• Identiteit van de afzender van e-mails: wat het is en waarom het belangrijk is

Identiteit van de afzender van e-mails: wat het is en waarom het belangrijk is

Blog, DMARC

De identiteit van de afzender van een e-mail bepaalt van wie een e-mail afkomstig is. Ontdek hoe dit werkt, hoe het kan worden vervalst en hoe SPF, DKIM en DMARC dit beschermen.

door Milena Baghdasaryan

Laatst bijgewerkt:
8 leestijd: 8 minuten
Identiteit van de afzender van e-mails: wat het is en waarom het belangrijk is
Inhoudsopgave-

Belangrijkste Conclusies

  • De identiteit van de afzender van een e-mail bestaat uit de weergavenaam, de afzender in de header (RFC 5322) en de afzender in de envelop (RFC 5321), die samen de opgegeven afzender definiëren.
  • SPF verifieert verzendende IP-adressen, DKIM voegt cryptografische handtekeningen toe en DMARC dwingt domeinaanpassing en beleidsacties af (geen, quarantaine, weigeren).
  • DMARC bij p=reject blokkeert directe domeinspoofing en is vanaf 2024 verplicht gesteld door Google en Yahoo voor bulkverzenders.
  • Aanvallers maken misbruik van zwakke identiteitscontroles door middel van display name spoofing, lookalike domeinen en homograafaanvallen.
  • Bedrijven moeten DMARC handhaven, authenticatierapporten controleren en alle externe afzenders authenticeren om hun merkreputatie, leverbaarheid en financiële veiligheid te beschermen.

Een e-mail is slechts zo goed als de identiteit erachter, en op dit moment is die van u misschien makkelijker te vervalsen dan u denkt. De identiteit van de afzender van een e-mail bepaalt van wie een e-mail beweert afkomstig te zijn en hoe die identiteit technisch wordt geverifieerd. Dit is afhankelijk van SMTP-headers, DNS-records en authenticatieprotocollen zoals SPF, DKIM en DMARC. Zonder de juiste verificatie kunnen aanvallers domeinen vervalsen, zich voordoen als leidinggevenden en phishingcampagnes lanceren die de reputatie van het merk en de afleverbaarheid van e-mails schaden. DMARC-handhaving (p=reject), afgestemde SPF en DKIM en continue monitoring beschermen uw domein tegen directe spoofing en Business Email Compromise-aanvallen.

Wat is de identiteit van de afzender van een e-mail?

De identiteit van de afzender van een e-mail is het e-mailadres en domein dat wordt weergegeven in het veld 'Van', dat aangeeft van wie het bericht afkomstig zou zijn. Vanwege de manier waarop het Simple Mail Transfer Protocol is geschreven, bestaat er echter een enorme kloof tussen een geclaimde identiteit en een geverifieerde identiteit.

  • Geclaimde identiteit: dit is wat de afzender zegt dat hij is. Een aanvaller kan eenvoudig 'Van: [email protected]' in de metagegevens van een e-mail schrijven. Zonder authenticatie heeft de mailserver van de ontvanger geen reden om hieraan te twijfelen.
  • Geverifieerde identiteit: Dit is een identiteit die wordt ondersteund door technisch 'bewijs van eigendom'. Er wordt gebruikgemaakt van DNS-records en cryptografische sleutels om aan te tonen dat de afzender het wettelijke recht heeft om die specifieke domeinnaam te gebruiken.

Identiteit wordt weergegeven in drie lagen:

  • De weergavenaam, dit is de gebruiksvriendelijke naam.
  • De Header From, dat is het zichtbare e-mailadres.
  • De envelop Van, wat het technische routeringsadres is.

Waar de identiteit van de e-mailafzender wordt weergegeven

Voor een gewone gebruiker lijkt een e-mail op een eenvoudige brief. Voor een mailserver is het een complexe stapel headers.

Het 'Van'-adres (header 'Van')

Gedefinieerd door RFC 5322, is dit het adres dat in het veld 'Van' van uw inbox verschijnt. Het is het belangrijkste identiteitssignaal omdat het het gedrag van de gebruiker bepaalt. Als een gebruiker [email protected] ziet, is de kans statistisch gezien groter dat hij op een link klikt dan wanneer hij [email protected] ziet.

