Komt een e-mail van jouw organisatie niet aan bij Centric? Mogelijk komt dit door verkeerd ingestelde SPF-, DKIM- of DMARC-records. Dit artikel legt uit hoe je controleert of je SPF, DKIM of DMARC-records juist zijn ingesteld
Centric neemt e-mailbeveiliging zeer serieus. Daarom controleren we inkomende e-mail op het gebruik van de e-mailstandaarden SPF, DKIM en vooral DMARC. DMARC zorgt ervoor dat geadresseerde e-mailsystemen berichten vertrouwen die vanuit jouw domein worden verstuurd. We kiezen ervoor om e-mail met de DMARC-policy “none” of “quarantaine” te weigeren, wanneer SPF en DKIM niet valide zijn.
N.B. SPF, DKIM, DMARC-incidenten worden niet in behandeling genomen.
SPF-protocol
SPF staat voor “Sender Policy Framework” en is een techniek om e-mailspoofing te voorkomen. Bij spoofing wordt de afzender van een bericht vervalst, waardoor het lijkt of de kwaadwillende afzender e-mail verstuurt via bijvoorbeeld jouw eigen domein.
Om dit tegen te gaan, kun je een SPF-record publiceren. Dit doe je door aan je DNS-record een TXT-record toe te voegen. Daarin staat vermeld welke mailservers gemachtigd zijn om e-mail namens jouw domein te versturen. De ontvangende partij controleert automatisch via de e-mailserver of de verzendende mailserver in uw DNS SPF-record staat. Is de mail verstuurd door een andere mailserver die niet op uw SPF-record staat, dan kan de mailserver van de ontvangende partij besluiten de mail te weigeren of weg te gooien.
De opbouw van een SPF-record begint met een een “v=”. Dit geeft aan dat de inhoud van het TXT-record wordt gebruikt voor SPF. Ook wordt hierin het versienummer van SPF aangegeven. Bij Centric is dit “v=spf1”. Verder wordt het SPF-record opgebouwd aan de hand van de onderstaande onderdelen:
- A of ipv4 of ipv6 : het IP-adres van de verzendende partij die geautoriseerd is om e-mail namens jou te verzenden.
- mx: Als e-mail wordt verstuurd vanuit een specifiek MX-record, dan kan dit specifieke adres worden opgenomen.
- include: is de verzendende partij binnen het record opgenomen, dan wordt de e-mail door de ontvangende partij geaccepteerd.
Aan het einde van het SPF-record geef je aan hoe je de ontvangende partij adviseert om te gaan met de e-mail die zij ontvangen uit jouw domein:
- ~all : softfail. Als er e-mail wordt verzonden door een IP-adres dat niet op het SPF-record is opgenomen, dan mag deze e-mail wel geaccepteerd worden, maar wordt de e-mail beschouwd als potentiële spam.
- -all: hardfail. Als er e-mail wordt verzonden door een IP-adres dat niet op het SPF-record is opgenomen, dan weigert de ontvangende partij de e-mail direct.
- +all: Alle e-mail wordt geaccepteerd.
- ?all: Het SPF record wordt niet gevalideerd en alle e-mail wordt toegelaten.
LET OP: Een SPF-record mag maximaal tien look-ups bevatten. Als het meer regels bevat, dan wordt het SPF-record ongeldig verklaard.
Met deze tool kun je je SPF-record controleren.
DKIM
DKIM staat voor “DomainKeys Identified Mail”. Bij deze techniek voorziet de verzendende partij een e-mail van een digitale handtekening in de e-mailheader. Deze handtekening bevat een hash-waarde van de gehele e-mail (zowel de inhoud als de header).
De hash waarde wordt “ondertekend” met met behulp van een private key, die alleen in het bezit is van de verzendende partij. De ontvanger van de e-mail kan via een automatische aanvraag de public key van de verzendende partij opvragen en zo de handtekening controleren op echtheid.
Zodra dit proces voltooid is, wordt de hash-waarde in de e-mailheader vergeleken met een automatisch gecalculeerde hash-waarde van de ontvangen e-mail. Zijn beide hash-waarden hetzelfde, dan kunnen zowel de geldigheid van de inhoud als de authenticiteit van het emailbericht worden geverifieerd.
E-mails afkomstig van een DKIM-voorzien domein waarin een geldige handtekening ontbreekt, worden als SPAM gemarkeerd en verwijderd. De opbouw van een DKIM-record begint met een “v=”. Dit geeft aan dat de inhoud van het TXT-record wordt gebruikt voor SPF. Ook wordt hierin het versienummer van DKIM aangegeven. Bij Centric is dit “v=1”. Vervolgens wordt het algorithme aangegeven via “a=” de ondersteunde algorithms zijn rsa-sha1 en rsa-sha256. Als laatste wordt er een public key benoemd. Deze public key downloadt de e-mailontvanger om de handtekening te valideren.
Gebruik de volgende tool om jouw DKIM-record te controleren.
DMARC
DMARC staat voor “Domain-based Message Authentication, Reporting and Conformance”. DMARC werkt op basis van zowel SPF als DKIM. De verzendende partij kan via een DMARC-record aangeven hoe de ontvangende partij hoort om te gaan met afwijkingen bij ontvangen e-mail.
Daarnaast bevat DMARC een rapportagemogelijkheid. Daarmee krijgt de eigenaar van het domein op basis van geconstateerde afwijkingen van de ontvangende partij inzicht in wie er namens het domein e-mail verstuurt. De verzendende partij krijgt zo inzicht in hoe de ontvangende partij de mail afhandelt. De opbouw van een DMARC-record begint met een “v= DMARC1”, daar kan worden aangegeven waarover je rapportages wilt ontvangen:
- None: Het monitoren van de resultaten en geen specifieke handeling verrichten voor falende berichten.
- Quarantine: Plaats berichten die niet door de DMARC-check komen in quarantaine. Dit betekent vaak dat ontvangers deze berichten in de Junk/Spam Folder ontvangen.
- Reject: Alle berichten die niet door de DMARC-check komen, worden afgewezen. De ontvangers zullen dit doen op SMTP level. Dit betekent dat de berichten direct gebounced worden tijdens het versturen.
Om de rapportage te ontvangen, zijn er twee beschikbare DMARC-rapporten: de Aggregate Reports (RUA) en de Forensic Reports (RUF). Een RUA-report wordt dagelijks verzonden en bevat alle IP-adressen die uit jouw domein zijn verzonden. Een RUF-report wordt verstuurd als er iets misgaat en bevat ook Inclusief originele berichtkoppen[KR1] .
