Hou je e-mails uit de spamfolder met SPF, DKIM en DMARC
Spam en phishing zijn belangrijke spelbrekers bij e-mailcommunicatie, maar legitieme mails die in de spamfolder belanden zijn eveneens de nachtmerrie van iedereen die op 'Verzenden' klikt. SPF, DKIM en DMARC zijn technologieën die je helpen dat te vermijden, door je uitgaande mails te laten valideren. Expert Tom legt uit.

Of het nu gaat om een gewone e-mail, een nieuwsbrief of transactionele e-mails over de status van een bestelling, je verwacht dat je e-mail in de inbox van de ontvanger terecht komt. Gelukkig heb je dat voor een groot deel zelf in de hand.
Verbeter de reputatie van je mails
Met technologieën als SPF, DKIM en DMARC kan je de afzender, de versturende mailserver en de inhoud van een e-mail valideren waardoor het voor spam- en scam-e-mails een pak moeilijker wordt om zich als officiële e-mail voor te doen. Het correct gebruik van deze technologieën zorgt er ook voor dat de reputatie van je eigen e-mails verbetert, zodat ze minder snel als spam aanzien zullen worden.
SPF: valideer je mailservers
SPF, voluit Sender Policy Framework, wordt gebruikt om aan te duiden welke servers e-mails mogen verzenden namens jouw domeinnaam. Deze worden opgenomen in de zogenaamde SPF-record, een speciaal gevormde DNS TXT-record. Bijvoorbeeld:
intracto.com TXT v=spf1 a mx include:_spf.google.com include:spf.mandrillapp.com ~all
In de SPF-record kunnen via verschillende mechanismen domeinnamen, IP-adressen en andere servers toegelaten worden. Het is belangrijk om weten dat SPF werkt tegen vervalsingen van het MAIL FROM-adres, of tegen de HELO/EHLO-hostname van het SMTP-protocol. Dus niet tegen de From-header van de eigenlijke e-mail.
Bij een correct geconfigureerde e-mailserver en -client zal hier netjes het e-mailadres van de verzender komen te staan, maar dat is vrij gemakkelijk te vervalsen. Daarom is het aangewezen om meer waarde te hechten aan een falende SPF-check, eerder dan een succesvolle SPF-check.
DKIM: digitale handtekening
DKIM, kort voor DomainKeys Identified Mail zorgt ervoor dat het bericht en de e-mailheaders voorzien worden van een digitale handtekening. Dat gebeurt via een cryptografisch sleutelpaar. De verzendende mailserver zal de e-mail ondertekenen met de private sleutel, waar de ontvangende mailserver de handtekening kan controleren aan de hand van de publieke sleutel. Deze publieke sleutel wordt net als SPF opgeslagen in een DNS-record. Bijvoorbeeld:
key1._domainkey.intracto.com TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDM5se2x4Eu/RsDga+A5L6LwjznGSyjhlWbVhVImhiim1HoKlwo7eAqJMELXiumxIe62GtKaLPSAGaVGBljaDsbulOB/dbRhGVtG1e8vIiGSLMWn/x/i2i+5onCidkKMiR+k6QAyLgXWOvaD5klIAbL/sAcEwjikHBs4NLAa+26VwIDAQAB
Als de handtekening niet klopt, dan wil dat zeggen dat inhoud van het bericht tijdens het verzenden gewijzigd is. DKIM op zich kan dus gebruikt worden om de integriteit van de e-mail te verifiëren.
Geef elk domein zijn eigen DKIM-sleutel
Hoewel niet verplicht, is het aan te raden om voor elk domein een eigen DKIM-sleutel te voorzien. Je kan echter perfect een bericht ondertekenen met een sleutel van een ander domein. Dit garandeert dan nog steeds de integriteit van de inhoud, maar zegt niets over de identiteit van de afzender.
Waar SPF enkel een DNS-record nodig heeft, is voor DKIM wel de nodige configuratie van de versturende e-mailserver nodig. Vaak heb je hier een eigen mailserver voor nodig (bv. een mailserver die bij op de cloudserver van je website staat) of een shared server of service die voor jouw domein geconfigureerd is.
DMARC: overkoepelende check
DMARC, ofwel een hele mond vol als Domain-based Message Authentication, Reporting and Conformance, is een technologie die bepaalt wat er moet gebeuren als er geen geldige SPF- of DKIM-validatie kan gebeuren. Het kan dus bv. het gebruik van DKIM verplichten.
DMARC controleert ook of het afzenderdomein van de from-header van de e-mail overeenkomt met het domein in het MAIL FROM-adres en met het domein dat gebruikt wordt voor de DKIM-ondertekening. Het dwingt dus een relatie af tussen de verschillende adressen en kan er zo voor zorgen dat een e-mail die wel een positieve SPF- en DKIM-check heeft alsnog geweigerd wordt.
Het zal je niet verbazen dat ook DMARC gebruik maakt van een DNS-record. Hiervoor wordt de domeinnaam van het FROM-adres van de e-mail gebruikt. In de record worden de regels opgenomen die de ontvangende e-mailserver kan gebruiken om de validatie uit te voeren. Bijvoorbeeld:
intracto.com. TXT v=DMARC1; p=none; rua=mailto:dmarc@intracto.com; ruf=mailto:dmarc@intracto.com; fo=1;
Naast regels die bepalen hoe er omgegaan moet worden met SPF- en DKIM-checks, voorziet de DMARC standaard er ook in om samenvattingen of gedetailleerde foutrapporten te ontvangen. Je wordt als beheerder dus als het ware automatisch op de hoogte gehouden als er ergens berichten verstuurd worden die niet voldoen aan de DMARC-policies. Zo krijg je niet alleen inzicht in de aflevering van vervalste berichten, maar bv. ook van verkeerde configuraties van je eigen server of website.
Versterk de reputatie van je mails
Wil je ook meer controle over de reputatie van je uitgaande mails? We helpen je graag verder.
Neem contact opKort samengevat
SPF, voluit Sender Policy Framework, wordt gebruikt om aan te duiden welke servers e-mails mogen verzenden namens jouw domeinnaam.
DKIM, kort voor DomainKeys Identified Mail zorgt ervoor dat het bericht en de e-mailheaders voorzien worden van een digitale handtekening. Dat gebeurt via een cryptografisch sleutelpaar.
DMARC, ofwel een hele mond vol als Domain-based Message Authentication, Reporting and Conformance, is een technologie die bepaalt wat er moet gebeuren als er geen geldige SPF- of DKIM-validatie kan gebeuren.