SPF, DKIM en DMARC bij Vevida

Inhoudsopgave


E-mail is nog steeds één van de belangrijkste communicatiemiddelen. Helaas wordt hier nog geregeld misbruik van gemaakt. Er is dan ook een aantal technieken om het gebruik van e-mail veiliger te maken. Hieronder staat een drietal beveiligingstechnieken:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain-based Message Authentication, Reporting and Conformance (DMARC)


Alle drie de technieken maken gebruik van de DNS (Domain Name System) voor het beveiligen van e-mail. Lees verder voor een beknopte uitleg per beveiligingstechniek


SPF

Bij SPF wordt er een DNS-record ingesteld in de DNS-zone van je domein. In dit DNS-record staat aangegeven welke mailservers gemachtigd zijn om e-mails te sturen namens het domein. Onderstaand DNS-record hebben wij standaard ingesteld in alle DNS-zones:

@ TXT v=spf1 include:spf.vevida.com ~all

In dit DNS-record staat aangegeven dat alles wat is toegevoegd in ‘spf.vevida.com’ gemachtigd is om namens het domein e-mails te versturen. In ‘spf.vevida.com’ zijn al onze uitgaande mailservers opgenomen.

De partij waaraan de e-mail wordt verzonden, kan aan de hand van de e-mail controleren of de gebruikte mailserver is opgenomen in het DNS-record voor SPF. Is dit niet het geval, dan kunnen zij de e-mail weigeren of aanmerken als spam.

DKIM

Bij DKIM ondertekent de uitgaande mailserver een e-mail met een sleutel. Het gaat dan om inhoud, afzendadres, naar, onderwerp en datum. Deze sleutel wordt dan als extra toegevoegd aan de e-mail. Op die manier kan de ontvangende mailservers dit verifiëren.

De publieke sleutel wordt in de DNS-zone van het domein geplaatst. Dit wordt gedaan als TXT-record of als CNAME-record. De ontvangende mailserver kan met deze publieke sleutel en de sleutel in de e-mail controleren of het bericht is aangekomen, zoals deze is verzonden.

DMARC

DMARC gebruik je in combinatie met SPF en DKIM-records. Met DMARC kun je aangeven of je mails die gespoofed zijn alleen maar wilt monitoren, naar de spam moet verplaatsen of weigeren. Daarnaast is het mogelijk om in te stellen dat je rapporten wil ontvangen en hoe streng de DMARC moet zijn.


Let op: op de website internet.nl kun je testen welke internetstandaarden ondersteund worden (IPv6, DNSSEC, DMARC/DKIM/SPF en STARTTLS/DANE). Deze test geeft aan dat DKIM niet is ingesteld terwijl dit wel zo is. Dit komt omdat de e-mail ondertekend wordt met de DKIM-sleutel van vevida.com.


Q
Quinten is the author of this solution article.

Was dit antwoord nuttig? Ja Nee

Feedback versturen
Het spijt ons dat we u niet hebben kunnen helpen. Als u feedback geeft, kunnen we het artikel verbeteren.