e-mail doorsturen

Wanneer een e-mail van de verzendende server rechtstreeks naar de ontvangende server wordt gestuurd, authenticeren SPF en DKIM (als ze correct zijn ingesteld) de e-mail normaal gesproken en valideren ze gewoonlijk effectief of de e-mail legitiem of ongeautoriseerd is. Dat is echter niet het geval als de e-mail via een tussenliggende mailserver passeert voordat deze bij de ontvanger wordt afgeleverd, zoals in het geval van doorgestuurde berichten. Deze blog is bedoeld om u mee te nemen door de impact van e-mail forwarding op DMARC authenticatie-resultaten.

Zoals we al weten, maakt DMARC gebruik van twee standaard e-mail authenticatie protocollen, namelijk SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), om inkomende berichten te valideren. Laten we ze in het kort bespreken om een beter begrip te krijgen van hoe ze werken voordat we verder gaan met hoe forwarding ze kan beïnvloeden.

Beleidskader afzender

SPF is in uw DNS aanwezig als een TXT record, dat alle geldige bronnen weergeeft die geautoriseerd zijn om emails van uw domein te versturen. Elke e-mail die uw domein verlaat, heeft een IP-adres dat uw server en de door uw domein gebruikte e-mail service provider identificeert en dat in uw DNS is opgenomen als een SPF record. De mailserver van de ontvanger valideert de e-mail aan de hand van uw SPF record om deze te verifiëren en markeert de e-mail als SPF pass of fail.

DomainKeys Geïdentificeerde Mail

DKIM is een standaard e-mailauthenticatieprotocol dat een cryptografische handtekening, gemaakt met een privésleutel, toekent om e-mails in de ontvangende server te valideren, waarbij de ontvanger de publieke sleutel kan opvragen bij de DNS van de afzender om de berichten te authenticeren. Net als SPF bestaat ook de DKIM publieke sleutel als een TXT record in de DNS van de domeineigenaar.

De impact van e-mail doorsturen op uw DMARC-authenticatieresultaten

Bij het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat hij uiteindelijk bij de ontvangende server wordt afgeleverd. Ten eerste is het belangrijk te beseffen dat e-mail doorsturen op twee manieren kan gebeuren: e-mail kan handmatig worden doorgestuurd, wat geen invloed heeft op de verificatieresultaten, of het kan automatisch worden doorgestuurd, in welk geval de verificatieprocedure wel een klap krijgt als het domein het record voor de intermediaire verzendende bron niet in hun SPF heeft staan.

Uiteraard mislukt de SPF controle meestal tijdens het doorsturen van emails omdat het IP adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP adres wordt meestal niet opgenomen in het SPF record van de originele server. Daarentegen heeft het doorsturen van emails meestal geen invloed op de DKIM email authenticatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.

Om DMARC authenticatie te doorstaan, moet een e-mail voldoen aan SPF of DKIM authenticatie en uitlijning. Aangezien wij weten dat SPF onvermijdelijk faalt bij het doorsturen van e-mail, zal in het geval dat de verzendende bron DKIM neutraal is en alleen op SPF vertrouwt voor validatie, de doorgestuurde e-mail bij DMARC verificatie als onwettig worden beschouwd.

De oplossing? Simpel. U dient onmiddellijk te kiezen voor volledige DMARC compliance binnen uw organisatie door alle inkomende berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM!

DMARC-naleving bereiken met PowerDMARC

Het is belangrijk op te merken dat om DMARC compliance te bereiken, emails geauthenticeerd moeten worden tegen SPF of DKIM of beide. Echter, tenzij de doorgestuurde berichten worden gevalideerd tegen DKIM, en alleen vertrouwen op SPF voor authenticatie, zal DMARC onvermijdelijk falen zoals besproken in onze vorige paragraaf. Daarom helpt PowerDMARC u volledige DMARC compliance te bereiken door e-mails effectief af te stemmen op en te authenticeren tegen zowel SPF als DKIM authenticatieprotocollen. Op deze manier, zelfs als authentieke doorgestuurde berichten SPF niet halen, kan de DKIM handtekening worden gebruikt om het als legitiem te valideren en de e-mail passeert de DMARC verificatie en belandt vervolgens in de inbox van de ontvanger.

Uitzonderlijke gevallen: DKIM mislukt en hoe op te lossen?

In bepaalde gevallen kan de doorsturende entiteit de mailbody wijzigen door aanpassingen in MIME-grenzen, implementatie van anti-virusprogramma's of hercodering van het bericht. In dergelijke gevallen faalt zowel de SPF als de DKIM authenticatie en worden legitieme emails niet afgeleverd.

In het geval dat SPF en DKIM beide falen, kan PowerDMARC dit identificeren en weergeven in onze gedetailleerde overzichten. Protocollen zoals Authenticated Received Chain kunnen door mailservers worden gebruikt om dergelijke e-mails te authenticeren. In ARC kan de header Authentication-Results worden doorgegeven aan de volgende 'hop' in de lijn van de berichtaflevering, om authenticatieproblemen tijdens het doorsturen van e-mail effectief te beperken.

In het geval van een doorgestuurd bericht probeert de e-mailserver van de ontvanger, wanneer hij een bericht ontvangt dat DMARC-authenticatie niet heeft doorstaan, de e-mail een tweede keer te valideren tegen de verstrekte Authenticated Received Chain voor de e-mail door de ARC Authentication-Results van de eerste "hop" te extraheren, om na te gaan of het bericht als legitiem werd gevalideerd voordat de tussenliggende server het naar de ontvangende server doorstuurde.

Meld u dus vandaag nog aan bij PowerDMARC, en bereik DMARC compliance bij uw organisatie!