Sticky F.A.Q.

Alles over e-mailbeveiliging: SPF, DKIM en DMARC

  • 20 September 2018
  • 44 reacties
  • 7679 keer bekeken
Alles over e-mailbeveiliging: SPF, DKIM en DMARC
Reputatie 7
Badge +7
E-mail is één van de meest gebruikte communicatiemiddelen. Als provider doen we er dan ook alles aan om ervoor te zorgen dat je je mails zo veilig mogelijk kunt versturen en ontvangen. Dat gaat een stuk verder dan enkel een spamfilter te laten draaien. In dit topic lees je alles over de beveiligingsstandaarden voor e-mail: SPF, DKIM en DMARC.




Welke beveiligingsstandaarden gebruiken we?


Naast het filteren op spam voeren we nog een aantal controles uit op de mail. Dat gaat via de beveiligingsstandaarden. SPF, DKIM en DMARC. Deze controles zijn niet uit te zetten. Als er een fout wordt geconstateerd zetten wij de bewuste mail in de spambox. De mail wordt echter niet gemarkeerd als [spam]. Daardoor zijn ze makkelijk te herkennen.Aanmelden kan op dezelfde manier als mail die onterecht als spam gemarkeerd wordt. Wij kunnen echter alleen vaststellen wat de problemen zijn. Dit zijn technieken die door de verzender gebruikt worden en die door ons gecontroleerd worden. Problemen hiermee kunnen we dan ook niet oplossen. Hieronder lees je een uitleg over de verschillende technieken en wat KPN er precies mee doet.


SPF: Sender Policy Framework


Deze techniek geeft een beheerder de mogelijkheid om aan te geven vanaf welke mailserver er mails vanaf een domein mogen komen. Hoewel dit nuttig is kleven er ook nadelen aan. Denk hierbij aan het automatisch doorsturen van een mail. Als dat gebeurt is de mail niet meer verstuurd vanaf de originele mailserver. Het handmatig doorsturen van mail vanuit de inbox heeft hier geen invloed op. Omdat het vaak fout gaat is een SPF-fout op zichzelf niet iets waar KPN actie op onderneemt.

Hier lees je de technische informatie over SPF.



DKIM: Domain Keys Identified Mail


DKIM beschermt je mail tegen aanpassingen onderweg. De verzendende mailserver zet een handtekening in de header van de mail. Die is gebaseerd op een aantal gegevens, plus de inhoud van de mail. De ontvanger kan de handtekening controleren om te zien of deze overeenkomt. Als het niet klopt betekent dit dat de mail onderweg is aangepast. In de praktijk is de reden vaak dat de verzender DKIM niet goed geïmplementeerd heeft. Het meest voorkomende probleem is dat de mail eerst gesigneerd word met DKIM en dat er daarna een automatische afsluiter in de mail geplaatst wordt. Gevolg hiervan is dat de mail is aangepast en dat de DKIM faalt. Ook met automatisch doorsturen gaat het soms fout, hoewel veel minder dan met SPF. Dit gebeurt vooral met automatische doorsturingen vanaf Hotmail. KPN zal bij een DKIM-fout de mail in de spam plaatsen, echter zonder de [spam] tag in het onderwerp. Wij kunnen dit niet oplossen, maar wel adviseren in wat de verzender moet aanpassen om de mail in de inbox te laten landen.

Hier lees je de technische informatie over DKIM.



