In dit artikel zullen we onderzoeken hoe u eenvoudig SPF record kunt optimaliseren voor uw domein. Voor ondernemingen en kleine bedrijven die in het bezit zijn van een email domein voor het verzenden en ontvangen van berichten onder hun klanten, partners en werknemers, is het zeer waarschijnlijk dat er standaard een SPF record bestaat, welke is ingesteld door uw inbox service provider. Het maakt niet uit of u een reeds bestaand SPF record heeft of dat u een nieuwe moet aanmaken, u moet uw SPF record correct optimaliseren voor uw domein om er zeker van te zijn dat het geen e-mail afleveringsproblemen veroorzaakt.

Sommige e-mailontvangers vereisen SPF, wat betekent dat als u geen SPF-record voor uw domein hebt gepubliceerd, uw e-mails als spam kunnen worden gemarkeerd in de inbox van uw ontvanger. Bovendien helpt SPF bij het opsporen van niet-geautoriseerde bronnen die e-mails verzenden uit naam van uw domein.

Laten we eerst eens begrijpen wat SPF is en waarom je het nodig hebt.

Sender Policy Framework (SPF)

SPF is in wezen een standaard e-mailverificatieprotocol dat de IP-adressen specificeert die gemachtigd zijn om e-mails van uw domein te verzenden. Het werkt door afzenderadressen te vergelijken met de lijst van geautoriseerde verzendende hosts en IP-adressen voor een specifiek domein die is gepubliceerd in de DNS voor dat domein.

SPF is samen met DMARC (Domain-based Message Authentication, Reporting and Conformance) ontworpen om vervalste afzenderadressen tijdens de aflevering van e-mail op te sporen en spoofing-aanvallen, phishing en oplichting via e-mail te voorkomen.

Het is belangrijk te weten dat hoewel de standaard SPF die door uw hostingprovider in uw domein is geïntegreerd, ervoor zorgt dat e-mails die vanaf uw domein worden verzonden, worden geverifieerd aan de hand van SPF als u meerdere externe leveranciers hebt om e-mails vanaf uw domein te verzenden, dit reeds bestaande SPF-record moet worden aangepast en gewijzigd om aan uw vereisten te voldoen. Hoe kunt u dat doen? Laten we eens kijken naar twee van de meest voorkomende manieren:

  • Een gloednieuw SPF record aanmaken
  • Optimaliseren van een bestaand SPF record

Instructies over hoe SPF record te optimaliseren

Maak een gloednieuw SPF-record

Het aanmaken van een SPF record is simpelweg het publiceren van een TXT record in de DNS van uw domein om SPF voor uw domein te configureren. Dit is een verplichte stap die komt voordat u begint met hoe u SPF record te optimaliseren. Als u net begint met authenticatie en onzeker bent over de syntax, kunt u onze gratis online SPF record generator gebruiken om een SPF record voor uw domein aan te maken.

Een SPF record entry met een correcte syntax ziet er ongeveer zo uit:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Specificeert de versie van SPF die wordt gebruikt
ip4/ip6Dit mechanisme specificeert de geldige IP adressen die geauthoriseerd zijn om emails te versturen vanaf uw domein.
omvattenDit mechanisme vertelt de ontvangende servers om de waarden voor het SPF record van het gespecificeerde domein op te nemen.
-alleDit mechanisme specificeert dat emails die niet SPF compliant zijn, geweigerd worden. Dit is de aanbevolen tag die je kunt gebruiken bij het publiceren van je SPF record. Het kan echter vervangen worden door ~ voor SPF Soft Fail (niet-conforme emails worden gemarkeerd als soft fail maar worden nog steeds geaccepteerd) of + wat aangeeft dat elke server toegestaan wordt emails te versturen in naam van je domein, wat sterk afgeraden wordt.

Als u SPF al heeft geconfigureerd voor uw domein, kunt u ook onze gratis SPF record checker gebruiken om uw SPF record op te zoeken, te valideren en problemen op te sporen.

Veel voorkomende uitdagingen en fouten bij het configureren van SPF

1) 10 DNS-opzoeklimiet 

De meest voorkomende uitdaging waar domeineigenaren tegenaan lopen bij het configureren en gebruiken van SPF authenticatie protocol voor hun domein, is dat SPF een limiet heeft op het aantal DNS lookups, dat niet hoger mag zijn dan 10. Voor domeinen die afhankelijk zijn van meerdere leveranciers van derde partijen, wordt de limiet van 10 DNS lookups gemakkelijk overschreden, waardoor SPF wordt verbroken en een SPF PermError wordt geretourneerd. De ontvangende server maakt in zo'n geval automatisch je SPF record ongeldig en blokkeert het.

Mechanismen die DNS-lookups initiëren: MX, A, INCLUDE, REDIRECT modifier

2) SPF Leegte Opzoeken 

Ongeldige lookups verwijzen naar DNS lookups die ofwel een NOERROR antwoord of een NXDOMAIN antwoord (ongeldig antwoord) teruggeven. Bij het implementeren van SPF is het aanbevolen ervoor te zorgen dat DNS lookups in de eerste plaats geen ongeldig antwoord teruggeven.

3) SPF recursieve lus

Deze fout geeft aan dat het SPF-record voor het opgegeven domein recursieve problemen bevat met een of meer van de INCLUDE-mechanismen. Dit gebeurt wanneer een van de domeinen die in de INCLUDE tag zijn gespecificeerd een domein bevat waarvan het SPF record de INCLUDE tag van het oorspronkelijke domein bevat. Dit leidt tot een oneindige lus waardoor e-mailservers voortdurend DNS-lookups moeten uitvoeren voor de SPF-records. Dit leidt uiteindelijk tot het overschrijden van de 10 DNS lookup limiet, wat resulteert in emails die SPF niet halen.

4) Syntaxisfouten 

Een SPF record kan bestaan in de DNS van uw domein, maar het is van geen nut als het syntaxfouten bevat. Als uw SPF TXT record onnodige spaties bevat bij het typen van de domeinnaam of mechanisme naam, zal de string die voorafgaat aan de extra spatie volledig genegeerd worden door de ontvangende server bij het uitvoeren van een lookup, waardoor het SPF record ongeldig wordt.