Weergavenaam versus daadwerkelijk adres

Dit is waar de meeste phishing begint. Een aanvaller kan de weergavenaam instellen op "Microsoft Security' instellen, terwijl het werkelijke adres [email protected] is. Omdat veel mobiele apparaten het werkelijke adres verbergen om schermruimte te besparen, zien gebruikers alleen de 'vriendelijke' naam, wat leidt tot een hoog succespercentage voor identiteitsfraude.

Identiteiten op koptekstniveau: RFC 5322 versus RFC 5321

  • RFC 5322. Van: Het 'briefhoofd'. Dit is wat de mens ziet.
  • Return-Path (Envelope-From / RFC 5321): Het 'retouradres' op de envelop. Hiernaar stuurt de ontvangende server 'bounce'-berichten als de e-mail niet kan worden afgeleverd. Deze twee adressen hoeven niet overeen te komen, tenzij er specifieke beveiligingsbeleidsregels van kracht zijn.

Hoe de identiteit van de afzender van een e-mail wordt geverifieerd

Omdat het zo gemakkelijk is om een identiteit te 'claimen', heeft de sector een uitgebreide reeks authenticatieprotocollen ontwikkeld om deze te verifiëren.

Hoe-de-identiteit-van-de-afzender-van-een-e-mail-wordt-geverifieerd

1. SPF

SPF is een DNS-record dat alle IP-adressen en diensten vermeldt die bevoegd zijn om e-mail voor uw domein te verzenden.

  • Hoe het werkt: wanneer een e-mail binnenkomt, controleert de ontvangende server de DNS van het Return-Path-domein om te zien of het IP-adres van de afzender op de 'gastenlijst' staat.
  • Het probleem: SPF controleert alleen de 'envelop', niet het 'briefhoofd' (het afzenderadres dat de gebruiker ziet). Een aanvaller kan zijn eigen domein gebruiken voor de SPF-controle, maar uw domein in het zichtbare afzenderveld plaatsen.

2. DKIM

DKIM voegt een digitale handtekening toe aan de e-mailheader met behulp van publieke-sleutelcryptografie.

  • Het voordeel: het zorgt ervoor dat het bericht tijdens het transport niet is gewijzigd en bewijst dat de domeineigenaar het bericht heeft geautoriseerd. In tegenstelling tot SPF blijft de DKIM-handtekening bij het e-mailbericht, zelfs als het wordt doorgestuurd door een mailinglijst.

3. DMARC

DMARC is de meest cruciale laag. Het lost het probleem van 'identiteitsafstemming' op.

  • De logica: DMARC vraagt: "Komt het domein in het zichtbare Van: adres overeen met het domein dat door SPF of DKIM is geverifieerd?"
  • Beleidsafdwinging: hiermee kunnen domeineigenaren ontvangende servers vertellen wat ze moeten doen als de identiteit niet overeenkomt:
  • Geen, wat betekent dat je niets hoeft te doen.
  • Quarantaine, wat betekent: naar spam verzenden
  • Weigeren, wat het strengste beleid is en betekent dat de e-mail volledig wordt geblokkeerd.

4. ARC (Authenticated Received Chain)

Hoewel DMARC krachtig is, heeft het een 'zwakke plek': het faalt vaak wanneer een e-mail wordt doorgestuurd (bijvoorbeeld via een mailinglijst of een automatische omleiding). Doorsturen breekt vaak SPF of wijzigt de e-mail zodanig dat de DKIM-handtekening ongeldig wordt.

  • Hoe het werkt: ARC fungeert als een 'digitale doorvoer'. Wanneer een vertrouwde tussenpersoon (zoals een mailinglijst) uw e-mail ontvangt, valideert deze de originele SPF/DKIM/DMARC en voegt vervolgens zijn eigen handtekening (de ARC-keten) toe om te bewijzen dat het bericht legitiem was toen het voor het eerst aankwam.
  • Het voordeel: het stelt de uiteindelijke ontvanger in staat om de doorstuurketen te 'doorzien' en te vertrouwen op de identiteit van de oorspronkelijke afzender, zelfs als DMARC technisch gezien faalt.

Identiteit van de afzender van een e-mail versus e-mailverificatie

Het is gemakkelijk om deze twee termen door elkaar te halen, maar ze vervullen verschillende rollen in uw beveiligingsstack.

