How Can We Help?

SPF, DKIM en DMARC

< Terug

Door SPF, DKIM en DMARC aan de DNS van een domein toe te voegen wordt e-mail van dit domein veiliger. DMARC, SPF en DKIM helpen bij het tegengaan van phishing, een veelgebruikte vorm van misbruik op internet.

In het geval van SPF wordt er een DNS-record opgenomen dat (onder meer) aangeeft welke systemen mail voor het betreffende domein mogen versturen.

Als je zeker weet dat alleen de mailserver van Site4U wordt gebruikt kun je het volgende SPF record toevoegen in de DNS: TXT: “v=spf1 include:spf.geenspam.mx ~all”

Bij DKIM maakt de verzendende server (MTA) met behulp van een ‘private key’ een cryptografische handtekening en voegt die toe aan de mail in de vorm van een zogenaamde DKIM-header. Een soort echtheidskenmerk dus.
De ontvangende partij ziet deze handtekening, zoekt in het DNS de bijbehorende publieke sleutel op en valideert de handtekening (en dus de mail) daarmee. Als de digitale handtekening correct is, dan staat daarmee het afzenderdomein vast en is zeker dat de e-mail onderweg niet is aangepast. Een kwaadwillende beschikt immers niet over de private key en is niet in staat om DKIM-beschermde mails te maken. Dergelijke valse mails zullen een slechtere reputatie krijgen in de e-mailreputatiesystemen die steeds meer partijen gebruiken.

Met een DMARC-record kan in het DNS een soort beleid kenbaar worden gemaakt. Bijvoorbeeld (in versimpelde vorm): “als de DKIM-handtekening niet klopt, of als SPF faalt, stop deze mail dan in de spamfolder”.
In de praktijk is meer mogelijk. Zo kan in het DMARC-record worden opgenomen of sprake is van een ‘testmodus’. Deze kan bijvoorbeeld worden aangezet wanneer men DMARC nog aan het inregelen is. Hiermee wordt voorkomen dat mails ongewild worden geweigerd wanneer zaken nog niet helemaal goed zijn geconfigureerd.
Verder kan, net als bij SPF overigens, het ‘forwarden’ van e-mail roet in het eten gooien, omdat een ‘forward’ de mail kan wijzigen (er worden extra headers toegevoegd) wat de oorspronkelijke DKIM-handtekening ongeldig maakt.

Voor het instellen van deze protocollen geldt: ga er even goed voor zitten als je het wilt implementeren in je mail-omgeving.
Heb je hulp nodig bij het implementeren van (een van deze) toepassingen, neem dan contact met ons op voor een offerte.

Wachtwoord cPanel resettenWindows servers extern beheren