5) Meerdere SPF records voor hetzelfde domein

Een enkel domein kan slechts één SPF TXT entry in de DNS hebben. Als uw domein meer dan één SPF record bevat, maakt de ontvangende server ze allemaal ongeldig, waardoor e-mails SPF niet halen.

6) Lengte van het SPF-record 

De maximumlengte van een SPF-record in de DNS is beperkt tot 255 tekens. Deze limiet kan echter worden overschreden en een TXT-record voor SPF kan meerdere strings bevatten die aan elkaar zijn gekoppeld, maar niet langer dan 512 tekens, om in het DNS-antwoord op een zoekopdracht te passen (volgens RFC 4408). Hoewel dit later werd herzien, zouden ontvangers die op oudere DNS-versies vertrouwen, niet in staat zijn e-mails te valideren die afkomstig zijn van domeinen die een lang SPF-record bevatten.

Uw SPF-record optimaliseren

Om uw SPF record snel aan te passen kunt u de volgende SPF best practices gebruiken:

  • Probeer uw e-mailbronnen in aflopende volgorde van belangrijkheid van links naar rechts in uw SPF-record te typen
  • Verwijder verouderde e-mailbronnen uit uw DNS
  • Gebruik IP4/IP6-mechanismen in plaats van A en MX
  • Hou het aantal INCLUDE mechanismen zo laag mogelijk en vermijd geneste includes
  • Publiceer niet meer dan één SPF record voor hetzelfde domein in uw DNS
  • Zorg ervoor dat uw SPF-record geen overbodige spaties of syntaxisfouten bevat

Opmerking: SPF flattening wordt niet aangeraden omdat het niet eenmalig is. Als je email service provider zijn infrastructuur wijzigt, zul je elke keer je SPF records overeenkomstig moeten wijzigen.

Uw SPF-record optimaliseren gemakkelijk gemaakt met PowerSPF

U kunt doorgaan en proberen om al die bovengenoemde wijzigingen om uw SPF record te optimaliseren handmatig uit te voeren, of u kunt het gedoe vergeten en vertrouwen op onze dynamische PowerSPF om dat allemaal automatisch voor u te doen! PowerSPF helpt u om uw SPF record met een enkele klik te optimaliseren, waarin u kunt:

  • Eenvoudig verzendende bronnen toevoegen of verwijderen
  • Eenvoudig records bijwerken zonder uw DNS handmatig te moeten wijzigen
  • Krijg een geoptimaliseerd auto SPF record met één klik op de knop
  • Blijf altijd onder de 10 DNS lookup limiet
  • Succesvol verzachten PermError
  • Vergeet syntaxisfouten in SPF-records en configuratieproblemen
  • Wij nemen u de last van het oplossen van SPF-beperkingen uit handen

Meld u vandaag nog aan bij PowerDMARC en zeg voor altijd vaarwel tegen de SPF beperkingen!  

De snelheid waarmee e-mails in de inbox van de ontvangers terechtkomen, wordt de e-mail deliverability rate genoemd. Deze snelheid kan worden vertraagd of zelfs tot een mislukte aflevering leiden wanneer e-mails in de spammap terechtkomen of worden geblokkeerd door ontvangende servers. Het is in wezen een belangrijke parameter om te meten in hoeverre uw e-mails de inbox van de gewenste ontvangers bereiken zonder als spam te worden aangemerkt. E-mailverificatie is zeker een van de opties die beginnende verificatiebedrijven kunnen gebruiken om de bezorgbaarheid van e-mails na verloop van tijd aanzienlijk te verbeteren.

In deze blog vertellen wij u hoe u de deliverability van uw e-mail gemakkelijk kunt verbeteren en bespreken wij de beste praktijken in de sector om een vlotte doorstroming van berichten over al uw e-mailkanalen te garanderen!

Wat is e-mailauthenticatie?

E-mailverificatie is de techniek die wordt gebruikt om uw e-mail te verifiëren aan de hand van alle geautoriseerde bronnen die e-mail van uw domein mogen verzenden. Het helpt verder bij het valideren van het domeineigendom van een Mail Transfer Agent (MTA) die betrokken is bij het verzenden of wijzigen van een e-mail.

Waarom hebt u e-mailauthenticatie nodig?

Simple Mail Transfer Protocol (SMTP), de internetstandaard voor de overdracht van e-mail, bevat geen functie voor de authenticatie van inkomende en uitgaande e-mails, waardoor cybercriminelen misbruik kunnen maken van het gebrek aan veilige protocollen in SMTP. Hierdoor kunnen cybercriminelen misbruik maken van het gebrek aan veilige protocollen in SMTP. Dit kan door bedreigers worden gebruikt voor e-mail phishing scams, BEC en domain spoofing attacks, waarbij ze zich kunnen voordoen als uw merk en de reputatie en geloofwaardigheid ervan kunnen schaden. E-mailverificatie verbetert de beveiliging van uw domein tegen imitatie en fraude door aan ontvangende servers aan te geven dat uw e-mails DMARC-conform zijn en afkomstig zijn van geldige en authentieke bronnen. Het dient ook als een controlepunt voor onbevoegde en kwaadwillende IP-adressen die e-mails verzenden vanaf uw domein.

Om uw merkimago te beschermen, cyberdreigingen en BEC tot een minimum te beperken en de deliverability te verbeteren, is e-mailverificatie een must!

Beste praktijken voor e-mailauthenticatie

Sender Policy Framework (SPF)

SPF is in uw DNS aanwezig als een TXT record, dat alle geldige bronnen weergeeft die geautoriseerd zijn om emails van uw domein te versturen. Elke e-mail die uw domein verlaat, heeft een IP-adres dat uw server en de door uw domein gebruikte e-mail service provider identificeert en dat in uw DNS is opgenomen als een SPF record. De mailserver van de ontvanger valideert de e-mail aan de hand van uw SPF record om deze te verifiëren en markeert de e-mail als SPF pass of fail.

Merk op dat SPF een DNS lookup limiet heeft van 10, en dat het overschrijden daarvan een PermError resultaat kan opleveren en kan leiden tot het falen van SPF. Dit kan ondervangen worden door PowerSPF te gebruiken om te allen tijde onder de lookup limiet te blijven!

