Alles wat marketeers moeten weten over DKIM, PTR, SPF en DMARC

23 maart 2017, 10:00

Het ontvangen en versturen van e-mail is één van de meest gebruikte vormen van communicatie in ons land, dagelijks worden miljoenen e-mails verstuurd en ontvangen. E-mailmarketing is zelfs al voor het vierde achtereenvolgende jaar het populairste online kanaal. E-mail is dus nog steeds hot, maar helaas ook kwetsbaar. Denk hierbij aan mails waarin ongevraagde producten of diensten worden aangeboden of waarin kwaadwillende proberen gevoelige informatie als inloggegevens of creditcard informatie buit te maken.

Om het e-mailverkeer in Nederland veiliger te maken hebben bedrijfsleven, brancheorganisaties en de overheid de handen in één geslagen en op 2 februari 2017 de ‘Veilige E-mail Coalitie’ opgericht. De standaarden waar zij voor staan, worden in dit artikel behandeld en biedt jou handvatten om de veiligheid van het e-mailverkeer binnen jouw organisatie onder de loep te nemen en waar kan veiliger te maken.

Wat is DKIM en hoe werkt het?

Het is tegenwoordig bijzonder eenvoudig om een e-mail vanaf een vervalst afzenderadres te versturen. De normale internetgebruiker zal niet doorhebben dat de mail die hij zojuist van ‘incassso@ing.nl’ heeft ontvangen eigenlijk een phishing-bericht is. Het afzenderadres ziet er per slot van rekening legitiem uit. Pas bij grondiger onderzoek zal blijken dat deze e-mail helemaal niet bij deze financiële instelling vandaan komt, maar hier juist een kwaadwillende partij achter zit die probeert achter waardevolle bankgegevens te komen. Dit is waar de domeineigenaar kan kiezen voor DKIM.

DKIM staat voor DomainKeys Identified Mail. Het is een techniek waarmee een domeineigenaar verantwoordelijkheid neemt voor berichten die vanaf zijn domeinnaam afkomstig zijn. Dit wordt gedaan door een publieke sleutel als TXT-record in de DNS-zone van de domeinnaam te plaatsen en op serverniveau een privésleutel ter beschikking te stellen voor de uitgaande mailserver. Bij iedere mail die wordt verstuurd zal de DKIM-sleutel meegestuurd worden. Deze staat niet direct zichtbaar in de mail zelf, maar wel in de broncode. Zo kan de ontvanger controleren of het bericht ook daadwerkelijk vanaf een rechtmatige server afkomstig is.

Doordat met ieder bericht een sleutel wordt meegestuurd, kan een ontvangende mailserver een controle uitvoeren om te zien of de e-mail wel echt bij genoemde verzender vandaan komt. Als deze sleutel niet overeen komt met wat in de DNS-configuratie van de domeinnaam staat, zal dit een signaal zijn voor de ontvangende partij dat het ontvangen bericht mogelijk kwaadwillend is.

Dit kan betekenen dat het ontvangen bericht in ‘quarantaine’ wordt geplaatst of simpelweg wordt geweigerd. DKIM is dus niet direct een technologie die spam tegengaat, maar biedt een manier om e-mails te authenticeren.

Hoe kan ik gebruik maken van DKIM?

Je zult in de meeste gevallen niet automatisch gebruik kunnen maken van DKIM. Dit komt doordat er handmatige aanpassingen nodig zijn bij zowel de domeinnaam als de verzendende server. Zoals ik hierboven beschreef moet er een specifiek TXT-record aan de DNS-zone van de domeinnaam worden toegevoegd. Ook dient DKIM op serverniveau ingeschakeld te worden, iets dat bijvoorbeeld in DirectAdmin in combinatie met SSH al binnen enkele minuten gedaan kan worden. Vaak is een handleiding al snel te vinden door te Googlen op bijvoorbeeld “DirectAdmin DKIM Guide” of “Use DKIM on Ubuntu Server”.

Wat kan ik verder nog doen?

Het toepassen van DKIM is één ding, maar er zijn nog andere manieren om alle e-mails vanaf jouw domeinnaam correct te kunnen laten beoordelen. Hierbij richt ik me specifiek op Reverse DNS (PTR), SPF en DMARC, welke hieronder in het kort zullen worden toegelicht.

