Om te beveiligen tegen phishing en spam worden verschillende policies gehanteerd bij het verzenden en ontvangen van e-mail. Standaarden hiervoor zijn onder andere SPF, DKIM en DMARC. Deze standaarden worden door de eigenaar van een domein (DNS) ingesteld en bepalen hoe omgegaan moet worden met e-mails die uit naam van dit domein worden verstuurd. Hiermee kan je als domein eigenaar voorkomen dat een kwaadwillende partij onterecht uit jouw naam phishing mails verstuurd.
Toelichting op de standaarden SPF, DKIM en DMARC
Hieronder lichten we kort toe wat de standaarden betekenen en wat de impact is van deze instellingen op het ontvangen van e-mails. Meer diepgaande informatie over de verschillende policies lees je hier.
SPF staat voor Sender Policy Framework. De SPF policy beschrijft welke servers gemachtigd zijn om namens dit domein e-mail te mogen verzenden. Op basis van het SPF-record zal de ontvangende server de e-mail succesvol doorlaten, als spam behandelen en in quarantaine plaatsen of de e-mail in zijn geheel weigeren.
Een limitatie van enkel SPF is dat met deze policy geen onderscheid gemaakt kan worden tussen bijvoorbeeld e-mails welke worden doorgestuurd middels een autoforward en daadwerkelijk frauduleuze e-mails. De SPF policy wordt daarom verder aangevuld met DKIM en DMARC.
DKIM staat voor Domain Keys Identified Mail. De verzonden e-mails bevatten een versleutelde ‘handtekening’ op basis waarvan de ontvangende server kan afleiden of de e-mail daadwerkelijk van het domein van de verzender afkomstig is. Deze versleutelde handtekening kan wel door een ontvangende server uitgelezen worden, maar kan niet door een verzendende partij vervalst worden.
DMARC staat voor Domain-based Message Authentication, Reporting and Conformance en beschrijft hoe de ontvangende partij met SPF en DKIM om moet gaan. Het beleid kan bijvoorbeeld zijn dat een e-mail geaccepteerd mag worden door de ontvangende server wanneer is voldaan aan de SPF en/of de DKIM. Of dat e-mails die niet aan DKIM voldoen altijd geweigerd moeten worden door de ontvangende partij.
Het gebruik van DMARC is alleen effectief als zowel SPF en DKIM goed geconfigureerd staan. Staat SPF bijvoorbeeld ingesteld op ‘Fail’ (‘-‘)? Dan worden e-mails die niet voldoen aan de SPF policy altijd geweigerd ongeacht de DMARC instellingen.
Een bijkomende functionaliteit van DMARC is dat rapporten opgevraagd kunnen worden bij ontvangende mail servers die de resultaten van de ingestelde policies inzichtelijk maken. Deze rapporten geven bijvoorbeeld aan hoeveel van de aan de ontvangende server verstuurde e-mails zijn geweigerd en om welke reden.
Wat betekent dit voor het ontvangen van e-mails in Blue10?
Het kan voorkomen dat een e-mail welke is verstuurd naar het Blue10 e-mailadres niet succesvol is afgeleverd in Blue10. Dit kan een e-mail zijn die direct is verstuurd door de leverancier of een e-mail die door jullie zelf middels een autoforward is doorgestuurd naar Blue10.
De verzendende partij kan achterhalen of de e-mail succesvol is afgeleverd bij de ontvangende e-mail server of niet. Werd de e-mail niet afgeleverd omdat deze niet voldoet aan de ingestelde SPF, DKIM en DMARC policies? Dan dient de eigenaar van het domein van waaruit de originele e-mail is verzonden, dit op te lossen.
Als hulpmiddel delen we aantal voorbeelden waarbij de ontvangende server een e-mail kan weigeren:
- Een e-mail wordt via autoforward doorgestuurd naar Blue10. Er staat een ‘Fail’ (hard-fail) ingesteld in de SPF policy van het domein en de server van waaruit de e-mail wordt doorgestuurd voldoet niet aan de SPF policy van het domein van de oorspronkelijke verzender.
- Het ingestelde SPF record is verlopen; er is dus geen geldige SPF policy.
- De DMARC policy staat op ‘None’; het domein van waaruit de originele e-mail is verzonden, geeft geen instructie aan het ontvangende domein wat te doen met een e-mail waarvan SPF en/of DKIM faalt.
Met behulp van gratis online tools kan je inzien welke SPF, DKIM en DMARC policies staan ingesteld op een specifiek domein. Klik hier voor een voorbeeld tool.