Het antwoord is ja, je kunt DMARC configureren zonder DKIM.
Maar is het een goed idee om dat te doen?
Dit artikel gaat in op deze vraag. En bespreekt de gevolgen van het configureren van DMARC zonder DKIM.
DMARC-authenticatienormen begrijpen
DMARC is een protocol dat u in staat stelt e-mailberichten van uw domein te authenticeren. Het gebruikt een reeks regels om te bepalen of een e-mailbericht legitiem is of niet.
SPF en DKIM zijn twee andere protocollen die in het kader van DMARC voor authenticatiedoeleinden worden gebruikt.
SPF is een acroniem voor Sender Policy Framework - het specificeert hoe mailproviders de identiteit van afzenders kunnen verifiëren en spamberichten kunnen blokkeren.
DKIM is een acroniem voor DomainKeys Identified Mail-het werkt door het bericht te versleutelen op het moment dat het wordt verzonden, en het vervolgens met behulp van openbare-sleutel cryptografie opnieuw te ondertekenen wanneer het de bestemmingsserver bereikt.
DMARC, SPF, en DKIM - vormen samen drie pijlers van e-mailauthenticatie. Zij zorgen ervoor dat uw e-mails niet worden vervalst, vervalst of gehackt door derden.
DMARC-beoordelingsalgoritme
Het DMARC beoordelingsalgoritme is een booleaanse waarde die rekening houdt met de authenticatie resultaten van SPF en DKIM. Waarna het bepaalt of een e-mail bericht al dan niet als legitiem wordt geaccepteerd.
Het resultaat is afhankelijk van twee mogelijke uitkomsten:
1. Pass: De e-mail passeert ofwel zowel SPF als DKIM authenticatie OF slechts een van deze. Het wordt dus als schoon beschouwd. En wordt dus geaccepteerd door de ontvangende server.
Om het "pas" authenticatie algoritme in simpele vergelijkingen te zetten:
| DMARC authenticatie pass = SPF record met een geldige SPF identifier uitlijning +/of DKIM record met een geldige DKIM identifier uitlijning |
OF (als DKIM ontbreekt)
| DMARC authenticatie pas = SPF record met een geldige SPF identifier uitlijning |
OF (wanneer SPF ontbreekt)
| DMARC authenticatie pas = DKIM record met een geldige DKIM identifier uitlijning |
2. Mislukt: Het bericht is niet geslaagd voor zowel SPF als DKIM authenticatie controles, wat aangeeft dat het ofwel misvormd is of kwaadaardige inhoud bevat.
Kan ik DMARC instellen zonder DKIM?
DMARC slaagt in de volgende drie scenario's:
- zowel geldige SPF als DKIM zijn er
- geldige SPF zonder DKIM is er
- geldige DKIM zonder SPF is er
Dus ja, je kunt DMARC instellen zonder DKIM.
DMARC is gebaseerd op SPF en DKIM voor verificatiedoeleinden, maar het zijn orthogonale technologieën.
In het algemeen is SPF een "path authorization" mechanisme, d.w.z. dat het een IP toestaat berichten te versturen uit naam van een bepaald domein. DKIM daarentegen is een "content integrity" mechanisme, dat wil zeggen dat het garandeert dat wat u verstuurt niet verandert als het de server bereikt.
Dit betekent dat zij voor hun doeltreffendheid niet van elkaar afhankelijk zijn; zij kunnen parallel of zelfs onafhankelijk van elkaar worden gebruikt.
Het is echter wel aan te bevelen om zowel SPF als DKIM samen met DMARC te gebruiken, omdat ze samen zorgen voor meer robuuste DMARC authenticatie mogelijkheden. DMARC zonder DKIM, hoewel mogelijk, is niet aan te bevelen.
Hoe behandelen e-mail programma's e-mails zonder DKIM?
De meeste e-mailprogramma's behandelen e-mails die niet zijn voorzien van DKIM als spam.
In sommige gevallen kan dit ertoe leiden dat het bericht door de e-mailserver van de ontvanger wordt gemarkeerd en als spam wordt aangemerkt.
Sommige e-mail service providers kunnen uw berichten ook aan de ontvangers tonen als afkomstig van een ander domein dan wat u bedoelde.