DomainKeys Identified Mail (DKIM)

DKIM is een standaard e-mailauthenticatieprotocol dat een cryptografische handtekening, gemaakt met een privésleutel, toekent om e-mails in de ontvangende server te valideren, waarbij de ontvanger de publieke sleutel kan opvragen bij de DNS van de afzender om de berichten te authenticeren. Net als SPF bestaat ook de DKIM publieke sleutel als een TXT record in de DNS van de domeineigenaar.

Domeingebaseerde berichtenauthenticatie, -rapportage en -conformiteit (DMARC)

Alleen SPF en DKIM implementeren is gewoon niet genoeg, omdat domeineigenaren niet kunnen controleren hoe ontvangende servers reageren op e-mails die de authenticatiecontroles niet doorstaan.

DMARC is de meest gebruikte e-mail authenticatie standaard van dit moment, die is ontworpen om domeineigenaren de mogelijkheid te geven aan ontvangende servers aan te geven hoe zij berichten moeten behandelen die SPF of DKIM of beide niet halen. Dit helpt weer bij het beschermen van hun domein tegen ongeautoriseerde toegang en e-mail spoofing aanvallen.

Hoe kan DMARC de bezorgbaarheid van e-mail verbeteren?

  • Wanneer u een DMARC-record in de DNS van uw domein publiceert, vraagt de domeineigenaar ontvangende servers die DMARC ondersteunen, om feedback te sturen over de e-mails die zij voor dat domein ontvangen, waarbij aan ontvangende servers automatisch wordt aangegeven dat uw domein ondersteuning biedt voor veilige protocollen en authenticatiestandaarden voor e-mails, zoals DMARC, SPF en DKIM.
  • DMARC-aggregatierapporten helpen u meer inzicht te krijgen in uw e-mailecosysteem, zodat u de resultaten van uw e-mailverificatie kunt bekijken, mislukte verificaties kunt opsporen en afleveringsproblemen kunt beperken.
  • Door uw DMARC beleid te handhaven kunt u voorkomen dat schadelijke e-mails die zich voordoen als uw merk in de inboxen van uw ontvangers terechtkomen.

Extra tips om de bezorgbaarheid van e-mail te verbeteren:

  • Maak visuele identificatie van uw merk mogelijk in de inbox van uw ontvangers met BIMI
  • Zorg voor TLS-encryptie van e-mails in transit met MTA-STS
  • Detecteer en reageer op e-mail afleveringsproblemen door een uitgebreid rapportage mechanisme met TLS-RPT

PowerDMARC is een SaaS platform voor e-mail authenticatie dat alle best practices voor e-mail authenticatie, zoals DMARC, SPF, DKIM, BIMI, MTA-STS en TLS-RPT, onder één dak verenigt. Meld u vandaag nog aan voor PowerDMARC en wees getuige van een aanzienlijke verbetering in e-mail deliverability met onze verbeterde e-mail beveiliging en verificatie suite.

Business Email Compromise of BEC is een vorm van e-mailbeveiligingsinbreuk of imitatieaanval die commerciële, overheids- en non-profitorganisaties, kleine bedrijven en startups treft, maar ook multinationals en ondernemingen om vertrouwelijke gegevens te ontfutselen die het merk of de organisatie negatief kunnen beïnvloeden. Spear-phishingaanvallen, factuurzwendel en spoofingaanvallen zijn allemaal voorbeelden van BEC.

Cybercriminelen zijn deskundige intriganten die zich opzettelijk richten op specifieke personen binnen een organisatie, met name personen in autoritaire posities zoals de CEO of iemand die daarmee vergelijkbaar is, of zelfs een vertrouwde klant. De wereldwijde financiële impact van BEC is enorm, vooral in de VS, dat zich heeft ontpopt als het belangrijkste centrum. Lees meer over de wereldwijde omvang van BEC-zwendel. De oplossing? Schakel over op DMARC!

Wat is DMARC?

Domain-based Message Authentication, Reporting and Conformance (DMARC) is een industrienorm voor e-mailauthenticatie. Dit authenticatiemechanisme specificeert aan ontvangende servers hoe te reageren op e-mails die SPF- en DKIM-authenticatiecontroles niet doorstaan. DMARC kan de kans dat uw merk ten prooi valt aan BEC-aanvallen met een aanzienlijk percentage verkleinen, en de reputatie, vertrouwelijke informatie en financiële activa van uw merk helpen beschermen.

Merk op dat voordat u een DMARC record publiceert, u SPF en DKIM voor uw domein moet implementeren aangezien DMARC authenticatie gebruik maakt van deze twee standaard authenticatie protocollen voor het valideren van berichten die namens uw domein worden verzonden.

U kunt onze gratis SPF Record Generator en DKIM Record Generator gebruiken om records te genereren die in de DNS van uw domein worden gepubliceerd.

Hoe optimaliseert u uw DMARC-record ter bescherming tegen BEC?

Om uw domein te beschermen tegen zakelijke e-mailcompromittering en tevens een uitgebreid rapportagemechanisme mogelijk te maken om verificatieresultaten te controleren en volledig inzicht te krijgen in uw e-mailecosysteem, raden wij u aan de volgende DMARC-recordsyntax te publiceren in de DNS van uw domein:

v=DMARC1; p=afwijzing; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Inzicht in de tags die gebruikt worden bij het genereren van een DMARC Record:

v (verplicht)Dit mechanisme specificeert de versie van het protocol.
p (verplicht)Dit mechanisme specificeert de DMARC policy die in gebruik is. U kunt uw DMARC beleid instellen op:

p=none (DMARC alleen bij monitoring, waarbij e-mails die niet voldoen aan de authenticatie controles nog steeds in de inbox van de ontvanger terecht komen). p=quarantine (DMARC bij enforcement, waarbij e-mails die niet voldoen aan de authenticatie controles in quarantaine worden geplaatst of in de spam map worden geplaatst).

p=weigeren (DMARC bij maximale handhaving, waarbij e-mails die niet voldoen aan de authenticatie controles worden weggegooid of helemaal niet worden afgeleverd).

Voor beginnende verificatie is het aan te raden om te beginnen met alleen monitoring (p=none) en dan langzaam over te gaan op handhaving. Echter, voor het doel van deze blog, als u uw domein wilt beschermen tegen BEC, is p=reject het aanbevolen beleid voor u om maximale bescherming te garanderen.

sp (facultatief)Deze tag specificeert de subdomeinen policy die ingesteld kan worden op sp=none/quarantine/reject om een policy aan te vragen voor alle subdomeinen waarin e-mails DMARC authenticatie niet doorstaan.