  • Identiteit is het 'wie': het is de digitale persoonlijkheid van uw merk. Het is het vertrouwen dat u bij uw klanten hebt opgebouwd, zodat zij weten dat een e-mail van [email protected] legitiem is.
  • Authenticatie is het 'hoe': dit zijn de technische mechanismen, SPF, DKIM, DMARC, die worden gebruikt om die identiteit te bewijzen.

Zie het als een paspoort. Je identiteit is je status als burger die mag reizen. Authenticatie is het fysieke paspoort en de biometrische chip daarin die bewijst dat je bent wie je zegt dat je bent. Authenticatie bestaat uitsluitend om je identiteit te beschermen tegen misbruik. Wanneer er een 'discrepantie' is tussen beide, wat betekent dat de authenticatiecontroles slagen maar de identiteit niet overeenkomt, verdwijnt het vertrouwen en dat is precies waar hackers hun kans zien.

Hoe aanvallers misbruik maken van de identiteit van e-mailafzenders

Cybercriminelen gebruiken 'identiteitsbedrog' om menselijke intuïtie en technische filters te omzeilen.

  • Exact-Domain Spoofing: Als een bedrijf DMARC niet heeft geïmplementeerd op p=reject, kan een aanvaller een e-mail versturen die bit voor bit identiek is aan een echte interne e-mail.
  • Display Name Impersonation: Dit wordt vaak 'CEO-fraude' genoemd en richt zich op drukbezette werknemers. De e-mail lijkt afkomstig te zijn van de 'CEO-naam' en vraagt om een dringende overschrijving of aankoop van cadeaubonnen.
  • Lookalike (Cousin) Domains: Aanvallers registreren domeinen zoals nike-support.com in plaats van nike.com.
  • Homograafaanvallen: het gebruik van tekens uit verschillende alfabetten die er identiek uitzien, zoals het vervangen van een Latijnse "o" door een Griekse "ο" (omicron).

Waarom de identiteit van de afzender van een e-mail belangrijk is voor bedrijven

  1. Merkenreputatie: Uw domein is uw digitale etalage. Als het wordt gebruikt om spam te verspreiden, wordt uw merk geassocieerd met "onveilige" inhoud.
  2. Leverbaarheid: Begin 2024 zijn Google en Yahoo begonnen met het verplicht stellen van DMARC voor bulkverzenders. Als uw identiteit niet is geverifieerd, worden uw legitieme marketing- en transactionele e-mails, zoals wachtwoordherstel, geblokkeerd.
  3. Financiële veiligheid: Business Email Compromise veroorzaakt jaarlijks miljarden aan verliezen. Geverifieerde identiteit is de enige technische manier om deze aanvallen op grote schaal te stoppen.

Veelvoorkomende fouten bij het identificeren van afzenders van e-mails

  • De valkuil van 'p=none': veel bedrijven stellen DMARC in, maar laten het voor altijd in de 'monitoringmodus' (p=none) staan. Dit biedt wel zichtbaarheid, maar geen enkele bescherming tegen spoofing.
  • Overmatig vertrouwen op SPF: SPF heeft een 'limiet van 10 zoekopdrachten'. Als uw record te complex is, mislukt het, waardoor uw identiteit volledig openbaar wordt.
  • Onwetendheid over schaduw-IT: marketing- of HR-afdelingen melden zich vaak aan voor nieuwe tools zonder dit aan IT te melden. Als deze niet geauthenticeerd zijn, zullen ze de DMARC-controles niet doorstaan en in de spamfolder terechtkomen.

Best practices voor het beveiligen van identiteit

Best-practices-voor-het-beveiligen-van-identiteit-

Technische checklist

  • DMARC-handhaving realiseren: streef naar p=reject. Dit is de 'gouden standaard' voor identiteitsbescherming.
  • BIMI implementeren: Brand Indicators for Message Identification stelt u in staat om uw geverifieerde merklogo in de inbox weer te geven, zodat er een visueel 'geverifieerd'-vinkje wordt getoond.
  • Gebruik unieke DKIM-selectors: wijs verschillende DKIM-sleutels toe aan verschillende leveranciers, zodat u er één kunt intrekken zonder dat dit gevolgen heeft voor de andere.

Organisatiestrategie

  • Continue monitoring: Gebruik een DMARC-monitoringtool om te controleren of er nieuwe diensten zijn die e-mails versturen alsof ze van u afkomstig zijn.
  • Phishing-oefeningen voor werknemers: leer medewerkers om nooit alleen op de weergavenaam te vertrouwen.

