E-mail testen met internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden. Internet.nl is een testtool met als doel het internet toegankelijker, veiliger en betrouwbaarder te maken. Internet.nl test niet alleen of je website aan moderne standaarden voldoet, maar kan daarnaast ook je e-mail testen. Het doel van deze test is niet perse om een 100% score te halen, maar om te bepalen waar je zelf, of wij als hostingprovider, instellingen kan verbeteren.  Het verbeteren van je e-mail instellingen kan complexe materie zijn, omdat lang niet altijd duidelijk is hoe e-mail binnen een organisatie gebruikt wordt, en welke servers daar een rol bij spelen. Partijen gebruiken bijvoorbeeld regelmatig externe bedrijven om mailings te versturen, iets waar je zeker rekening mee moet houden als je e-mail stricter wil beveiligen. In dit artikel geven we een overzicht van de testen van internet.nl. Er zijn testen waarbij Site4U eenvoudig kan helpen je instellingen te verbeteren, maar ook een aantal waarbij Site4U specialisten kan leveren voor een consultancy traject om de mail situatie van een klant door te lichten en te verbeteren. Met name de DMARC, SPF en DKIM instellingen zijn niet altijd eenvoudig aan te passen omdat het per organisatie maatwerk is.

De e-mail testen van internet.nl zijn onder te verdelen in de volgende vier groepen

• Bereikbaarheid via IPv6
• DNSSec
• Echtheidskenmerken tegen e-mail phishing (DMARC, DKIM en SPF)
• Beveiliging mailserver verbinding

Site4U verstuurt en ontvangt zijn e-mail via meerdere spamfilter servers op drie verschillende locaties. Indien je mail via Site4U afneemt zullen de testen meestal betrekking hebben op deze spamfilter servers.

Bereikbaarheid via IPv6

De bereikbaarheid via IPv6 bestaat uit de volgende vier onderdelen

• Ipv6 adressen voor nameservers
• Zijn IPv6 nameserver adresssen daadwerkelijk bereikbaar
• Ipv6 adressen voor alle mailservers
• Zijn alle Ipv6 mailservers bereikbaar

Alle mailservers en nameservers van Site4u voldoen aan deze vier eisen.

DNSSec

Voor Dnssec zijn er vier tests:

• DNSSec aanwezigheid voor je maildomein
• DNSSec is geldig voor je maildomein.

Indien je maildomein nog geen DNSSec heeft en geregistreerd is bij Site4U op de nameservers van Site4U kan onze servicedesk eenvoudig DNSSec aanzetten. Alle nieuwe door ons geregistreerde domeinen worden automatisch voorzien van DNSSec

• DNSSec aanwezigheid voor mailserver domeinen
• DNSSec geldigheid voor mailserver domeinen

De door Site4U gebruikte mailserver namen zijn voorzien van geldige DNSSec gegevens.

Echtheidskenmerken tegen e-mail phishing (DMARC, DKIM en SPF)

DMARC

Met een stricte DMARC policy kan een ontvanger van jouw email onderscheid maken tussen mail die echt van jou afkomstig is en zogenaamde phishing mail. Bovendien kan je via een DMARC policy ontvangende servers laten rapporteren op een vast email adres of de van jouw ontvangen mail echt of phishing mail is.
Het zetten van een correct DMARC record moet met de grootste voorzichtigheid gebeuren, omdat je anders kans loopt dat een deel van je mail niet bij de ontvangers aankomt. DKIM en/of SPF moeten correct ingesteld worden.
Uitzoeken wat voor jouw domein de beste instelling is is heel vaak maatwerk, onze specialisten kunnen je daarbij helpen.

DKIM

DKIM staat voor Domain Keys Identified Mail. Met DKIM kunnen e-mailberichten worden gewaarmerkt. De ontvanger van een e-mail kan op die manier controleren of een e-mailbericht écht van de afzender afkomstig is en of het bericht onderweg ongewijzigd is gebleven. DKIM houdt zelf geen spam tegen, maar markeert legitieme e-mail als geldig met behulp van een DKIM handtekening. De ontvangende mailserver kan vervolgens op basis van de public key in het DNS-record valideren of de DKIM handtekening klopt.

Niet alle servers signeren standaard met DKIM voor jouw domein, dit zal geconfigureerd moeten worden. Ook moet duidelijk zijn via welke server(s) mail verstuurd wordt. Het instellen van DKIM records is maatwerk.