DMARC: Domain Message Authentication, Reporting & Conformance


Deze techniek combineert de bovenstaande technieken. Het geeft de verzender meer controle over wat er met de mail gebeurt als het fout gaat. Dat maakt deze standaard uitstekend geschikt om mails die misbruik maken van domeinnamen tegen te gaan. KPN gebruikt dit bij al haar uitgaande mail. Ook (bijna) alle banken gebruiken het. DMARC bekijkt de resultaten van SPF en DKIM en relateert dit aan het adres zoals de email client dit weergeeft. Zowel SPF als DKIM doen dit niet. Zodra één van de twee checks goed gaan wordt de mail als legitiem beschouwd (DMARC aligned). Indien beide checks fout gaan bepaalt de afzender, via het DMARC record, wat er met de mail moet gebeuren. Als er nog getest wordt, kan er aangegeven worden dat DMARC resultaten genegeerd moeten worden. Anders kan bepaald worden dat de mail in de spam moet komen of zelfs helemaal geweigerd moet worden. DMARC biedt ook de mogelijkheid om een rapport te ontvangen over mail waarbij het fout is gegaan, waardoor verzenders eventueel aanpassingen kunnen doen. KPN controleert DMARC maar zal de mail niet weigeren, ook als DMARC dit aangeeft. Wij plaatsen de mail in zulke gevallen in de spambox zonder de [spam] tag. Ook hier kunnen wij niets oplossen, maar wel adviseren.

Hier lees je de technische informatie over DMARC.



Hoewel dit allemaal vrij hoog over is, kan ik (bijna) alle technische vragen beantwoorden over dit onderwerp. Schroom niet om vragen te stellen!

44 reacties

Reputatie 7
Badge +20

Ik heb al tijden ‘last’ dat een nieuwsbrief standaard in de Spam map terecht komt, maar zonder de toevoeging [spam] in het onderwerp. Dit betreft afzender AH Fotoservice. Ik markeer de nieuwsbrief trouw als “geen Spam”, maar er verandert niets. De volgende keer hetzelfde verhaal. Tot gisteren! 

Weer in de Spam map maar nu met de toevoeging [dkim] in het onderwerp.
Is er een wijziging in het spamfilter @Dennis ABD waardoor nu meer informatie gegeven wordt?

Reputatie 7
Badge +9

Ik heb al tijden ‘last’ dat een nieuwsbrief standaard in de Spam map terecht komt, maar zonder de toevoeging [spam] in het onderwerp. Dit betreft afzender AH Fotoservice. Ik markeer de nieuwsbrief trouw als “geen Spam”, maar er verandert niets. De volgende keer hetzelfde verhaal. Tot gisteren! 

Weer in de Spam map maar nu met de toevoeging [dkim] in het onderwerp.
Is er een wijziging in het spamfilter @Dennis ABD waardoor nu meer informatie gegeven wordt?

Hier hetzelfde, als is het (DKIM) nu weer verdwenen.

Piet.

Reputatie 7

Hier hetzelfde, als is het (DKIM) nu weer verdwenen.

De tekst [dkim] zal neem ik aan ook alleen maar opgenomen worden als het emailbericht op de dkim controle afgekeurd is.

Reputatie 7
Badge +20

Daar ga ik ook vanuit, maar de [dkim] toevoeging zie ik voor het eerst. Zoals gezegd werd deze wekelijkse nieuwsbrief eerder zonder toevoeging geplaatst in de spam map.

Ik vermoed daarom een software/spamfilter wijziging, want hier in dit topic wordt vermeld:

KPN zal bij een DKIM-fout de mail in de spam plaatsen, echter zonder de [spam] tag in het onderwerp.

Vandaar mijn vraag.

Reputatie 7
Badge +23

Even een vraag. 

Stel je hebt een eigen domeinnaam met eigen emailadres. Bijvoorbeeld info@mijnbedrijf.nl. Kun je dan mail verzenden, met dat emailadres adres als afzender, via de mailserver van KPN met geldige DKIM?

Want bij DKIM moet de mailserver, die van KPN dus, een sleutel toevoegen aan de header van de mail. Een sleutel die overeenkomt met de sleutel die in de DNS van mijnbedrijf.nl staat ingesteld. Toch? Doet de mailserver van KPN dat?

Reputatie 7

Misschien geeft het onderstaande bericht je wat info.

