logo exchange online

SPF, DKIM en DMARC bij Exchange Online

Met alle spam, phishing en spoofing word naast het SPF record ook steeds vaker verlangd dat je domein over een DKIM en DMARC record beschikt.

Voordat je in de DNS zone van je domein een SPF record toevoegd, moet je dit record natuurlijk samenstellen. De inhoud voor dit record kun je samenstellen via MXToolBox. Als een begin kun je het volgende gebruiken zodat je kunt mailen vanaf hosts die als a-record en mx-record aanwezig zijn op je domein, alsook de include van Exchange Online.

v=spf1 a mx include:spf.protection.outlook.com -all

Vervolgens wil je een DKIM record aanmaken. Hiervoor heb je enkele gegevens nodig die betrekking hebben op je accepted domain binnen Exchange Online. Zo heb het domain guid nodig van je accepted domain. Dit kun je halen uit het MX-record dat je moest instellen bij het toevoegen van het domein. Met een simpele host lookup haal je dit eruit:

tabasco@debbie:~$ host -t mx contoso.com
contoso.com mail is handled by 10 contoso-com.mail.protection.outlook.com.

Dat zegt ons dat het domain guid “contoso-com” is.

Het volgende gegeven dat je nodig hebt, is het zogenaamde initialdomain. Dat is het naam.onmicrosoft.com stukje dat je bij het aanmaken van je tenant hebt gekozen. Deze zie je ook als standaard UPN op de gebruikersaccounts, bijvoorbeeld:

mijntoko.onmicrosoft.com

Voor het instellen van het DKIM record voeg je in de DNS de volgende cnames toe in dit voorbeeld:

host                  type    content
selector1._domainkey  CNAME   selector1-contoso-com._domainkey.mijntoko.onmicrosoft.com
selector2._domainkey  CNAME   selector2-contoso-com._domainkey.mijntoko.onmicrosoft.com

Afhankelijk van de TTL op je domein, wacht je met het aanzetten van DKIM binnen het Microsoft 365 platform. Je kunt daarvoor de volgende directe link gebruiken waarna je klikt op het accepted domain en de switch omzet.

Als laatste wil je een DMARC record instellen. Ook daarvoor kun je terecht bij MXToolBox. In de eenvoudigste setup kun je het volgende txt-record instellen:

host       type   content
_DMARC     txt    v=DMARC1; p=none

Als vervolg ga je p=quarantine of p=reject toepassen in combinatie met een reporting email adres. Het beste bouw je dan langzaam het percentage op wat in quarantaine geplaatst/geweigerd dient te worden.

v=DMARC1; p=quarantine; pct=15; rua=mailto:dmarc@stasbeijvers.com