Deze tag is alleen nuttig als je een verschillend beleid wilt instellen voor je hoofddomein en subdomeinen. Als je deze tag niet specificeert, wordt standaard hetzelfde beleid toegepast op al je subdomeinen.

adkim (facultatief)Dit mechanisme specificeert de DKIM identifier uitlijningsmodus die kan worden ingesteld op s (strict) of r (relaxed).

Strikte uitlijning specificeert dat het d= veld in de DKIM handtekening van de e-mail header moet uitlijnen en exact moet overeenkomen met het domein in de from header.

Voor een ontspannen afstemming mogen de twee domeinen echter alleen hetzelfde organisatiedomein hebben.

aspf (facultatief) Dit mechanisme specificeert de uitlijningsmodus van de SPF-identificatiecode, die kan worden ingesteld op s (strikt) of r (ontspannen).

Strikte uitlijning specificeert dat het domein in de "Return-path" header moet uitlijnen en exact overeen moet komen met het domein in de from header.

Voor een ontspannen afstemming mogen de twee domeinen echter alleen hetzelfde organisatiedomein hebben.

rua (facultatief maar aanbevolen)Deze tag specificeert de DMARC geaggregeerde rapporten die naar het adres gestuurd worden dat achter het mailto: veld gespecificeerd is, en geeft inzicht in e-mails die DMARC passeren en niet.
ruf (optioneel maar aanbevolen)Deze tag specificeert de DMARC forensische rapporten die verstuurd moeten worden naar het adres gespecificeerd na het mailto: veld. Forensische rapporten zijn rapporten op berichtniveau die meer gedetailleerde informatie geven over authenticatie mislukkingen. Aangezien deze rapporten e-mail inhoud kunnen bevatten, is versleuteling ervan de beste praktijk.
pct (facultatief)Deze tag specificeert het percentage van emails waarop de DMARC policy van toepassing is. De standaardwaarde is ingesteld op 100.
fo (facultatief maar aanbevolen)De forensische opties voor uw DMARC record kunnen worden ingesteld op:

->DKIM en SPF komen niet overeen of sluiten niet aan (0)

->DKIM of SPF passen niet of sluiten niet aan (1)

->DKIM gaat niet over of sluit niet aan (d)

->SPF gaat niet over of sluit niet aan (s)

De aanbevolen modus is fo=1, waarbij wordt aangegeven dat forensische rapporten moeten worden gegenereerd en naar uw domein moeten worden gestuurd wanneer e-mails niet voldoen aan de DKIM of SPF verificatie controles.

U kunt uw DMARC record genereren met PowerDMARC's gratis DMARC Record Generator waarin u de velden kunt selecteren naargelang het niveau van handhaving dat u wenst.

Merk op dat alleen een afwijzend handhavingsbeleid BEC tot een minimum kan beperken, en uw domein kan beschermen tegen spoofing en phishing aanvallen.

DMARC kan een effectieve standaard zijn om uw bedrijf te beschermen tegen BEC, maar het correct implementeren van DMARC vereist inspanning en middelen. Of u nu een beginner of een liefhebber van authenticatie bent, als pioniers in e-mailauthenticatie is PowerDMARC één SaaS-platform voor e-mailauthenticatie dat alle best practices voor e-mailauthenticatie, zoals DMARC, SPF, DKIM, BIMI, MTA-STS en TLS-RPT, voor u onder één dak verenigt. Wij helpen u:

  • In een mum van tijd overschakelen van toezicht naar handhaving om BEC op afstand te houden
  • Onze geaggregeerde rapporten worden gegenereerd in de vorm van vereenvoudigde grafieken en tabellen, zodat u ze gemakkelijk kunt begrijpen zonder complexe XML-bestanden te hoeven lezen
  • Wij coderen uw forensische rapporten om de privacy van uw informatie te waarborgen
  • Bekijk uw verificatieresultaten in 7 verschillende formaten (per resultaat, per verstuurbron, per organisatie, per host, gedetailleerde statistieken, geolocatierapporten, per land) op ons gebruiksvriendelijke dashboard voor een optimale gebruikerservaring
  • Bereik 100% DMARC compliance door uw e-mails af te stemmen op zowel SPF als DKIM, zodat e-mails die niet voldoen aan een van de controlepunten niet in de inbox van uw ontvangers terechtkomen

Hoe beschermt DMARC tegen BEC?

Zodra u uw DMARC beleid instelt op maximale handhaving (p=reject), beschermt DMARC uw merk tegen e-mailfraude door de kans op impersonatieaanvallen en domeinmisbruik te verkleinen. Alle inkomende berichten worden gevalideerd aan de hand van SPF en DKIM e-mailverificatiecontroles om er zeker van te zijn dat ze afkomstig zijn van geldige bronnen.

SPF is in uw DNS aanwezig als een TXT record, dat alle geldige bronnen weergeeft die geautoriseerd zijn om emails van uw domein te versturen. De mailserver van de ontvanger valideert de e-mail aan de hand van uw SPF record om deze te verifiëren. DKIM wijst een cryptografische handtekening toe, gemaakt met een privé sleutel, om e-mails te valideren in de ontvangende server, waarbij de ontvanger de publieke sleutel kan ophalen uit de DNS van de afzender om de berichten te authenticeren.

Met uw afkeurbeleid worden e-mails helemaal niet in de mailbox van uw ontvanger afgeleverd wanneer de verificatiecontroles falen, wat aangeeft dat uw merk wordt geïmiteerd. Dit houdt uiteindelijk BEC zoals spoofing en phishing aanvallen op afstand.

PowerDMARC's basisplan voor kleine bedrijven

Ons basisplan begint vanaf slechts 8 USD per maand, dus kleine bedrijven en startups die veilige protocollen zoals DMARC willen invoeren kunnen hier gemakkelijk gebruik van maken. De voordelen die u met dit plan tot uw beschikking hebt, zijn de volgende:

  • Bespaar 20% op uw jaarplan
  • Tot 2.000.000 DMARC-compatibele e-mails
  • Tot 5 domeinen
  • 1 jaar gegevensgeschiedenis
  • 2 Platform Gebruikers
  • Gehoste BIMI
  • Gehost MTA-STS
  • TLS-RPT

Meld u vandaag nog aanbij PowerDMARC en bescherm het domein van uw merk door de kans op Business Email Compromise en e-mailfraude te minimaliseren!

