Sticky

Alles over e-mail beveiliging: SPF, DKIM en DMARC


Reputatie 5
Badge +4
E-mail is één van de meest gebruikte communicatiemiddelen. Als provider doen we er dan ook alles aan om ervoor te zorgen dat je je mails zo veilig mogelijk kunt versturen en ontvangen. Dat gaat een stuk verder dan enkel een spamfilter te laten draaien. In dit topic lees je alles over de beveiligingsstandaarden voor e-mail: SPF, DKIM en DMARC.



Welke beveiligingsstandaarden gebruiken we?


Naast het filteren op spam voeren we nog een aantal controles uit op de mail. Dat gaat via de beveiligingsstandaarden. SPF, DKIM en DMARC. Deze controles zijn niet uit te zetten, zelfs als het spamfilter uit staat. Als er een fout wordt geconstateerd zetten wij de bewuste mail in de spambox. De mail wordt echter niet gemarkeerd als [spam]. Daardoor zijn ze makkelijk te herkennen.Aanmelden kan op dezelfde manier als mail die onterecht als spam gemarkeerd wordt. Wij kunnen echter alleen vaststellen wat de problemen zijn. Dit zijn technieken die door de verzender gebruikt worden en die door ons gecontroleerd worden. Problemen hiermee kunnen we dan ook niet oplossen. Hieronder lees je een uitleg over de verschillende technieken en wat KPN er precies mee doet.

SPF: Sender Policy Framework


Deze techniek geeft een beheerder de mogelijkheid om aan te geven vanaf welke mailserver er mails vanaf een domein mogen komen. Hoewel dit nuttig is kleven er ook nadelen aan. Denk hierbij aan het automatisch doorsturen van een mail. Als dat gebeurt is de mail niet meer verstuurd vanaf de originele mailserver. Het handmatig doorsturen van mail vanuit de inbox heeft hier geen invloed op. Omdat het vaak fout gaat is een SPF-fout op zichzelf niet iets waar KPN actie op onderneemt.

Hier lees je de technische informatie over SPF.


DKIM: Domain Keys Identified Mail


DKIM beschermt je mail tegen aanpassingen onderweg. De verzendende mailserver zet een handtekening in de header van de mail. Die is gebaseerd op een aantal gegevens, plus de inhoud van de mail. De ontvanger kan de handtekening controleren om te zien of deze overeenkomt. Als het niet klopt betekent dit dat de mail onderweg is aangepast. In de praktijk is de reden vaak dat de verzender DKIM niet goed geïmplementeerd heeft. Het meest voorkomende probleem is dat de mail eerst gesigneerd word met DKIM en dat er daarna een automatische afsluiter in de mail geplaatst wordt. Gevolg hiervan is dat de mail is aangepast en dat de DKIM faalt. Ook met automatisch doorsturen gaat het soms fout, hoewel veel minder dan met SPF. Dit gebeurt vooral met automatische doorsturingen vanaf Hotmail. KPN zal bij een DKIM-fout de mail in de spam plaatsen, echter zonder de [spam] tag in het onderwerp. Wij kunnen dit niet oplossen, maar wel adviseren in wat de verzender moet aanpassen om de mail in de inbox te laten landen.

Hier lees je de technische informatie over DKIM.


DMARC: Domain Message Authentication, Reporting & Conformance


Deze techniek combineert de bovenstaande technieken. Het geeft de verzender meer controle over wat er met de mail gebeurt als het fout gaat. Dat maakt deze standaard uitstekend geschikt om mails die misbruik maken van domeinnamen tegen te gaan. KPN gebruikt dit bij al haar uitgaande mail. Ook (bijna) alle banken gebruiken het. DMARC bekijkt de resultaten van SPF en DKIM en relateert dit aan het adres zoals de email client dit weergeeft. Zowel SPF als DKIM doen dit niet. Zodra één van de twee checks goed gaan wordt de mail als legitiem beschouwd (DMARC aligned). Indien beide checks fout gaan bepaalt de afzender, via het DMARC record, wat er met de mail moet gebeuren. Als er nog getest wordt, kan er aangegeven worden dat DMARC resultaten genegeerd moeten worden. Anders kan bepaald worden dat de mail in de spam moet komen of zelfs helemaal geweigerd moet worden. DMARC biedt ook de mogelijkheid om een rapport te ontvangen over mail waarbij het fout is gegaan, waardoor verzenders eventueel aanpassingen kunnen doen. KPN controleert DMARC maar zal de mail niet weigeren, ook als DMARC dit aangeeft. Wij plaatsen de mail in zulke gevallen in de spambox zonder de [spam] tag. Ook hier kunnen wij niets oplossen, maar wel adviseren.

Hier lees je de technische informatie over DMARC.



Hoewel dit allemaal vrij hoog over is, kan ik (bijna) alle technische vragen beantwoorden over dit onderwerp. Schroom niet om vragen te stellen!

0 reacties

Er zijn nog geen reacties. Reageer als eerste.

Reageer