Als een e-mail vanaf de verzendende server rechtstreeks naar de ontvangende server wordt gestuurd, verifiëren SPF en DKIM (als ze correct zijn ingesteld) de e-mail normaal gesproken en valideren ze de e-mail meestal effectief als legitiem of ongeautoriseerd. Dat is echter niet het geval als de e-mail via een tussenliggende mailserver gaat voordat hij bij de ontvanger wordt afgeleverd, zoals in het geval van doorgestuurde berichten. Deze blog is bedoeld om de invloed van het doorsturen van e-mail op DMARC-authenticatieresultaten met je door te nemen.
Zoals we al weten, maakt DMARC gebruik van twee standaard e-mail authenticatie protocollen, namelijk SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail), om inkomende berichten te valideren. Laten we ze in het kort bespreken om een beter begrip te krijgen van hoe ze werken voordat we verder gaan met hoe forwarding ze kan beïnvloeden.
Beleidskader afzender
SPF is in uw DNS aanwezig als een TXT record, dat alle geldige bronnen weergeeft die geautoriseerd zijn om emails van uw domein te versturen. Elke e-mail die uw domein verlaat, heeft een IP-adres dat uw server en de door uw domein gebruikte e-mail service provider identificeert en dat in uw DNS is opgenomen als een SPF record. De mailserver van de ontvanger valideert de e-mail aan de hand van uw SPF record om deze te verifiëren en markeert de e-mail als SPF pass of fail.
DomainKeys Geïdentificeerde Mail
DKIM is een standaard e-mailauthenticatieprotocol dat een cryptografische handtekening, gemaakt met een privésleutel, toekent om e-mails in de ontvangende server te valideren, waarbij de ontvanger de publieke sleutel kan opvragen bij de DNS van de afzender om de berichten te authenticeren. Net als SPF bestaat ook de DKIM publieke sleutel als een TXT record in de DNS van de domeineigenaar.
De impact van e-mail doorsturen op uw DMARC-authenticatieresultaten
Bij het doorsturen van e-mail passeert de e-mail een tussenliggende server voordat hij uiteindelijk bij de ontvangende server wordt afgeleverd. Ten eerste is het belangrijk te beseffen dat e-mail doorsturen op twee manieren kan gebeuren: e-mail kan handmatig worden doorgestuurd, wat geen invloed heeft op de verificatieresultaten, of het kan automatisch worden doorgestuurd, in welk geval de verificatieprocedure wel een klap krijgt als het domein het record voor de intermediaire verzendende bron niet in hun SPF heeft staan.
Natuurlijk mislukt de SPF-controle tijdens het doorsturen van e-mails meestal omdat het IP-adres van de tussenliggende server niet overeenkomt met dat van de verzendende server, en dit nieuwe IP-adres wordt meestal niet opgenomen in het SPF-record van de oorspronkelijke server. Daarentegen heeft het doorsturen van e-mails meestal geen invloed op DKIM e-mailverificatie, tenzij de tussenliggende server of de doorsturende entiteit bepaalde wijzigingen aanbrengt in de inhoud van het bericht.
Om DMARC authenticatie te doorstaan, moet een e-mail voldoen aan SPF of DKIM authenticatie en uitlijning. Aangezien wij weten dat SPF onvermijdelijk faalt bij het doorsturen van e-mail, zal in het geval dat de verzendende bron DKIM neutraal is en alleen op SPF vertrouwt voor validatie, de doorgestuurde e-mail bij DMARC verificatie als onwettig worden beschouwd.
De oplossing? Simpel. U dient onmiddellijk te kiezen voor volledige DMARC compliance binnen uw organisatie door alle inkomende berichten af te stemmen op en te verifiëren tegen zowel SPF als DKIM!
DMARC-naleving bereiken met PowerDMARC
Het is belangrijk op te merken dat om DMARC compliance te bereiken, emails geauthenticeerd moeten worden tegen SPF of DKIM of beide. Echter, tenzij de doorgestuurde berichten worden gevalideerd tegen DKIM, en alleen vertrouwen op SPF voor authenticatie, zal DMARC onvermijdelijk falen zoals besproken in onze vorige paragraaf. Daarom helpt PowerDMARC u volledige DMARC compliance te bereiken door e-mails effectief af te stemmen op en te authenticeren tegen zowel SPF als DKIM authenticatieprotocollen. Op deze manier, zelfs als authentieke doorgestuurde berichten SPF niet halen, kan de DKIM handtekening worden gebruikt om het als legitiem te valideren en de e-mail passeert de DMARC verificatie en belandt vervolgens in de inbox van de ontvanger.
Uitzonderlijke gevallen: DKIM mislukt en hoe op te lossen?
In bepaalde gevallen kan de doorsturende entiteit de mailbody wijzigen door aanpassingen in MIME-grenzen, implementatie van anti-virusprogramma's of hercodering van het bericht. In dergelijke gevallen faalt zowel de SPF als de DKIM authenticatie en worden legitieme emails niet afgeleverd.
In het geval dat SPF en DKIM beide falen, kan PowerDMARC dit identificeren en weergeven in onze gedetailleerde overzichten. Protocollen zoals Authenticated Received Chain kunnen door mailservers worden gebruikt om dergelijke e-mails te authenticeren. In ARC kan de header Authentication-Results worden doorgegeven aan de volgende 'hop' in de lijn van de berichtaflevering, om authenticatieproblemen tijdens het doorsturen van e-mail effectief te beperken.
In het geval van een doorgestuurd bericht probeert de e-mailserver van de ontvanger, wanneer hij een bericht ontvangt dat DMARC-authenticatie niet heeft doorstaan, de e-mail een tweede keer te valideren tegen de verstrekte Authenticated Received Chain voor de e-mail door de ARC Authentication-Results van de eerste "hop" te extraheren, om na te gaan of het bericht als legitiem werd gevalideerd voordat de tussenliggende server het naar de ontvangende server doorstuurde.
Meld u dus vandaag nog aan bij PowerDMARC, en bereik DMARC compliance bij uw organisatie!
