Wat is ADSP? DKIM-praktijken voor ondertekening van auteursdomeinen
door
Laatst bijgewerkt: 4 leestijd: 4 minuten
ADSP of Author Domain Signing Practices is een optionele uitbreiding van DomainKeys Identified Mail, waarmee het auteursdomein ondertekeningspraktijken kan specificeren. Als een superset van de DKIM ondertekeningsbeleid, helpt ondertekeningspraktijken zoals deze bij het bepalen van de autoriteit van berichten die geen DKIM handtekeningkop bevatten.
Belangrijkste Conclusies
- ADSP is een optionele uitbreiding van DKIM waarmee domeinen hun ondertekenpraktijken kunnen specificeren.
- Het auteursadres is essentieel voor het verifiëren van de authenticiteit van het domein van de afzender van de e-mail.
- Onbekend, alles en wegwerpbaar zijn de drie soorten definieerbare ondertekeningspraktijken in ADSP.
- Het publiceren van een ADSP TXT-record in DNS is noodzakelijk voor het effectief implementeren van ondertekenpraktijken.
- DMARC is een zich ontwikkelend protocol dat verbeterde mogelijkheden biedt ten opzichte van ADSP voor e-mailverificatie.
Wat is ADSP?
We hebben al besproken dat DKIM een beveiligingsprotocol is waarmee e-mailafzenders hun berichten cryptografisch kunnen ondertekenen om te bevestigen dat ze van het juiste domein afkomstig zijn. Hierdoor kunnen ontvangers controleren of het bericht authentiek is en niet onderweg is gewijzigd.
Soms, als deze handtekening ontbreekt, springt ADSP (Author Domain SIgning Practices), een accessoire van DKIM, bij om deze niet-ondertekende berichten te evalueren. Het werkt door het definiëren van een record in de DNS met bepaalde instructies voor ondertekeningspraktijken die worden bepaald door het auteursdomein.
Vereenvoudig ADSP met PowerDMARC!
Relevante termen en definities
Voordat we ons gaan verdiepen in de operationele praktijken van ADSP, nemen we eerst een paar termen door die met dit onderwerp te maken hebben:
Wat is het auteursadres?
Wanneer je een e-mail opent, vind je linksboven in de kop van het bericht het adres Van:. Dit adres bevat het e-mailadres van de afzender van de e-mail (het verzendende domein). Het staat ook bekend als het auteursadres. Dit is een onderdeel van de zichtbare header.
Niet te verwarren met het Return-path adres dat informatie bevat over het IP-adres van de server van de afzender en dat deel uitmaakt van de verborgen header.
Wat is een auteursdomeinhandtekening?
De auteursdomeinhandtekening verwijst naar de d= tag in de e-mailheader, die de DKIM-handtekening bevat voor berichtverificatie. Als de handtekening geldig is, komt de domeinnaam in de header van de handtekening idealiter overeen met de naam in het adres van de auteur (From: header).
Als er geen overeenkomst is, kan dit betekenen dat het bericht tijdens het transport is gewijzigd of dat het domein van de afzender is nagemaakt.
Domeinondertekeningspraktijken voor auteurs (ADSP) configureren
Soorten Definieerbare Ondertekenpraktijken
- onbekend: u kunt een onbekende praktijk definiëren of ervoor kiezen om helemaal niets te definiëren omdat ze beide hetzelfde doel dienen. Onbekend verwijst naar een niet bekendgemaakte of niet gespecificeerde ondertekeningsregel die de flexibiliteit biedt om elk volume e-mail te ondertekenen.
- alle: deze praktijk specificeert dat alle e-mails moeten worden ondertekend met een DKIM-handtekening.
- afwerpbaar: vergelijkbaar met p=reject voor DMARC, verwijst de discardable praktijk naar een afgedwongen beleid waarin niet alleen het totale mailvolume afkomstig van het auteursdomein wordt ondertekend met DKIM, maar in het geval van enig verzuim wordt de e-mail geweigerd (weggegooid) door de ontvangende server.
ADSP TXT-bestand: Praktijken definiëren in het DNS
Om ondertekeningspraktijken voor auteursdomeinen in te stellen, moet je het volgende TXT-record in je DNS publiceren:
_adsp._domainkey.yourdomain.com. IN TXT "dkim=discardable".
Vervang yourdomain.com door de verzendende domeinnaam en dkim= waarde door een ondertekeningspraktijk naar keuze uit de hierboven besproken opties.
Disclaimer
De "onbekend specificatie is de aanbevolen praktijk voor domeinen waar gebruikers niet gebonden zijn aan het versturen van e-mails van specifieke mailservers die binnen het bereik van het auteursdomein vallen. Een ander beleid dan onbekend zal in zulke gevallen leiden tot mislukte verificatie en/of ongewenste berichtweigeringen.
ADSP en DMARC: een moderne oplossing om de beperkingen van ADSP te omzeilen
Alles met een disclaimer kan niet 100% waterdicht en effectief worden genoemd. ADSP is weliswaar een effectieve aanvulling op het DKIM-protocol, maar heeft een aantal beperkingen en complicaties die het de laatste tijd minder relevant hebben gemaakt.
Een betere manier om deze nadelen te omzeilen is het instellen van DMARC. Een modern, effectief en evoluerend e-mailverificatieprotocol dat je zal helpen:
- beleidsregels definiëren in de DNS voor berichten die niet voldoen aan DKIM
- het gewenste handhavingsniveau configureren
- een rapportagemechanisme instellen om verificatieresultaten, storingsrapporten en leveringsproblemen weer te geven
Hulp nodig bij het instellen van uw e-mailbeveiligingsprogramma 's? Wij zijn er om u te helpen! Het PowerDMARC-team van e-mailverificatie-experts zal u helpen uw beveiligingsposture opnieuw uit te vinden met een complete suite van tools op een geautomatiseerd cloudplatform. Neem vandaag nog contact met ons op!
Expert domein- en e-mailbeveiliging bij PowerDMARC
Yunes is teamleider Operations bij PowerDMARC en heeft expertise in e-mailauthenticatie en -beveiliging. Hij is een door Microsoft gecertificeerde Azure Administrator Associate en beschikt over certificeringen zoals CompTIA A+ en vele andere.
Laatste berichten van Yunes Tarada (Bekijk alle berichten)