In Outlook en Gmail verschijnt uw e-mail zonder DKIM bijvoorbeeld in de inbox van de ontvanger met het correcte VAN-adres, maar als "verzonden door" of "via" iemand anders.
Dit kan verwarrend zijn voor de ontvangers en hen zelfs doen geloven dat iemand anders hen het bericht heeft gestuurd in plaats van jij.
Voorbeeld #1 (Outlook)
Afb.1 Zonder DKIM: Outlook toont het "verzonden door" adres in de inbox van de ontvanger.
Fig.2 Met DKIM: Outlook toont alleen het FROM adres.
Voorbeeld #2 (Gmail)
Fig.3 Zonder DKIM: Gmail toont een "via" adres in de inbox van de ontvanger.
Fig.4 Met DKIM: Gmail toont alleen het VAN adres.
Als DKIM in uw e-mail aanwezig is, zullen bovengenoemde problemen zich echter niet voordoen. De verzendende server wordt niet meer getoond op het scherm van de klant, dus er is minder kans dat deze in spam of junk folders terecht komt. En de enige informatie die ze hebben is het VAN-adres, wat een hoge vertrouwensfactor betekent voor verzendende bedrijven die op zoek zijn naar klanten via e-mailmarketingstrategieën.
Gevolgen van het opzetten van DMARC met en DMARC zonder DKIM
Het instellen van DMARC met DKIM kan helpen voorkomen dat uw e-mailberichten door spamfilters worden gemarkeerd en geblokkeerd.
Het instellen van DMARC zonder DKIM kan echter resulteren in een toename van valse positieven en vertragingen wanneer een ontvanger probeert het e-mail adres van de afzender te verifiëren.
In deze paragraaf bekijken we enkele mogelijke gevolgen van het instellen van DMARC met en DMARC zonder DKIM.
1. Bij het verifiëren van e-mailvertrouwen
Met de SPF-gebaseerde aanpak alleen, zou de DMARC bescherming beperkt zijn tot de onzichtbare "envelop afzender" adressen (MAIL FROM of Return-path). Deze worden gebruikt voor het ontvangen van bounces (niet-afleveringsrapporten) van afzenders.
Wanneer DKIM echter gecombineerd wordt met SPF, wordt de DMARC bescherming ingeschakeld voor zowel het "header From:" adres als de adressen die zichtbaar zijn voor de ontvangers. Dit geeft een groter gevoel van e-mail vertrouwen dan wanneer DMARC alleen met SPF wordt gebruikt.
2. Bij het doorsturen van e-mails
SPF authenticatie werkt door een e-mail met uw SPF record (het IP adres van de server waarvan u e-mails wilt versturen) naar een andere server te sturen. De andere server verifieert dan of dit IP adres al dan niet bij hen geregistreerd is en stuurt terug met hun eigen SPF record-als ze er geen hebben, wijzen ze het verzoek af.
In het geval van e-mail forwarding kan de SPF-authenticatie mislukken omdat er geen garanties zijn dat het IP-adres van de tussenliggende server op de SPF-lijst voor het verzendende domein staat. Als gevolg hiervan kan een legitieme e-mail zonder DKIM handtekening de DMARC authenticatie niet doorstaan, wat resulteert in een vals negatief resultaat.
Als DKIM op dit domein was geconfigureerd, zou de fout-negatief niet zijn opgetreden.
Maar waarom?
De DKIM handtekening (d=) is aan de e-mail zelf gehecht, terwijl SPF aan de "Return-Path" header is gehecht.
In het geval van e-mail forwarding wordt de body van de e-mail niet aangeraakt of gewijzigd, waardoor de DKIM handtekening (d=) in de e-mail body intact blijft. Dit betekent dat de identiteit van de afzender geverifieerd kan worden met het publieke sleutel en prive sleutel paar in de e-mail body en dat de DMARC verificatie geslaagd is.
SPF daarentegen is gekoppeld aan de "Return-Path" header, die verandert in het geval van e-mail forwarding. De geldigheid ervan wordt dus niet geverifieerd, wat resulteert in een vals negatief resultaat.
