In de vroege dagen van de 'moderne e-mail' waren er beperkte mechanismen beschikbaar om de afzender te verifiëren. Bijna alle spam, oplichtingen en virussen die zich via e-mail verspreidden, deden dit met vervalste afzenderinformatie - zoals sommigen nog steeds doen vandaag. Verifiëren wie e-mailafzenders eigenlijk zijn was en is nog steeds een moeilijk proces.

Neem het voorbeeld van het bezoeken van www.google.com en het indienen van een zoekopdracht. Je hebt over het algemeen redelijk vertrouwen dat Google controle heeft over wat je terugkrijgt voor je zoekopdracht en dat de zoekresultaten veilig zijn. Dit komt omdat het Domain Name System (DNS)—een gedistribueerd netwerk van servers dat fungeert als een telefoonboek—de domeinnaam verbindt met verschillende records, waaronder waar je de echte google.com vindt.

E-mail gebruikt een latere aanpassing van ditzelfde systeem om afzenders te verifiëren, wat precies is wat een Sender Policy Framework (SPF)-record is.

Voordelen en Mogelijke Nadelen van SPF

SPF is bedreven in het voorkomen van phishing. Zonder dit zou SMTP je adres blootstellen aan degenen die het zouden kunnen vervalsen voor spamming. Met SPF in werking, wanneer een hacker probeert een e-mail van je adres te verzenden, detecteert de ontvangende server's SPF-beveiliging dit en identificeert het als ongeldig. Het gebruik van SPF laat zien dat je organisatie zich inzet voor de bescherming tegen cyberdreigingen, een teken dat je afzenderreputatie positief beïnvloedt.

Wanneer een gebruiker buiten je domein een e-mail doorstuurt die van jou afkomstig is, kan de levering niet plaatsvinden vanwege een mismatch tussen het IP-record en het SPF-record. Veel mailwisseling- en -overdrachtsagenten gebruiken nu het Sender Rewriting Scheme (SRS) om de leverbaarheid van e-maildoorgiften te verbeteren. Het SPF-record moet ook eventuele wijzigingen in e-mailserviceproviders van derden weerspiegelen om ervoor te zorgen dat ze overeenkomen voor leverbaarheid.

Hoe SPF Werkt

Op het meest basale niveau stelt SPF e-mail een methode vast voor ontvangende servers om te verifiëren dat inkomende e-mail van een domein is verzonden door een host die is geautoriseerd door de beheerders van dat domein. De volgende drie stappen geven aan hoe SPF werkt:

1. Een domeinbeheerder publiceert het beleid dat mailservers definieert die zijn geautoriseerd om e-mail van dat domein te verzenden. Dit beleid wordt een SPF-record genoemd en word opgenomen als onderdeel van de algehele DNS-records van het domein.

2. Wanneer een inkomende mailserver een binnenkomende e-mail ontvangt, kijkt deze naar de regels voor het bounce (Return-Path) domein in DNS. De inkomende server vergelijkt vervolgens het IP-adres van de mailzender met de geautoriseerde IP-adressen die in het SPF-record zijn gedefinieerd.

3. De ontvangende mailserver gebruikt vervolgens de regels die zijn gespecificeerd in het SPF-record van het zendende domein om te beslissen of de e-mail moet worden geaccepteerd, geweigerd, of anderszins moet worden gemarkeerd.

   
   

Om de eerste stap van het inspecteren van je eigen SPF-record te zetten, kun je dat doen met SparkPost’s gratis hulpmiddel – de SPF Inspector.

Als je eenmaal hebt vastgesteld welke servers geautoriseerd zijn om namens een domein e-mails te verzenden, kun je vervolgens een SPF-record voor je domein maken via de SPF Builder.

Een SPF-record maken zal je een stap dichter bij het zorgen voor de succesvolle levering van legitieme e-mails van je domein naar klantinboxen brengen.

Als het erom gaat te verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, dan komt DKIM in beeld.

Voordelen en Mogelijke Nadelen van DKIM-authenticatie

Het belangrijkste voordeel van DKIM e-mail is het vermogen om bescherming te bieden tegen zowel spoofing- als phishingaanvallen. De authenticatie verschijnt binnen het bericht zelf om vervalsing te voorkomen en gebruikers te beschermen tegen het beantwoorden van onrechtmatige e-mails met gevoelige persoonlijke gegevens. Zowel spoofing als phishing kunnen je verzendreputatie en toekomstige leverbaarheid schaden, dus bescherming tegen beide is voordelig.

Het creëren van een e-mail met DKIM heeft hetzelfde potentiële nadeel als SPF als het gaat om het doorsturen van berichten. Bijvoorbeeld, een e-mail die automatisch wordt gerouteerd van een kantoorcomputer naar een mobiele gebruiker kan voor de ontvangende server als onrechtmatig lijken. Veel populaire e-maildiensten hebben dit probleem opgelost. Een andere uitdaging die zich kan voordoen is een DKIM die te kort is in lengte. Met meer ondersteuning voor langere sleutels, kunnen kortere sleutels mogelijk niet door de authenticatie komen.

Hoe DKIM Werkt

Eenvoudig gezegd werkt DKIM door een digitale handtekening toe te voegen aan de kopteksten van een e-mailbericht. Deze handtekening kan dan worden gevalideerd tegen een openbare cryptografische sleutel die in het DNS-record van de organisatie is geplaatst.

De domeineigenaar publiceert een cryptografische sleutel. Dit is specifiek geformatteerd als een TXT-record in het algehele DNS-record van het domein.

Nadat een bericht is verzonden door een uitgaande mailserver, genereert de server en voegt de unieke DKIM-handtekening toe aan de koptekst van het bericht.

De DKIM-sleutel wordt vervolgens gebruikt door inkomende mailservers om de handtekening van het bericht te detecteren en te ontsleutelen en deze te vergelijken met een verse versie. Als de waarden overeenkomen, kan worden bewezen dat het bericht authentiek is en niet is vervalst of gewijzigd tijdens het transport.

Je kunt je e-mail valideren met de DKIM Validator.