pass/fail) en welk domein werd gecontroleerd
  • spf: of de SPF controle slaagde (pass/fail) en welk domein werd gecontroleerd

Waar moet je op letten?

Bij het analyseren van DMARC rapporten zijn er vier dingen die je direct moet controleren:

  • Onbekende IP-adressen: als je een IP ziet dat je niet herkent, stuurt iemand (mogelijk ongeautoriseerd) e-mail als jouw domein. Zoek het IP op om te achterhalen of het een vergeten dienst is of een echte bedreiging.
  • SPF of DKIM failures bij bekende bronnen: als je eigen mailserver of een geautoriseerde dienst faalt op SPF of DKIM, is er een configuratieprobleem dat je moet oplossen.
  • Alignment failures: zelfs als SPF of DKIM slaagt, moet het geauthenticeerde domein overeenkomen met je From-domein. Alignment failures betekenen dat DMARC alsnog faalt.
  • Hoge reject/quarantine aantallen: als je beleid op none staat maar je ziet toch quarantine of reject acties, past de ontvanger mogelijk een eigen beleid toe.

Het probleem met handmatig lezen

Een klein domein ontvangt al snel tientallen rapporten per week. Een groter domein honderden. Elk rapport bevat meerdere records. Dit handmatig bijhouden is niet realistisch.

Bovendien zijn de rapporten gecomprimeerd (ZIP of GZIP), moet je ze uitpakken, de XML parsen, IP-adressen opzoeken, en alles aggregeren over tijd om trends te zien. Dit is precies het probleem dat DMARC monitoring tools oplossen.

Hoe MailShield dit oplost

MailShield ontvangt en verwerkt je DMARC rapporten automatisch. Wij zetten die onleesbare XML om in een overzichtelijk dashboard waar je in een oogopslag ziet:

  • Welke diensten e-mail versturen namens jouw domein
  • Of elke bron correct geauthenticeerd is (SPF, DKIM, alignment)
  • Ongeautoriseerde bronnen die je domein misbruiken
  • Trends over tijd: wordt je authenticatie beter of slechter?

Voeg je domein toe aan MailShield en je hoeft nooit meer handmatig XML te lezen. Wij verwerken alles automatisch en waarschuwen je direct als er iets verandert. Gratis voor maximaal 2 domeinen.

Check your domain now

See your email security score in under a minute. Free for up to 2 domains.

Get Started FreeMore articles