Toen SMTP in 1982 voor het eerst werd gespecificeerd, bevatte het geen mechanisme om op transportniveau beveiliging te bieden voor de communicatie tussen de mail transfer agents. In 1999 werd echter het STARTTLS-commando aan SMTP toegevoegd, dat op zijn beurt de versleuteling van e-mail tussen de servers ondersteunde, en de mogelijkheid bood om een niet-veilige verbinding om te zetten in een veilige verbinding die is versleuteld met gebruikmaking van het TLS-protocol.

Versleuteling is echter facultatief in SMTP, hetgeen betekent dat e-mails ook in onversleutelde vorm kunnen worden verzonden. Mail Transfer Agent-Strict Transportbeveiliging (MTA-STS) is een betrekkelijk nieuwe standaard die aanbieders van e-maildiensten de mogelijkheid biedt Transport Layer Security (TLS) af te dwingen om SMTP-verbindingen te beveiligen, en te specificeren of de verzendende SMTP-servers moeten weigeren e-mails af te leveren bij MX-hosts die geen TLS met een betrouwbaar servercertificaat bieden. Het is bewezen dat TLS downgrade aanvallen en Man-In-The-Middle (MITM) aanvallen met succes worden tegengegaan. SMTP TLS-verslaglegging (TLS-RPT) is een standaard die de rapportage van problemen in TLS-connectiviteit mogelijk maakt die wordt ervaren door applicaties die e-mails verzenden en misconfiguraties detecteren. Het maakt de rapportage mogelijk van e-mailafleveringsproblemen die plaatsvinden wanneer een e-mail niet met TLS is versleuteld. In september 2018 werd de standaard voor het eerst gedocumenteerd in RFC 8460.

Waarom is versleuteling van uw e-mails onderweg nodig?

Het hoofddoel is de beveiliging op transportniveau tijdens SMTP-communicatie te verbeteren en de privacy van e-mailverkeer te waarborgen. Bovendien wordt met versleuteling van inkomende en uitgaande berichten de informatiebeveiliging verbeterd, waarbij gebruik wordt gemaakt van cryptografie om elektronische informatie te beveiligen. Bovendien winnen cryptografische aanvallen zoals Man-In-The-Middle (MITM) en TLS Downgrade de laatste tijd aan populariteit en zijn ze een gangbare praktijk geworden onder cybercriminelen, die kunnen worden omzeild door TLS-encryptie af te dwingen en de ondersteuning uit te breiden tot veilige protocollen.

Hoe wordt een MITM aanval gelanceerd?

Aangezien versleuteling in het SMTP-protocol moest worden ingebouwd, moet de upgrade voor versleutelde aflevering berusten op een STARTTLS-commando dat in platte tekst wordt verzonden. Een MITM-aanvaller kan gemakkelijk misbruik maken van deze mogelijkheid door een downgrade-aanval uit te voeren op de SMTP-verbinding door te knoeien met het upgrade-commando, waardoor de client gedwongen wordt terug te vallen op verzending van de e-mail in platte tekst.

Na onderschepping van de communicatie kan een MITM-aanvaller gemakkelijk de ontsleutelde informatie stelen en toegang krijgen tot de inhoud van de e-mail. Dit komt doordat SMTP, de industriestandaard voor e-mailoverdracht, gebruik maakt van opportunistische versleuteling, wat inhoudt dat versleuteling optioneel is en e-mails nog steeds onversleuteld kunnen worden afgeleverd.

Hoe wordt een TLS downgrade aanval gelanceerd?

Aangezien versleuteling in het SMTP-protocol moest worden ingebouwd, moet de upgrade voor versleutelde aflevering berusten op een STARTTLS-commando dat in klare tekst wordt verstuurd. Een MITM-aanvaller kan hier misbruik van maken door een downgrade-aanval op de SMTP-verbinding uit te voeren door met het upgrade-commando te knoeien. De aanvaller kan eenvoudigweg de STARTTLS vervangen door een string die de client niet kan identificeren. Daardoor valt de client gemakkelijk terug op het verzenden van de e-mail in platte tekst.

Kortom, een downgrade-aanval wordt vaak uitgevoerd als onderdeel van een MITM-aanval, om een pad te creëren voor het mogelijk maken van een aanval die niet mogelijk zou zijn in het geval van een verbinding die is versleuteld over de laatste versie van het TLS-protocol, door het STARTTLS-commando te vervangen of te verwijderen en de communicatie terug te draaien naar duidelijke tekst.

Afgezien van het verbeteren van de informatiebeveiliging en het afzwakken van alomtegenwoordige bewakingsaanvallen, lost het versleutelen van berichten in transit ook meerdere SMTP-beveiligingsproblemen op.

Afgedwongen TLS-versleuteling van e-mails met MTA-STS

Als u uw e-mails niet over een beveiligde verbinding transporteert, kunnen uw gegevens worden gecompromitteerd of zelfs worden gewijzigd en gemanipuleerd door een cyberaanvaller. Hier komt MTA-STS om de hoek kijken en lost dit probleem op door een veilige doorvoer van uw e-mails mogelijk te maken, cryptografische aanvallen met succes af te zwakken en de informatiebeveiliging te verbeteren door TLS-encryptie af te dwingen. Simpel gezegd dwingt MTA-STS af dat de e-mails via een TLS versleutelde route worden verzonden, en in het geval dat er geen versleutelde verbinding tot stand kan worden gebracht, wordt de e-mail helemaal niet afgeleverd, in plaats van dat deze in onversleutelde tekst wordt afgeleverd. Bovendien slaan MTA's MTA-STS beleidsbestanden op, waardoor het voor aanvallers moeilijker wordt om een DNS spoofing aanval uit te voeren.

 

MTA-STS biedt bescherming tegen :

  • Aanvallen op downgrades
  • Man-In-The-Middle (MITM)-aanvallen
  • Het lost meerdere SMTP beveiligingsproblemen op, waaronder verlopen TLS certificaten en gebrek aan ondersteuning voor veilige protocollen.