SPF authenticatie faalt door e-mail forwarding, maar DKIM overleeft e-mail forwarding omdat het aan de e-mail body is gekoppeld. Daarom is het belangrijk om DMARC ook met DKIM in te stellen.
3. Bij het bijwerken van het IP-adres
Wanneer u een e-mail verstuurt, controleert de ontvangende server de header van de e-mail om te zien of er met de header is geknoeid. Is dat het geval, dan weigert de ontvangende server uw bericht en stuurt u een bericht.
Dit is waar SPF om de hoek komt kijken. SPF controleert of uw IP-adres als een geldig adres voorkomt in het SPF-record van de verzendende server (met andere woorden, of er geen gespoofde IP-adressen zijn).
Als uw IP adres verandert, dan moet uw SPF record worden bijgewerkt met het nieuwe adres. De tijd die dit in beslag neemt hangt af van hoe vaak u uw IP-adres wijzigt - in de meeste gevallen duurt het tot 48 uur voordat het nieuwe SPF-record in werking treedt.
Wat gebeurt er als uw e-mailprovider een nieuw IP toevoegt aan zijn bereik? In dat geval kan de aflevering van uw e-mail vertraging oplopen door de propagatietijd van de SPF record update.
Als u echter zowel DKIM als SPF heeft geconfigureerd, kunt u dit probleem omzeilen door de cryptografische handtekening van DKIM te gebruiken om te bewijzen dat de mailserver op sender@yourdomain.com gemachtigd was om de mail te versturen.
Dit betekent dat zelfs als hun IP range verandert, DKIM nog steeds kan verifiëren dat emails afkomstig van bepaalde domeinen authentiek en legitiem zijn.
DMARC gebruiken zonder DKIM: De mogelijke OK/FAIL scenario's
Wanneer u de DKIM en SPF mechanismen gebruikt, gebruikt u in feite twee verschillende middelen om hetzelfde doel te bereiken: het voorkomen van spoofing.
Ze werken onafhankelijk van elkaar, maar ze kunnen ook onafhankelijk van elkaar falen. SPF kan bijvoorbeeld onafhankelijk van DKIM falen en DKIM kan onafhankelijk van SPF falen.
Hier zijn de vier mogelijke OK/FAIL scenario's van het opzetten van DMARC zonder of zonder DKIM:
| Scenario | Betekenis: | E-mail afleverstatus |
| SPF ok, DKIM ok | Het garandeert dat e-mails van een legitieme bron komen. De server is gemachtigd om mail te versturen omdat hij een geldig SPF record en een geldige DKIM handtekening heeft. | Geleverd in inbox |
| SPF ok, DKIM mislukt | Dit betekent dat de mail is afgeleverd door een geautoriseerde server, maar dat de validatie van de DKIM handtekening mislukt. | Afgeleverd in spam of junk map |
| SPF mislukt, DKIM ok | Dit betekent dat de DKIM handtekening van de mail geldig is, maar dat de verzendende server geen toestemming heeft om de mail af te leveren. | Afgeleverd in spam of junk map |
| SPF mislukt, DKIM mislukt | Als zowel SPF als DKIM falen, dan wordt een e-mail beschouwd als spoofed en zal deze worden geweigerd door de DMARC mail server van de ontvanger. | Niet Geleverd / Afgewezen |
Een volledige DMARC implementatie is de noodzaak van het uur!
SPF en DKIM zijn de meest gebruikte e-mailbeschermingsmechanismen voor het implementeren van een correct DMARC-record om e-mailspoofing te voorkomen. Wanneer een goede DMARC-implementatie wordt toegepast op uw bestaande e-mailinfrastructuur, worden uw e-mailberichten afgeleverd zoals bedoeld. Dit betekent minder spamklachten, minder fout-positieven in blacklists en betere deliverabilitystatistieken voor al uw abonnees.
PowerDMARC biedt complete DMARC implementatie diensten met DKIM, SPF, en DMARC beleid gemaakt voor uw domein. Zo bereikt u betrouwbaardere resultaten met uw e-mails.
DKIM record genereren online of pak uw gratis DMARC proefversie voor een complete oplossing voor de complexe en steeds veranderende wereld van e-mailbeveiliging.
