Hou je e-mails uit de spamfolder met SPF, DKIM en DMARC

SPF, voluit Sender Policy Framework, wordt gebruikt om aan te duiden welke servers e-mails mogen verzenden namens jouw domeinnaam. Deze worden opgenomen in de zogenaamde SPF-record, een speciaal gevormde DNS TXT-record. Bijvoorbeeld:

intracto.com    TXT    v=spf1 a mx include:_spf.google.com include:spf.mandrillapp.com ~all

In de SPF-record kunnen via verschillende mechanismen domeinnamen, IP-adressen en andere servers toegelaten worden. Het is belangrijk om weten dat SPF werkt tegen vervalsingen van het MAIL FROM-adres, of tegen de HELO/EHLO-hostname van het SMTP-protocol. Dus niet tegen de From-header van de eigenlijke e-mail. 

Bij een correct geconfigureerde e-mailserver en -client zal hier netjes het e-mailadres van de verzender komen te staan, maar dat is vrij gemakkelijk te vervalsen. Daarom is het aangewezen om meer waarde te hechten aan een falende SPF-check, eerder dan een succesvolle SPF-check.

DKIM, kort voor DomainKeys Identified Mail zorgt ervoor dat het bericht en de e-mailheaders voorzien worden van een digitale handtekening. Dat gebeurt via een cryptografisch sleutelpaar. De verzendende mailserver zal de e-mail ondertekenen met de private sleutel, waar de ontvangende mailserver de handtekening kan controleren aan de hand van de publieke sleutel. Deze publieke sleutel wordt net als SPF opgeslagen in een DNS-record. Bijvoorbeeld:

key1._domainkey.intracto.com    TXT    k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDM5se2x4Eu/RsDga+A5L6LwjznGSyjhlWbVhVImhiim1HoKlwo7eAqJMELXiumxIe62GtKaLPSAGaVGBljaDsbulOB/dbRhGVtG1e8vIiGSLMWn/x/i2i+5onCidkKMiR+k6QAyLgXWOvaD5klIAbL/sAcEwjikHBs4NLAa+26VwIDAQAB

Als de handtekening niet klopt, dan wil dat zeggen dat inhoud van het bericht tijdens het verzenden gewijzigd is. DKIM op zich kan dus gebruikt worden om de integriteit van de e-mail te verifiëren.

Geef elk domein zijn eigen DKIM-sleutel

Hoewel niet verplicht, is het aan te raden om voor elk domein een eigen DKIM-sleutel te voorzien. Je kan echter perfect een bericht ondertekenen met een sleutel van een ander domein. Dit garandeert dan nog steeds de integriteit van de inhoud, maar zegt niets over de identiteit van de afzender.

Waar SPF enkel een DNS-record nodig heeft, is voor DKIM wel de nodige configuratie van de versturende e-mailserver nodig. Vaak heb je hier een eigen mailserver voor nodig (bv. een mailserver die bij op de cloudserver van je website staat) of een shared server of service die voor jouw domein geconfigureerd is.

DMARC, ofwel een hele mond vol als Domain-based Message Authentication, Reporting and Conformance, is een technologie die bepaalt wat er moet gebeuren als er geen geldige SPF- of DKIM-validatie kan gebeuren. Het kan dus bv. het gebruik van DKIM verplichten. 

DMARC controleert ook of het afzenderdomein van de from-header van de e-mail overeenkomt met het domein in het MAIL FROM-adres en met het domein dat gebruikt wordt voor de DKIM-ondertekening. Het dwingt dus een relatie af tussen de verschillende adressen en kan er zo voor zorgen dat een e-mail die wel een positieve SPF- en DKIM-check heeft alsnog geweigerd wordt. 

Het zal je niet verbazen dat ook DMARC gebruik maakt van een DNS-record. Hiervoor wordt de domeinnaam van het FROM-adres van de e-mail gebruikt. In de record worden de regels opgenomen die de ontvangende e-mailserver kan gebruiken om de validatie uit te voeren. Bijvoorbeeld:

intracto.com.    TXT    v=DMARC1; p=none; rua=mailto:dmarc@intracto.com; ruf=mailto:dmarc@intracto.com; fo=1;

Naast regels die bepalen hoe er omgegaan moet worden met SPF- en DKIM-checks, voorziet de DMARC standaard er ook in om samenvattingen of gedetailleerde foutrapporten te ontvangen. Je wordt als beheerder dus als het ware automatisch op de hoogte gehouden als er ergens berichten verstuurd worden die niet voldoen aan de DMARC-policies. Zo krijg je niet alleen inzicht in de aflevering van vervalste berichten, maar bv. ook van verkeerde configuraties van je eigen server of website.