SPF

Voor SPF zijn er twee checks.

• aanwezigheid SPF records
• is je SPF record strict genoeg

Als je exact weet welke servers gebruikt worden voor uitgaande mail is het relatief eenvoudig om SPF records te creëren. Site4U kan daarbij assisteren. Het is erg belangrijk dat je geen mailservers vergeet, omdat dat er voor zou zorgen dat een deel van je mail niet aankomt of als spam gemarkeerd kan worden.  Voor mail die via uitgaande mailservers van Site4U verstuurd wordt hebben we een standaard SPF record wat weer in je eigen SPF records opgenomen kan worden. Site4u kan ook hierbij advies geven.  SPF is een relatief eenvoudige techniek, met maar een duidelijke beperking: als er adressen opgezocht moeten worden in een lang SPF record kan dat maar voor maximaal 10 adressen gedaan worden. Voor grote organisaties loont het de moeite om email adressen in subdomeinen op te delen om het geheel hanteerbaar te houden.

Beveiligde mailserver-verbinding (STARTTLS en DANE)

Net als websites kunnen mailservers ook hun verbindingen beveiligen. Ook hier geldt dat er heel veel valt in te stellen, maar voor veel instelling ben je afhankelijk van de versie van je besturingssysteem. De volgende lijst wordt getest:

TLS

• StartTLS: mailservers van Site4U bieden standaard StartTLS aan
• TLS versie: Bij voorkeur moet alleen TLS 1.3 en 1.2 aangeboden worden, oudere versies zijn niet veilig genoeg.  Er zijn nog behoorlijk wat oude mailservers in omloop die deze TLS versies niet ondersteunen, waardoor het raadzaam kan zijn om ook TLS 1.1 en 1.0 nog een tijd te blijven ondersteunen. Onze spamfilters zijn voorlopig nog compatibel met deze oudere versies.
• Ciphers (algoritme selecties) en
• Cipher volgorde:  onze spamfilters bieden momenteel nog oudere ciphers aan om compatibel te blijven met oudere mailservers. Die zijn niet persé onveilig, maar lopen in de toekomst wel het risico onveilig te worden. Voor de instelling op onze spamfilters zijn we ook hier afhankelijk van onze spamfilter leverancier
• Sleuteluitwisselingsparameters
• Hashfunctie voor sleuteluitwisseling
• TLS-compressie
• Secure renegotiation: de mailservers van Site4u voldoen aan de bovenstaande vier testen
• Client-initiated renegotiation:  Indien dit aanstaat op mailservers levert dit een klein risico op, niet zozeer op gebied van beveiliging maar op de beschikbaarheid van mailservers. Onze spamfilter leverancier gaat dit in een volgende software versie uitzetten.
• 0-RTT: deze test is nog niet van toepassing op onze spamfilter.

Certificaat

• Vertrouwensketen van certificaat
• Publieke sleutel van certificaat
• Handtekening van certificaat
• Domeinnaam op certificaat

De mailservers van Site4U voldoen in ieder geval aan minstens de eerste drie van bovenstaande testen. De laatste (niet kritische test) slaagt alleen indien je gebruikt maakt van onze nieuwste instellingen voor MX records. Dit is vooral belangrijk als je ook je DANE instellingen volledig correct wil hebben. Onze servicedesk kan je assisteren met de correcte DNS instellingen voor e-mail.

DANE

• DANE aanwezigheid
• DANE geldigheid
• DANE vervangingsschema

Met behulp van DANE kan een versleutelde TLS verbinding tussen mailserver vanaf het eerste moment worden afgedwongen, zonder dat er eerst een onversleutelde verbinding hoeft te worden opgezet. Wanneer een verzendende mailserver voorafgaand aan het opzetten van de verbinding controleert of er een TLSA-record voor SMTP doeleinden is opgenomen in de DNS zone van het ontvangende e-maildomein, dan geeft de aanwezigheid op zichzelf al aan dat de ontvangende mailserver een versleutelde verbinding ondersteunt. De verzendende mailserver kan op basis van deze informatie besluiten om vanaf het eerste begin een versleutelde verbinding op te zetten.

Onze mailserver domeinen zijn voorzien van de juiste instellingen, maar als je nog gebruikt maakt van onze *.mijnfilter.* MX records zijn niet alle tests geldig. Neem in dat geval contact op met onze service desk zodat we de MX records kunnen vervangen door de meest recente.