Grote aanbieders van e-maildiensten zoals Microsoft, Oath en Google ondersteunen MTA-STS. Google, de grootste speler in de sector, staat in het middelpunt van de belangstelling wanneer een protocol wordt goedgekeurd, en de goedkeuring van MTA-STS door Google wijst op de uitbreiding van de steun voor veilige protocollen en benadrukt het belang van e-mailencryptie in transit.

Problemen oplossen bij het afleveren van e-mail met TLS-RPT

SMTP TLS Rapportage voorziet domeineigenaren van diagnostische rapporten (in JSON bestandsindeling) met uitgebreide details over emails die naar uw domein zijn verzonden en afleveringsproblemen ondervinden, of niet konden worden afgeleverd als gevolg van een downgrade aanval of andere problemen, zodat u het probleem proactief kunt verhelpen. Zodra u TLS-RPT inschakelt, zullen acquiescent Mail Transfer Agents beginnen met het verzenden van diagnostische rapporten betreffende e-mail afleveringsproblemen tussen communicerende servers naar het aangewezen e-maildomein. De rapporten worden gewoonlijk eenmaal per dag verzonden en bevatten het door afzenders waargenomen MTA-STS beleid, verkeersstatistieken en informatie over mislukkingen of problemen bij de aflevering van e-mail.

De noodzaak van de invoering van TLS-RPT :

  • In het geval dat een e-mail niet naar uw ontvanger wordt verzonden als gevolg van een probleem bij de aflevering, krijgt u bericht.
  • TLS-RPT biedt verbeterde zichtbaarheid op al uw e-mailkanalen, zodat u beter inzicht krijgt in alles wat er in uw domein gebeurt, inclusief berichten die niet worden afgeleverd.
  • TLS-RPT biedt diepgaande diagnostische rapporten die u in staat stellen om het probleem met de aflevering van e-mail te identificeren, tot de wortel ervan door te dringen en het onmiddellijk op te lossen.

MTA-STS en TLS-RPT eenvoudig en snel door PowerDMARC

MTA-STS vereist een HTTPS-enabled web server met een geldig certificaat, DNS records, en voortdurend onderhoud. PowerDMARC maakt uw leven een stuk eenvoudiger door dat allemaal voor u te regelen, volledig op de achtergrond - van het genereren van certificaten en MTA-STS beleidsbestand tot beleidshandhaving, helpen wij u de enorme complexiteit te omzeilen die komt kijken bij het adopteren van het protocol. Als wij u eenmaal helpen met het opzetten ervan met slechts een paar klikken, hoeft u er zelfs nooit meer over na te denken.

Met behulp van PowerDMARC's Email Authentication Services, kunt u zonder gedoe en zeer snel Hosted MTA-STS implementeren in uw organisatie, waarmee u kunt afdwingen dat e-mails naar uw domein worden verzonden over een TLS versleutelde verbinding, waardoor uw verbinding veilig wordt en MITM aanvallen op afstand worden gehouden.

PowerDMARC maakt uw leven gemakkelijker door het proces van implementatie van SMTP TLS Rapportage (TLS-RPT) eenvoudig en snel te maken, binnen handbereik! Zodra u zich aanmeldt bij PowerDMARC en SMTP TLS Rapportage voor uw domein inschakelt, nemen wij u de zorg uit handen om de gecompliceerde JSON bestanden met uw email afleveringsrapportages om te zetten in eenvoudige, leesbare documenten (per resultaat en per verzendbron), die u met gemak kunt doornemen en begrijpen! PowerDMARC's platform detecteert automatisch de problemen die u ondervindt bij het afleveren van e-mail en geeft deze vervolgens door, zodat u ze direct kunt aanpakken en oplossen in een mum van tijd!

Meld u aan om uw gratis DMARC vandaag te krijgen!

Als je hier deze blog leest, is de kans groot dat je een van de drie veelvoorkomende vragen bent tegengekomen:

  • Geen DMARC-record 
  • Geen DMARC record gevonden 
  • DMARC record ontbreekt
  • DMARC record niet gevonden 
  • Geen DMARC record gepubliceerd 
  • DMARC beleid niet ingeschakeld
  • Kan DMARC record niet vinden

Hoe dan ook, dit betekent alleen dat uw domein niet is geconfigureerd met de meest geprezen en populair gebruikte e-mail authenticatie standaard- Domain-based Message Authentication, Reporting, and Conformance of DMARC. Laten we eens kijken wat dit is:

Wat is DMARC en waarom heb je e-mail authenticatie nodig voor je domein?

Om te leren hoe het "Geen DMARC record gevonden" probleem op te lossen, laten we eerst leren waar DMARC over gaat. DMARC is de meest gebruikte e-mail authenticatie standaard van dit moment, die is ontworpen om domeineigenaren de mogelijkheid te geven aan ontvangende servers aan te geven hoe ze berichten moeten behandelen die niet voldoen aan de authenticatie controles. Dit helpt weer bij het beschermen van hun domein tegen onbevoegde toegang en e-mail spoofing aanvallen. DMARC maakt gebruik van populaire standaard authenticatieprotocollen om inkomende en uitgaande berichten van uw domein te valideren.

Bescherm uw bedrijf tegen imitatieaanvallen en spoofing met DMARC

Wist u dat e-mail de gemakkelijkste manier is waarop cybercriminelen misbruik kunnen maken van uw merknaam?

Door uw domein te gebruiken en zich voor te doen als uw merk, kunnen hackers kwaadaardige phishing-e-mails versturen naar uw eigen werknemers en klanten. Aangezien SMTP niet is uitgerust met beveiligde protocollen tegen valse "Van"-velden, kan een aanvaller e-mailheaders vervalsen om frauduleuze e-mails vanaf uw domein te versturen. Dit brengt niet alleen de veiligheid in uw organisatie in gevaar, maar het zal ook uw merkreputatie ernstig schaden.

Email spoofing kan leiden tot BEC (Business Email Compromise), verlies van waardevolle bedrijfsinformatie, ongeautoriseerde toegang tot vertrouwelijke gegevens, financieel verlies en een slechte afspiegeling zijn van het imago van uw merk. Zelfs na het implementeren van SPF en DKIM voor uw domein, kunt u niet voorkomen dat cybercriminelen zich voordoen als uw domein. Daarom hebt u een e-mailverificatieprotocol zoals DMARC nodig, dat e-mails met beide genoemde protocollen verifieert en aan ontvangende servers van uw klanten, werknemers en partners specificeert hoe te reageren als een e-mail afkomstig is van een ongeautoriseerde bron en de verificatiecontroles niet doorstaat. Dit biedt u maximale bescherming tegen exact-domein aanvallen en helpt u volledige controle te houden over het domein van uw bedrijf.