 

Wij (twee gebruikers m/v/x) hebben een eigen kleine mailserver (all-in-one-server).
Uitgaande mails vanaf onze eigen domeinnaam gaan via KPN-glasvezel naar smtp.telfortglasvezel.nl , en dan de wijde wereld in via kpn-mail-servers.
Onze domeinnaam ‘zit’ bij een andere provider. Bij die andere provider kunnen we zelf de DKIM-TXT-record aanmaken.

Welke tekst moet daar minimaal in staan zodat onze DKIM-record telfort/kpn-servers ‘goedkeurt’ als servers die mails van onze eigen domeinnaam mogen sturen/doorgeven?

Hartelijk bedankt!

Reputatie 7

Je moet niet de smtp server van Telfort gebruiken maar de smtp server van de provider waarbij jouw domein is ondergebracht.

Dank je wel wjb.
Het lukt op onze kleine (mail)server alleen niet om SMTP-inlog-gegevens in te voeren. We kunnen dus alleen via onze KPN/Telfort-glasvezelaansluiting verzenden.

Je moet niet de smtp server van Telfort gebruiken maar de smtp server van de provider waarbij jouw domein is ondergebracht.

 

Reputatie 7

Bij welke partij is jouw domein ondergebracht?

Wat is het domein waarmee je mailt? (Als je dat met ons wilt delen.)

Domein provider is hoasted.com (Amsterdam). Eerder zaten we bij Antenna.nl (Nijmegen); alle diensten van Antenna zijn overgenomen door Hoasted.
Onze domein-naam is paperclip.agency .
 

Reputatie 7

Het MX record voor jouw domein verwijst naar antenna.nl.

 

Je zou smtp.antenna.nl als smtp server moeten gebruiken.

 

De bedoeling is dat Hoasted binnenkort onze MX/DNS ‘omzet’ van Antenna naar Hoasted.
Maar dat terzijde.
Als we uitgaande mail naar een SMTP-server van Hoasted of eentje van Antenna zouden willen sturen, moeten we authenticeren. Maar dat kan niet: op onze kleine mailserver (ClearOS all-in-one-server) kunnen we alleen de relay-host invullen (nu: smtp.telfortglazvezel.nl), en helaas géén user-name of wachtwoord.
Telfort/KPN is onze glasvezel-leverancier (ISP).
 

Reputatie 7

En toch zal je de smtp server die bij jouw domein hoort moeten gebruiken anders zal jij nooit een sluitende SPF / DKIM / DMARC kunnen realiseren.

De smtp server smtp.telfortglasvezel.nl zal ook gaan verdwijnen maar dat is een ander verhaal.

Wat kunnen we nu doen om de best mogelijke SPF / DKIM / DMARC situatie te realiseren?

 

Reputatie 7

Wat kunnen we nu doen om de best mogelijke SPF / DKIM / DMARC situatie te realiseren?

Je zult in de DNS een correct SPF, DKIM en DMARC record moeten vastleggen.

Jouw domein heeft al een correct SPF record. Zie deze pagina.

Daarnaast zal er een record voor DKIM en DMARC vastgelegd moeten worden.

Hoe die gevuld moeten worden is afhankelijk vsn jouw provider, daar kan KPN je verder niet bij helpen.

Wellicht heb je iets aan het onderstaande bericht.

Maar let op, dat is een domein dat bij KPN is ondergebracht terwijl jouw domein dus bij antenna.nl ondergebracht is.

Hoi,

ik gebruik kpnmail.nl met mijn eigen domein naam.

Nu zou ik echter ook graag de juiste sfp, dmarc en dkim records plaatsen, echter ik kan hiervoor op de kpn website of forum nergens de juiste settings vinden voor deze records.

Kan iemand me aangeven hoe ik deze juist configureer ?

Alvast bedankt,

Herman

Reputatie 7

Misschien helpt dit.

 

bedankt, die info was ik precies aan het zoeken, wel vreemd dat kpn dit niet wat duidelijker ergens op een website zet, of hier een paar extra regels tekst aan besteed als je ‘eigen domeinen’ configureerd op email.kpn.com

Reageer