PTR

Een PTR-record (Pointer) koppelt een IP-adres aan een hostnaam, in plaats van een hostnaam aan een IP-adres. Het is dus eigenlijk een omgekeerd DNS-record, wat meteen verklaart waarom de naam ‘Reverse DNS’ hiervoor gebruikt wordt. Sommige ontvangende mailservers controleren of de verzendende server zich anders voordoet dan deze daadwerkelijk is. Een mailserver kan bijvoorbeeld de hostnaam ‘mail.ing.nl’ gebruiken, maar dat wil niet zeggen dat deze mailserver ook daadwerkelijke aan deze financiële instelling gekoppeld is.

Doormiddel van het PTR-record kan worden gecontroleerd of het IP-adres dat wordt gebruikt ook daadwerkelijk de hostnaam ‘mail.ing.nl’ hanteert. Je vraagt dus niet het IP-adres van een adres op, maar juist het adres van een IP-adres.

SPF

Een SPF-record (Sender Policy Framework) is een TXT-record dat net als de publieke DKIM-sleutel aan de DNS-zone van een domeinnaam toegevoegd dient te worden. In dit record kan worden aangegeven welke IP-adressen en/of hostnamen gerechtigd zijn om mail te versturen vanaf het domein. De ontvangende partij krijgt hiermee de mogelijkheid om op basis van het SPF-record e-mails toe te laten, in “quarantaine” te plaatsen of simpelweg tegen te houden. Als de versturende mailserver niet in het SPF-record van de domeinnaam is opgenomen zal de e-mail vanaf deze server direct als verdacht worden aangemerkt.

DMARC

Met een DMARC-record (Domain-based Message Authentication, Reporting & Conformance) wordt doorgebouwd op de ingestelde SPF- en DKIM-records. Opnieuw gaat het om een TXT-record dat aan de DNS-zone van een domeinnaam toegevoegd dient te worden. Met dit record wordt aangegeven dat het domein gebruik maakt van SPF en/of DKIM.

Het record geeft tevens aan wat de ontvangende mailserver met de ontvangen e-mail moet doen als deze niet door de SPF- of DKIM-test komt. Ook is er een monitoringsfunctionaliteit aanwezig, waarmee de resultaten van zowel SPF en DKIM kunnen worden verzameld. Deze resultaten worden vervolgens naar het daarvoor bestemde e-mailadres verstuurd.

Samenvatting

In een tijd waarin een aanzienlijk deel van onze communicatie per mail loopt, is het belangrijk om onszelf te beschermen tegen misbruikers. Door de bovenstaande technieken toe te passen zorg je ervoor dat ontvangende mailservers correct kunnen inschatten of e-mails vanaf een bepaald domein daadwerkelijk door de domeineigenaar zijn verstuurd. Niet alleen draagt dit bij aan het veilig(er) maken van al het mailverkeer, ook wordt voorkomen dat er fraudulente e-mails vanaf jouw afzenderadres bij internetgebruikers in de mailbox belanden.

Het is aan te raden om je provider te contacteren en te vragen naar de mogelijkheden om DKIM en de andere bovenstaande methodes te implementeren. Wanneer je een hostingpakket op een gedeelde omgeving hebt voor het ontvangen en versturen van e-mail is er in de meeste gevallen geen mogelijkheid om DKIM te gebruiken. Als je echter een dedicated server of VPS beheert, is het vanzelfsprekend wel in te stellen.

Zelf testen?

Wil je snel en eenvoudig testen hoe jouw mailberichten scoren op het gebied van betrouwbaarheid en opmaak? Doe dan de gratis check van Mail-Tester, een online programma waarmee je snel inzicht krijgt in hoe ontvangende mailservers over jouw berichten zullen denken. Deze zal advies geven over mogelijke verbeteringen op basis van het verstuurde bericht en de server waarvan deze afkomstig is. Dit is natuurlijk erg handig als je er zeker van wilt zijn dat jouw e-mails altijd bij ontvangers aan zullen komen.

Elmer Lijst
Product Owner / Online Marketeer bij DELTA Fiber Nederland

Elmer Lijst is werkzaam als Digital Product Owner bij DELTA Fiber met een grote passie voor growth marketing, CRO, UX, IT, website optimalisatie en web development. 10+ jaar ervaring in online marketing.

Categorie
Tags

Marketingfacts. Elke dag vers. Mis niks!