Bovendien kunt u met behulp van een effectieve e-mailverificatiestandaard als DMARC uw e-mailafleveringspercentage, bereik en vertrouwen verbeteren.

 


Het ontbrekende DMARC-record voor uw domein toevoegen

Het kan vervelend en verwarrend zijn om prompts tegen te komen met de tekst "Hostname returned a missing or invalid DMARC record" wanneer u het DMARC record van een domein controleert terwijl u online tools gebruikt.

Om het "Geen DMARC record gevonden" probleem voor uw domein op te lossen hoeft u alleen maar een DMARC record voor uw domein toe te voegen. Het toevoegen van een DMARC record is in wezen het publiceren van een tekst (TXT) record in de DNS van uw domein, in het _dmarc.example.com subdomein in overeenstemming met de DMARC specificaties. Een DMARC TXT Record in uw DNS kan er ongeveer zo uitzien:

v=DMARC1; p=none; rua=mailto:[email protected]

En Voila! Je hebt met succes de "Geen DMARC record gevonden" prompt opgelost aangezien je domein nu is geconfigureerd met DMARC authenticatie en een DMARC record bevat.

Maar is dit genoeg? Het antwoord is nee. Simpelweg een DMARC TXT record toevoegen aan uw DNS kan de ontbrekende DMARC prompt oplossen, maar het is gewoon niet genoeg om impersonatie aanvallen en spoofing tegen te gaan.

DMARC op de juiste manier implementeren met PowerDMARC

PowerDMARC helpt uw organisatie 100% DMARC Compliance te bereiken door de authenticatie standaarden op elkaar af te stemmen, en helpt u in een mum van tijd over te schakelen van monitoring naar handhaving, waarbij de prompt "geen DMARC record gevonden" in een mum van tijd wordt opgelost! Bovendien genereert ons interactief en gebruiksvriendelijk dashboard automatisch:

  • Geaggregeerde rapporten (RUA) voor al uw geregistreerde domeinen, die vereenvoudigd zijn en omgezet in leesbare tabellen en grafieken van complexe XML-bestandsformaat voor uw begrip.
  • Forensische rapporten (RUF) met encryptie

Om "geen DMARC record gevonden" tegen te gaan, is het enige wat je moet doen:

  • Genereer uw gratis DMARC record met PowerDMARC en selecteer uw gewenste DMARC beleid met gemak.

Het DMARC beleid kan worden ingesteld op :

  • p=none (DMARC is alleen ingesteld op monitoring, waarbij e-mails die niet geauthenticeerd kunnen worden nog steeds in de inbox van de ontvanger worden afgeleverd, maar u zult geaggregeerde rapporten krijgen die u informeren over de resultaten van de authenticatie)
  • p=quarantaine (DMARC is ingesteld op handhavingsniveau, waarbij e-mails die niet geauthenticeerd kunnen worden in de spambox terechtkomen in plaats van in de inbox van de ontvanger)
  • p=afwijzen (DMARC is ingesteld op het maximale handhavingsniveau, waarbij e-mails die niet worden geauthenticeerd, ofwel worden verwijderd ofwel helemaal niet worden afgeleverd)

Waarom PowerDMARC?

PowerDMARC is een SaaS-platform voor e-mailverificatie dat alle best practices voor e-mailverificatie, zoals DMARC, SPF, DKIM, BIMI, MTA-STS en TLS-RPT, onder één dak verenigt. Wij bieden optimaal inzicht in uw e-mail ecosysteem met behulp van onze gedetailleerde geaggregeerde rapporten en helpen u bij het automatisch bijwerken van wijzigingen in uw dashboard zonder dat u uw DNS handmatig hoeft bij te werken.

Wij stemmen oplossingen af op uw domein en handelen alles volledig op de achtergrond voor u af, van configuratie tot set-up en monitoring. Wij helpen u DMARC correct te implementeren om impersonatie aanvallen op afstand te houden!

Meld u dus vandaag nog aan bij PowerDMARC om DMARC voor uw domein correct in te stellen!

Domain-based Message Authentication, Reporting and Conformance is het meest geprezen e-mailauthenticatieprotocol van de laatste tijd, dat zowel kleine bedrijven als multinationale ondernemingen kan helpen impersonatie, e-mailspoofingaanvallen en BEC tegen te gaan. DMARC maakt gebruik van twee van de bestaande standaardprotocollen op het gebied van e-mailauthenticatie, namelijk SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail). DMARC-oplossingen kunnen helpen elke inkomende en uitgaande e-mail op echtheid te valideren en e-mailgebaseerde aanvallen en beveiligingsinbreuken te beperken.

Bij het selecteren van de beste DMARC software oplossing voor uw bedrijf, moet u kijken naar een paar basis kenmerken die de oplossing moet bevatten! Laten we eens bespreken wat dat zijn:

Een gebruikersvriendelijk dashboard

Een gebruiksvriendelijk dashboard dat u volledig inzicht biedt in uw e-mail ecosysteem en effectief rapporten weergeeft over e-mails die wel en niet DMARC-authenticatie van uw domein doorstaan in een leesbaar en begrijpelijk formaat, is van het grootste belang. Dit is een van de belangrijkste punten waar u op moet letten bij het kiezen van de beste DMARC software oplossing voor uw bedrijf.

Gedetailleerde geaggregeerde en forensische rapportage

Het is onontbeerlijk dat uw DMARC oplossing een uitgebreid rapporteringsmechanisme heeft. Zowel geaggregeerde als forensische rapporten zijn noodzakelijk om bedreigingen te monitoren en authenticatieprotocollen te configureren.

