WordPress 6.5: dit is nieuw
Nieuws
SPF, DKIM en DMARC: vermijd spam via jouw domeinnaam
25-09-2019 - Hoe vermijd je dat anderen jouw domeinnaam gebruiken om spammails te versturen? SPF, DKIM en DMARC helpen je te vermijden dat je domeinnaam een slechte reputatie krijgt.
Stel je voor: een klant belt je op om je te vertellen dat hij of zij niet opgezet is met de e-mails die jij verstuurt over een of andere obscure wedstrijd. Niet mogelijk?
Helaas wel. In zo'n geval ben je het slachtoffer van 'e-mail spoofing'. Bij e-mail spoofing doet iemand zich voor als jou door jouw e-mailadres na te bootsen om daarmee ongewenste berichten te versturen.
Dat betekent niet dat je gehackt bent. Maar het is wel erg vervelend. Kwaadwillenden passen de techniek toe om spam- of phishingmails te verzenden. Door een e-mailadres te gebruiken van een betrouwbare afzender, hopen ze ontvangers om de tuin te leiden.
Gelukkig bestaan er enkele middeltjes om te voorkomen dat jouw e-mailadres misbruikt wordt door anderen.
Waar komt e-mail spoofing vandaan?
Om het fenomeen e-mail spoofing te verklaren, moeten we even terug in de tijd. Het e-mailsysteem dat we vandaag gebruiken dateert uit de jaren 80. Het Simple Mail Transfer Protocol - afgekort SMTP - maakt het mogelijk om zelf een afzender, ontvanger en de inhoud van een bericht in te vullen.
Niemand verwachtte toen dat we vandaag zoveel e-mails zouden versturen. Er werd geen controle op de legitimiteit van de afzender ingebouwd in het SMTP. En dat is net de beperking die spammers uitbuiten.
Andere mensen bootsen jouw identiteit na om spam of phishing te verspreiden. Het spreekt voor zich dat je een e-mail sneller opent wanneer die van een vriend, collega of partner lijkt te komen.
Net om dat lek in het e-mailprotocol te verhelpen, werden een aantal technieken ontwikkeld om de identiteit van een afzender te controleren. Hieronder gaan we daar verder op in.
Het SPF-record
Het SPF-record, ook bekend als Sender Policy Framework, is een mechanisme dat aangeeft via welke mailservers je e-mails verstuurd mogen worden. Je kan het beschouwen als een soort aanbeveling: welke e-mails zijn legitiem en welke niet?
Merkt een ontvangende mailserver dat een e-mail verstuurd werd via een andere mailserver (bijvoorbeeld door een spammer), dan wordt dat bericht automatisch gemarkeerd of geweigerd.
Een SPF-record moet je instellen op een domeinnaam. Wanneer je verschillende e-mailadressen hebt op basis van één domeinnaam, hoef je het maar één keer in te stellen. Alle e-mailadressen worden beschermd.
Hoe voeg je een SPF-record toe?
Een SPF-record moet je instellen op je domeinnaam als een TXT-record. Maak je gebruik van onze e-maildienst, dan wordt er automatisch een SPF-record toegevoegd aan je domeinnaam. Wil je extra locaties toevoegen vanwaaruit je e-mailt? Dan kan je zelf mailservers, IP-adressen en andere parameters toevoegen aan het SPF-record. Hoe die parameters eruitzien, ontdek je hieronder.
De ontleding van een SPF-record
Het record bestaat uit verschillende onderdelen. Vooraan staat altijd welke versie van het protocol gebruikt wordt:
'v=spf1'
Daarna komen zogenaamde mechanismen, waaraan je een waarde kan toevoegen. Zo'n waarde kan een IP-adres of domeinnaam zijn.
| Mechanisme | Betekenis |
|---|---|
| a | Komt het IP-adres van de verzender overeen met het IP-adres dat in het A-record staat, dan wordt de e-mail toegelaten. |
| mx | Worden een e-mail verzonden vanuit het MX-record van de domeinnaam, dan wordt de e-mail toegelaten. |
| ip4 | Zit het IP-adres van de verzender in de range van IPv4-adressen die in het SPF-record staat, dan wordt de e-mail toegelaten. |
| ip6 | Zit het IP-adres van de verzender in de range van IPv6-adressen die in het SPF-record staat, dan wordt de e-mail toegelaten. |
| include | Wordt er aan de voorwaarden voldaan van het SPF-record waarnaar verwezen wordt, wordt de e-mail toegelaten. |
Vervolgens komt er een 'qualifier' te staan. Die bepaalt hoe kritisch een ontvangende mailserver moet omgaan met verdachte e-mails.
| Qualifier | Betekenis | Verklaring |
|---|---|---|
| +all | Pass | E-mails worden toegelaten zonder beperkingen. |
| -all | Fail | E-mails worden zeer strikt geweigerd. |
| ~all | SoftFail | E-mails worden toegelaten maar beschouwd als spam. |
| ?all | Neutral | Er wordt geen extra validatie uitgevoerd. |
Een combinatie van de versie, een of meerdere mechanismen en een qualifier vormen samen het SPF-record, waarmee bepaald wordt wie een legitieme afzender is van e-mails via een domeinnaam.
