Begrijpen van SPF en DKIM om de bezorgbaarheid van e-mails te verbeteren

In de vroege dagen van de 'moderne e-mail' waren er beperkte mechanismen beschikbaar om de verzender te verifiëren. Bijna alle spam, scams en virussen die zich via e-mail verspreidden, deden dat met vervalste verzenderinformatie – zoals sommige dat vandaag de dag nog steeds doen. Verifiëren wie de e-mailverzenders werkelijk zijn, was en is nog steeds een moeilijk proces.

Neem het voorbeeld van een bezoek aan www.google.com en het indienen van een zoekopdracht. Je bent over het algemeen redelijk zeker dat Google controle heeft over wat er naar jou terug wordt gestuurd voor je zoekopdracht en dat de zoekresultaten veilig zijn. Dit komt doordat het Domain Name System (DNS)—een gedistribueerd netwerk van servers dat fungeert als een telefoonboek—het domein verbindt met een verscheidenheid aan records, inclusief waar de echte google.com te vinden is.

E-mail maakt gebruik van een latere aanpassing van ditzelfde systeem om verzenders te verifiëren, wat precies is wat een Sender Policy Framework (SPF) record is.

Voordelen en Potentiële Nadelen van SPF

SPF is bedreven in het voorkomen van phishing. Zonder SPF zou SMTP je adres blootstellen aan degenen die het kunnen vervalsen voor spamdoeleinden. Met SPF zullen bij een poging van een hacker om een e-mail vanaf jouw adres te initiëren, de SPF-beveiliging van de ontvangende server dit detecteren en als ongeldig identificeren. Het gebruik van SPF toont aan dat jouw organisatie zich inzet voor bescherming tegen cyberdreigingen, een teken dat een positieve invloed heeft op je verzenderreputatie.

Wanneer een gebruiker buiten jouw domein een e-mail doorstuurt die van jou afkomstig is, kan de levering mogelijk niet plaatsvinden vanwege een mismatch tussen het IP-record en het SPF-record. Veel mail exchange- en transferagentschappen gebruiken nu het Sender Rewriting Scheme (SRS) om de levering van doorgestuurde e-mails te verbeteren. Het SPF-record moet ook eventuele wijzigingen in derden e-mailserviceproviders weerspiegelen om ervoor te zorgen dat ze overeenkomen voor leverbaarheid.

Hoe SPF Werkt

Op het meest basale niveau stelt SPF e-mail een methode vast voor ontvangstservers om te verifiëren dat inkomende e-mail van een domein werd verzonden door een host die is geautoriseerd door de beheerders van dat domein. De volgende drie stappen geven aan hoe SPF werkt:

1. Een domeinbeheerder publiceert het beleid dat mailservers definieert die zijn geautoriseerd om e-mail vanaf dat domein te verzenden. Dit beleid wordt een SPF-record genoemd en het wordt vermeld als onderdeel van de algehele DNS-records van het domein.

2. Wanneer een inkomende mailserver een inkomende e-mail ontvangt, zoekt deze de regels voor het bounce (Return-Path) domein in DNS op. De inkomende server vergelijkt vervolgens het IP-adres van de mailverzender met de geautoriseerde IP-adressen die zijn gedefinieerd in het SPF-record.

3. De ontvangende mailserver gebruikt vervolgens de regels die zijn gespecificeerd in het SPF-record van het verzendende domein om te beslissen of de e-mail moet worden geaccepteerd, afgewezen of op een andere manier moet worden gemarkeerd.

Om de eerste stap te zetten bij het inspecteren van je eigen SPF-record, kun je dit doen met SparkPost’s gratis tool – de SPF Inspector.

Samenvatting van hoe SPF werkt

Zodra je hebt geïdentificeerd welke servers geautoriseerd zijn om namens een domein te verzenden, kun je een SPF-record voor je domein aanmaken via de SPF Builder.

Het aanmaken van een SPF-record zal je een stap dichter brengen bij het garanderen dat legitieme e-mails die van jouw domein afkomstig zijn met succes worden afgeleverd in klantinboxen.

Waar het gaat om het verifiëren dat een e-mailbericht is verzonden vanaf een geautoriseerde mailserver, komt DKIM in beeld.

Voordelen en Potentiële Nadelen van DKIM Authenticatie

Het belangrijkste voordeel van DKIM e-mail is het vermogen om zowel spoofing- als phishingaanvallen te beschermen. De authenticatie verschijnt binnen het bericht zelf om vervalsing te voorkomen en gebruikers te beschermen tegen het beantwoorden van onwettige e-mails met gevoelige persoonlijke gegevens. Zowel spoofing als phishing kunnen je verzenderreputatie en toekomstige leverbaarheid schaden, daarom is bescherming tegen deze twee gunstig.

Het creëren van een e-mail met DKIM heeft hetzelfde potentieel nadeel als SPF als het gaat om het doorsturen van berichten. Een e-mail die bijvoorbeeld automatisch van een kantoorcomputer naar een mobiele gebruiker wordt omgeleid, kan als onrechtmatig worden beschouwd door de ontvangende server. Veel populaire e-mailservices hebben dit probleem opgelost. Een andere uitdaging die zich kan voordoen, is een DKIM die te kort is in lengte. Met meer ondersteuning voor langere sleutels kunnen kortere sleutels mogelijk de authenticatie niet doorstaan.

Hoe DKIM Werkt

In eenvoudige termen werkt DKIM door een digitale handtekening toe te voegen aan de headers van een e-mailbericht. Deze handtekening kan vervolgens worden gevalideerd aan de hand van een openbare cryptografische sleutel die in de DNS-records van de organisatie staat.

De domeineigenaar publiceert een cryptografische sleutel. Dit wordt specifiek als een TXT-record geformateerd in het algehele DNS-record van het domein.

Nadat een bericht is verzonden door een uitgaande mailserver, genereert de server de unieke DKIM-handtekening en voegt deze toe aan de header van het bericht.

De DKIM-sleutel wordt vervolgens door inkomende mailservers gebruikt om de handtekening te detecteren en te ontsleutelen en deze te vergelijken met een nieuwe versie. Als de waarden overeenkomen, kan het bericht als authentiek worden bewezen, en niet vervalst of aangepast tijdens transport.

Je kunt je e-mail valideren met de DKIM Validator.

Samenvatting van hoe DKIM werkt