Gedetailleerde DMARC-aggregatierapporten worden gegenereerd in een XML-bestandsformaat. Voor een niet-technisch persoon kunnen deze records onleesbaar lijken. De beste DMARC software oplossing voor uw organisatie zal deze onbegrijpelijke geaggregeerde rapporten van complexe XML bestanden omzetten in informatie die u gemakkelijk kunt begrijpen en waarmee u uw resultaten kunt analyseren en de nodige wijzigingen kunt aanbrengen

Zowel voor kmo's als voor multinationals bieden forensische rapporten een waardevol inzicht in uw e-mailecosysteem. Ze worden gegenereerd telkens wanneer een e-mail die vanaf uw domein wordt verzonden, DMARC niet doorstaat. Ze geven gedetailleerde informatie over individuele e-mails die niet zijn geverifieerd, zodat pogingen tot spoofing kunnen worden opgespoord en problemen met de aflevering van e-mails snel kunnen worden opgelost.

DMARC Forensische rapporten Encryptie

DMARC Forensic rapporten bevatten gegevens over elke individuele e-mail die DMARC niet haalde. Dit houdt in dat ze mogelijk vertrouwelijke informatie bevatten die in die e-mails aanwezig was. Daarom moet u bij het kiezen van de beste DMARC software oplossing voor uw bedrijf, een dienstverlener kiezen die uw privacy waardeert, en u uw forensische rapporten laat encrypten zodat alleen geautoriseerde gebruikers er toegang toe hebben.

SPF en DKIM Uitlijning

Hoewel DMARC compliancy kan worden bereikt door SPF of DKIM afstemming, verdient het de voorkeur om uw emails af te stemmen op beide authenticatie standaarden. Tenzij uw emails zijn afgestemd en geauthenticeerd tegen zowel SPF als DKIM authenticatie protocollen en alleen vertrouwen op SPF voor validatie, is er een kans dat legitieme emails nog steeds DMARC authenticatie kunnen falen (zoals in het geval van doorgestuurde berichten). Dit komt omdat het IP adres van de tussenliggende server mogelijk niet in het SPF record van uw domein is opgenomen, waardoor SPF faalt.

Echter, tenzij de mail body wordt gewijzigd tijdens het doorsturen, blijft de DKIM handtekening bij de e-mail, die kan worden gebruikt om de authenticiteit te valideren. De beste DMARC software oplossing voor uw bedrijf zorgt ervoor dat al uw inkomende en uitgaande berichten worden afgestemd op zowel SPF als DKIM.

Onder de 10 DNS Lookup Limiet blijven

SPF records hebben een limiet van 10 DNS lookups. Als uw organisatie een brede basis heeft of u vertrouwt op derde leveranciers om namens u emails te versturen, kan uw SPF record gemakkelijk de limiet overschrijden en de permerror raken. Hierdoor wordt uw SPF implementatie ongeldig, en zullen uw emails onvermijdelijk SPF falen. Dit is waarom u zou moeten zoeken naar een oplossing die u helpt direct uw SPF record te optimaliseren om altijd onder de 10 DNS lookup limiet te blijven om SPF permerror te beperken!

Een interactieve en efficiënte installatiewizard

Bij het kiezen van de beste DMARC software oplossing voor uw organisatie, mag men het setup proces niet vergeten. Een interactieve en efficiënte setup wizard die ontworpen is met eenvoud en gebruiksgemak in het achterhoofd, en die u op een gesynchroniseerde en methodische manier door het proces van het invoeren van uw domeinnaam naar het instellen van uw DMARC policy tot het genereren van uw eigen DMARC record leidt, is de noodzaak van het uur! Het zal je helpen om naadloos te settelen, en alle instellingen en functionaliteiten op je dashboard binnen de kortst mogelijke tijd te begrijpen.

Planning Executive PDF-rapporten

Met een effectieve DMARC-oplossing voor uw organisatie kunt u uw DMARC-rapporten omzetten in handige, gemakkelijk leesbare PDF-documenten die u met uw hele team kunt delen. Afhankelijk van uw behoeften, kunt u ze laten plannen om regelmatig naar uw e-mail te sturen of ze gewoon op verzoek genereren.

 

Gehost BIMI-verslag

Met BIMI, Brand Indicators for Message Identification, kunnen uw e-mailontvangers uw unieke merklogo visueel herkennen in hun inbox, en er zeker van zijn dat de e-mail van een authentieke bron afkomstig is. Een efficiënte serviceprovider kan BIMI implementeren in combinatie met standaard authenticatieprotocollen zoals DMARC, SPF en DKIM, en zo uw merkbekendheid vergroten en de reputatie en integriteit van uw merk hoog houden.

Platform Beveiliging en Configuratie

Een doeltreffende DMARC-oplossing zal uw werk vergemakkelijken door al uw subdomeinen automatisch te detecteren en door authenticatie met twee factoren te bieden om een absolute veiligheid van uw authenticatieplatform mogelijk te maken.

Dreigingsinformatie

Voor een beter overzicht en inzicht hebt u een AI-gestuurde Threat Intelligence (TI)-engine nodig die actief verdachte IP-adressen opspoort en deze controleert aan de hand van een live, bijgewerkte zwarte lijst van bekende misbruikers, zodat u ze kunt laten verwijderen. Dit beschermt u tegen kwaadaardige activiteiten en herhaaldelijk voorkomen van domeinmisbruik in de toekomst.

Een proactief ondersteuningsteam

Wanneer u DMARC in uw organisatie implementeert en geaggregeerde rapporten genereert, hebt u een proactief ondersteuningsteam nodig dat 24 uur per dag beschikbaar is om u te helpen problemen met de configuratie te beperken, zelfs na de onboarding, gedurende de tijd dat u van hun diensten gebruik maakt.

PowerDMARC analysegereedschap

Onze DMARC Analyzer Tool is effectief genoeg om u door het gehele proces van implementatie te leiden en u te helpen overschakelen van monitoring naar DMARC enforcement en 100% DMARC compliance in de kortst mogelijke tijd. Onze geavanceerde DMARC software oplossing helpt u bij het configureren van uw domein, DMARC beleid, en geaggregeerde rapporten en helpt u zo snel mogelijk volledig inzicht te krijgen in uw e-mail ecosysteem. Van hosted BIMI record generatie, tot forensische rapportage met encryptie, PowerDMARC is uw one-stop bestemming voor de ultieme e-mail security suite.

Bij het kiezen van een DMARC oplossing voor uw organisatie, is het belangrijk om te vertrouwen op een service provider die premium technologie biedt tegen redelijke tarieven. Meld u vandaag nog aan voor uw gratis DMARC-proefversie met PowerDMARC !