Sticky

Alles over e-mail beveiliging: SPF, DKIM en DMARC

  • 20 september 2018
  • 4 reacties
  • 3864 keer bekeken

Reputatie 6
Badge +6
E-mail is één van de meest gebruikte communicatiemiddelen. Als provider doen we er dan ook alles aan om ervoor te zorgen dat je je mails zo veilig mogelijk kunt versturen en ontvangen. Dat gaat een stuk verder dan enkel een spamfilter te laten draaien. In dit topic lees je alles over de beveiligingsstandaarden voor e-mail: SPF, DKIM en DMARC.




Welke beveiligingsstandaarden gebruiken we?


Naast het filteren op spam voeren we nog een aantal controles uit op de mail. Dat gaat via de beveiligingsstandaarden. SPF, DKIM en DMARC. Deze controles zijn niet uit te zetten. Als er een fout wordt geconstateerd zetten wij de bewuste mail in de spambox. De mail wordt echter niet gemarkeerd als [spam]. Daardoor zijn ze makkelijk te herkennen.Aanmelden kan op dezelfde manier als mail die onterecht als spam gemarkeerd wordt. Wij kunnen echter alleen vaststellen wat de problemen zijn. Dit zijn technieken die door de verzender gebruikt worden en die door ons gecontroleerd worden. Problemen hiermee kunnen we dan ook niet oplossen. Hieronder lees je een uitleg over de verschillende technieken en wat KPN er precies mee doet.


SPF: Sender Policy Framework


Deze techniek geeft een beheerder de mogelijkheid om aan te geven vanaf welke mailserver er mails vanaf een domein mogen komen. Hoewel dit nuttig is kleven er ook nadelen aan. Denk hierbij aan het automatisch doorsturen van een mail. Als dat gebeurt is de mail niet meer verstuurd vanaf de originele mailserver. Het handmatig doorsturen van mail vanuit de inbox heeft hier geen invloed op. Omdat het vaak fout gaat is een SPF-fout op zichzelf niet iets waar KPN actie op onderneemt.

Hier lees je de technische informatie over SPF.



DKIM: Domain Keys Identified Mail


DKIM beschermt je mail tegen aanpassingen onderweg. De verzendende mailserver zet een handtekening in de header van de mail. Die is gebaseerd op een aantal gegevens, plus de inhoud van de mail. De ontvanger kan de handtekening controleren om te zien of deze overeenkomt. Als het niet klopt betekent dit dat de mail onderweg is aangepast. In de praktijk is de reden vaak dat de verzender DKIM niet goed geïmplementeerd heeft. Het meest voorkomende probleem is dat de mail eerst gesigneerd word met DKIM en dat er daarna een automatische afsluiter in de mail geplaatst wordt. Gevolg hiervan is dat de mail is aangepast en dat de DKIM faalt. Ook met automatisch doorsturen gaat het soms fout, hoewel veel minder dan met SPF. Dit gebeurt vooral met automatische doorsturingen vanaf Hotmail. KPN zal bij een DKIM-fout de mail in de spam plaatsen, echter zonder de [spam] tag in het onderwerp. Wij kunnen dit niet oplossen, maar wel adviseren in wat de verzender moet aanpassen om de mail in de inbox te laten landen.

Hier lees je de technische informatie over DKIM.



DMARC: Domain Message Authentication, Reporting & Conformance


Deze techniek combineert de bovenstaande technieken. Het geeft de verzender meer controle over wat er met de mail gebeurt als het fout gaat. Dat maakt deze standaard uitstekend geschikt om mails die misbruik maken van domeinnamen tegen te gaan. KPN gebruikt dit bij al haar uitgaande mail. Ook (bijna) alle banken gebruiken het. DMARC bekijkt de resultaten van SPF en DKIM en relateert dit aan het adres zoals de email client dit weergeeft. Zowel SPF als DKIM doen dit niet. Zodra één van de twee checks goed gaan wordt de mail als legitiem beschouwd (DMARC aligned). Indien beide checks fout gaan bepaalt de afzender, via het DMARC record, wat er met de mail moet gebeuren. Als er nog getest wordt, kan er aangegeven worden dat DMARC resultaten genegeerd moeten worden. Anders kan bepaald worden dat de mail in de spam moet komen of zelfs helemaal geweigerd moet worden. DMARC biedt ook de mogelijkheid om een rapport te ontvangen over mail waarbij het fout is gegaan, waardoor verzenders eventueel aanpassingen kunnen doen. KPN controleert DMARC maar zal de mail niet weigeren, ook als DMARC dit aangeeft. Wij plaatsen de mail in zulke gevallen in de spambox zonder de [spam] tag. Ook hier kunnen wij niets oplossen, maar wel adviseren.

Hier lees je de technische informatie over DMARC.



Hoewel dit allemaal vrij hoog over is, kan ik (bijna) alle technische vragen beantwoorden over dit onderwerp. Schroom niet om vragen te stellen!

4 reacties

Hallo, Dank voor dit uitgebreide artikel.
Is het ook mogelijk om uitgaande mail van een afzender door de dmarc policy (van de ontvangende partij: gmail) heen te krijgen, wanneer de afzender niet overeenkomt met de kpn mailserver?

Zie mijn vraag hier: https://forum.kpn.com/e-mail-10/dmarc-voor-smtp-server-463746
Ik hoor het graag.
Reputatie 3
Misschien een idee om ergens op de gebruikerspagina's van KPN dit soort info toegankelijk te maken? Dit verhaal gaat de diepte in maar er zijn veel onderwerpen die voor eindgebruikers nuttig zijn die hier https://www.kpn.com/service/internet/e-mail.htm niet te vinden zijn. En niet alle eindgebruikers (vooral als ze niet al te vaardig zijn met hun PC) zijn lid van het forum!

PS het spamfilter kan al een tijdje niet meer uitgezet, misschien bovenstaande tekst aanpassen?
Reputatie 7
Badge +27
Ha @AndreWrdn, dank voor je bericht! Ik heb het stukje over het spamfilter eruit gehaald, dat is inderdaad niet meer van toepassing. Voor wat betreft de inhoud: dit is zo specifiek voor een bepaalde doelgroep, dat we er bewust voor kiezen dit niet op de website te zetten. Vooral eindgebruikers die, zoals jij aangeeft, niet al te vaardig zijn met een PC, willen 'gewoon' dat het werkt en zijn veelal niet op zoek naar zulke technische informatie.
Reputatie 3
Voordeel van het plaatsen van informatie (zowel globaal als diepgaad) op één centrale plek is dat dat het zoeken minimaal maakt. Gebruik het forum voor de daarna dieper gaande discussie, maar (als voorbeeld) het versturen naar abuse van niet correcte spam gedefinieerde mail zou ook voor een eindgebruiker interessant zijn, net zoals het feit (bijvoorbeeld) dat mail opgezegd kan worden bij serieuze verzenders en niet door de ontvanger als spam bij kpn moet worden gemeld!

Reageer