F.A.Q.

Alles over e-mailbeveiliging: SPF, DKIM en DMARC

  • 20 September 2018
  • 0 reacties
  • 9553 keer bekeken
Alles over e-mailbeveiliging: SPF, DKIM en DMARC
Reputatie 7
Badge +7

E-mail is één van de meest gebruikte communicatiemiddelen. Als provider zorgen wij ervoor dat je je mails zo veilig mogelijk kunt versturen en ontvangen. Dat gaat een stuk verder dan alleen een spamfilter draaien. In dit artikel lees je alles over de beveiligingsstandaarden voor e-mail: SPF, DKIM en DMARC.

 
Welke beveiligingsstandaarden gebruiken we?

Naast het filteren op spam voeren we nog een aantal controles uit op de mail. Dat gaat via de beveiligingsstandaarden. SPF, DKIM en DMARC. Deze controles zijn niet uit te zetten. Als er een probleem is, dan registreren we dit. We lossen het niet op. Wel kan onze Abuse afdeling in bepaalde gevallen een verzender informeren en adviseren over wat er aangepast moet worden om de mail te laten voldoen aan de standaarden. 

Hieronder lees je een uitleg over de verschillende technieken en wat KPN er precies mee doet.

 

Wat merk ik hiervan als klant?

Een mail met een fout in SPF, DKIM of DMARC is niet per se spam, of phishing. Maar het kan wel. Als we dan ook een binnenkomende mail zien met een fout in een van deze dingen, zetten wij deze mail in de spambox. De mail wordt gemarkeerd met [DKIM] in het onderwerp. Daardoor zijn ze makkelijk te herkennen. 

Wij stellen alleen vast dat er een probleem is. De oorzaak van het probleem ligt over het algemeen bij de verzender. Als ontvanger kun je er dan ook niet heel veel aan doen, behalve de verzender informeren als het inderdaad een legitieme mail is. 

 

SPF: Sender Policy Framework

Deze techniek controleert of de verzender van een e-mail toestemming heeft om een bericht te versturen namens de afzenders van het bericht. Hiermee kan een e-mailbeheerder instellen vanaf welke mailserver een domein e-mails mag versturen.

Hoewel dit nuttig is, zijn er ook nadelen. Denk aan het automatisch doorsturen van een mail. Als dat gebeurt, is de mail niet meer verstuurd vanaf de originele mailserver. En kan hij dus geweigerd worden als SPF is ingesteld. Zelf doorsturen van mail vanuit de inbox heeft hier geen invloed op. 

Omdat het vaak fout gaat, is een SPF-fout op zichzelf niet iets waar KPN actie op onderneemt.

Op openspf.org lees je technische informatie over SPF.

 

DKIM: Domain Keys Identified Mail

DKIM beschermt je mail tegen aanpassingen onderweg. Met DKIM voeg je als verzender een digitale handtekening toe aan jouw e-mail. Zo kan de ontvangende e-mailserver controleren of de e-mail echt van een organisatie komt. Als het niet klopt, dan is de e-mail onderweg aangepast. Het lijkt dan alsof deze van een organisatie komt, maar dat is niet zo.

In de praktijk is de reden van deze fout vaak dat de verzender DKIM niet goed ingesteld heeft. Het meest voorkomende probleem is de volgorde van ondertekenen met DKIM. Vaak wordt de e-mail eerst ondertekend. Daarna wordt een automatische afsluiter toegevoegd. Met als gevolg dat de e-mail is aangepast en dat de DKIM faalt. De oplossing: Eerst afsluiter toevoegen en dan ondertekenen met DKIM.

Ook met automatisch doorsturen gaat het soms fout, hoewel veel minder dan met SPF. Dit gebeurt vooral met automatische doorsturingen vanaf Hotmail. KPN zet bij een DKIM-fout de mail in de spam, maar met de [DKIM] tag in het onderwerp. Wij kunnen dit niet oplossen. Wel kan onze Abuse-afdeling advies geven om te zorgen dat de mails wel in de inbox landen.

Op dkim.org lees je de technische informatie over DKIM.

 

DMARC: Domain Message Authentication, Reporting & Conformance

Deze techniek combineert de technieken hierboven. Het geeft de verzender meer controle over wat er met de mail gebeurt als het fout gaat. Dat maakt deze standaard uitstekend geschikt om misbruik tegen te gaan.
KPN gebruikt dit bij al haar uitgaande mail. Ook (bijna) alle banken gebruiken het.

DMARC bekijkt de resultaten van SPF en DKIM. Deze relateert DMARC aan het adres zoals het e-mail programma dit laat zien. Als één van de twee controles goed gaat, wordt de mail als legitiem gezien (DMARC aligned). Gaan beide controles fout? Dan bepaalt de afzender, via het DMARC record, wat er met de mail moet gebeuren.

Als er nog getest wordt, kan er aangegeven worden dat DMARC resultaten genegeerd moeten worden. Anders kan bepaald worden dat de mail in de spam moet komen of zelfs helemaal geweigerd moet worden.
DMARC biedt ook de mogelijkheid om een rapport te ontvangen over mail waarbij het fout is gegaan. Hierdoor kunnen verzenders aanpassingen doen als het nodig is.

KPN controleert DMARC. Maar wij weigeren de mail niet, ook niet als DMARC dit adviseert. Wij plaatsen de mail in zulke gevallen in de spambox met de [DKIM] tag. Ook hier kan KPN niets oplossen. Abuse kan alleen adviseren.

Op dmarc.org lees je de technische informatie over DMARC.

 


Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.