Voorbeelden van een SPF-record
Een SPF-record kan er behoorlijk complex uitzien. Aan de hand van volgende voorbeelden wordt het duidelijker.
| v=spf1 mx ~all | Er mogen e-mails verstuurd worden via alle mailservers die ingesteld zijn op de domeinnaam als MX-record. |
| v=spf1 ip4:83.96.159.44 ip4:83.96.159.45 ~all | Er mogen e-mails verstuurd worden via alle mailservers die een IP-adres hebben binnen de opgegeven range. |
| v=spf1 include:spf.protection.outlook.com ~all | Er mogen e-mails verstuurd worden via mailservers die voldoen aan het SPF-record van Outlook. |
Waarop moet je letten bij een SPF-record?
Het is belangrijk om een SPF-record correct in te stellen. Een foutje kan er namelijk voor zorgen dat geen enkele e-mail afgeleverd wordt.
Verder mag een SPF-record niet meer dan 10 verschillende mechanismen bevatten. Wanneer je dat aantal toch overschrijdt, zal dat leiden tot een permanente foutmelding. Wil je toch een uitgebreid record instellen, dan kan je gebruik maken van het mechanisme 'include'.
Eenvoudig instellen met de Nomeo SPF-wizard
We schreven het hierboven al: een SPF-record is een complexe instelling op je domeinnaam. Daarom hebben we een handige wizard, waarmee je in enkele stappen zelf een SPF-record op maat creëert en toevoegt.
Meld je aan op ons controlepaneel.
Kies de domeinnaam waaraan je een SPF-record wil toevoegen via het vak 'Actieve domeinnamen'.
Ga in het tabblad 'DNS-records' naar 'TXT-records' en klik op 'Voeg een nieuw SPF-record toe'. Aan het einde van de wizard wordt het record automatisch toegevoegd.
Extra beveiliging
Een goed ingesteld SPF-record levert een belangrijke bijdrage aan de vermindering van spam- en phishingmails. Bovendien voorkom je dat kwaadwillenden jouw e-mailadres en naam misbruiken voor ongewenste berichten.
Naast het SPF-record bestaan er nog twee andere controlemechanismen die je kan instellen op je domeinnaam. Zo zorg je voor maximale bescherming tegen schade aan jouw naam en reputatie.
1. DKIM: digitale handtekening aan e-mails
DKIM - voluit DomainKeys Identified Mail - is een techniek om de afzender van een e-mail te authenticeren. Het biedt dus geen bescherming tegen ongewenste e-mails, maar vormt een basis voor het opbouwen van een reputatie voor spamfilters.
DKIM - voluit: DomainKeys Identified Mail - is een techniek die helpt te bepalen of een e-mail al dan niet onderschept en gewijzigd werd. Door een digitale handtekening toe te voegen aan de header van elke e-mail, kan een ontvangende mailserver controleren of het over een legitiem bericht gaat.
Kwaadwilligen proberen soms verzonden e-mails te onderscheppen om de inhoud ervan te wijzigen. Vaak wordt er kwalijke software meegestuurd die wordt geopend door nietsvermoedende ontvangers. Dankzij DKIM is dat niet mogelijk, omdat de digitale handtekening niet kan ontcijferd worden. Je e-mails komen kortom toe zoals je ze zelf hebt opgesteld.
Zo'n digitale handtekening hoef je niet telkens zelf toe te voegen. Net zoals bij een SPF-record, is er automatisch een DKIM-record actief wanneer je gebruikmaakt van nomeo mail.
2. DMARC: SPF + DKIM
DMARC staat voor 'Domain-based Message Authentication, Reporting & Conformance'. Een hele boterham. In de kern brengt DMARC de functies van SPF en DKIM samen.
Een DMARC-record gaat bij de binnenkomst van een e-mail twee zaken tegelijkertijd controleren. Zowel de digitale handtekening van de e-mail (DKIM), als de legitimiteit van de afzender (SPF) worden nagetrokken. Slagen die controles, dan wordt de e-mail afgeleverd.
Maar er is meer. Via DMARC kan je zelf aangeven wat moet gebeuren met verdachte e-mails. E-mails van onbevoegde afzenders kunnen zo rechtstreeks naar de spamfolder verwezen worden of volledig worden afgewezen.
E-mailproviders houden meer en meer rekening met DMARC. Voor verzenders van e-mail in bulk is het zelfs cruciaal om in te stellen op hun domeinnaam.
Dat maken we graag gemakkelijk. In ons controlepaneel vind je een wizard terug waarmee je DMARC in enkele muisklikken toevoegt aan je domeinnaam.
Bescherm je goede naam
Met SPF, DKIM en DMARC verklein je de kans op e-mail spoofing aanzienlijk. Het draagt bovendien ook bij aan jouw reputatie als afzender. Je e-mails zullen correct worden afgeleverd, wat op zijn beurt voor meer succes kan zorgen met marketingcampagnes.
Hulp nodig? Contacteer ons!
Net zoals een SPF-record, moeten DKIM en DMARC als TXT-record toegevoegd worden op je domeinnaam. Heb je hulp of advies nodig bij het instellen van extra e-mailbeveiliging op je domeinnaam? Aarzel dan niet en neem contact op met een van onze specialisten via ons gratis 0800-nummer, live chat of support@nomeo.be.