Zorg voor ARC-ondersteuning

Als u een mailinglijst of een doorstuurservice gebruikt, zorg er dan voor dat deze is geconfigureerd om berichten met ARC te 'verzegelen'. Dit voorkomt dat uw legitieme doorgestuurde e-mail wordt geweigerd door strenge DMARC-beleidsregels.

Het komt hierop neer: laat vreemden niet langer uw merk dragen

Beschouw de identiteit van uw e-mailafzender als de digitale 'voordeur' van uw bedrijf. Zonder de juiste sloten, SPF, DKIM en DMARC laat u die deur in feite wijd open staan. In de begintijd van het internet was e-mail gebaseerd op een handdruk, maar in het huidige landschap is 'vertrouwen' iets dat u technisch moet bewijzen met elk bericht dat u verstuurt.

Als u uw identiteit onbeschermd laat, riskeert u niet alleen een paar spamklachten, maar geeft u ook de reputatie van uw merk uit handen aan iedereen die er aanspraak op wil maken. Wanneer een aanvaller een valse factuur of een phishinglink verstuurt via uw domein, geeft het slachtoffer niet de hacker de schuld, maar u. Het beveiligen van uw identiteit is niet alleen een technische 'to-do'-lijst; het gaat erom dat wanneer u een klant of partner begroet, zij zonder enige twijfel weten dat u het ook echt bent.

Wacht niet tot uw boekhoudafdeling een e-mail met "CEO-fraude" ontvangt voordat u actie onderneemt. Uw merk verdient een geverifieerde identiteit die e-mailproviders kunnen vertrouwen en die aanvallers niet kunnen manipuleren. Probeer PowerDMARC vandaag nog gratis uit om de "alfabetsoep" van e-mailbeveiliging te vereenvoudigen en ga eenvoudig over van een kwetsbaar p=none-beleid naar een strenger p=reject-beleid.

Veelgestelde Vragen

Kan de identiteit van een e-mailafzender worden vervalst?

In een oogwenk. De oorspronkelijke 'taal' van e-mail (SMTP) is te vergelijken met het versturen van een ansichtkaart: iedereen kan een valse afzender op de achterkant schrijven. Zonder moderne beveiligingen zoals SPF en DKIM kan een hacker de naam en het e-mailadres van uw CEO in het veld 'Van' zetten, en de meeste mailboxen zullen dat gewoon geloven.

Voorkomt DMARC alle spoofing?

Niet helemaal. DMARC is een beest in het stoppen van Exact-Domain Spoofing (iemand die zich voordoet als [email protected]). Het stopt echter geen "Lookalike Domains" (zoals yourbrancd.com) of "Display Name Spoofing" (waarbij de naam klopt, maar het e-mailadres een willekeurig Gmail-account is). Daarvoor heb je nog steeds een scherp oog nodig.

Wat is het verschil tussen From en Return-Path?

Beschouw het afzenderadres als de naam op het briefhoofd in de envelop; dat is wat de mens ziet. Het Return-Path is het adres dat op de buitenkant van de envelop staat en dat door mailservers wordt gebruikt om bounces af te handelen. Hackers vinden het leuk om deze adressen anders te maken om filters te misleiden, en daarom DMARC-alignment zo belangrijk is.

Is de identiteit van de afzender hetzelfde als de reputatie van de e-mail?

Nee. Identiteit is wie je bent; reputatie is hoe je je gedraagt. Als je een geweldige identiteit hebt (geverifieerd) maar spamachtige inhoud verstuurt, zal je reputatie nog steeds kelderen. Als je je identiteit echter niet beveiligt, kunnen hackers je reputatie ruïneren door spam te versturen in jouw naam.

Moeten interne e-mails worden beschermd tegen identiteitsfraude door de afzender?

Absoluut. Sommige van de grootste diefstallen (zoals CEO-fraude) vinden plaats wanneer een werknemer een e-mail ontvangt die lijkt te zijn afkomstig van zijn baas in het kantoor ernaast. Als u uw identiteit intern niet beschermt, laat u de deur wijd openstaan voor aanvallen in de stijl van "The Call is Coming from Inside the House".

Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
Laatst bijgewerkt:
Spam Confidence Level (SCL) -1 Bypass: wat het betekent en hoe u ermee omgaatSpam-betrouwbaarheidsniveau (SCL) -- 1-BypassIs Outlook-e-mailversleuteling HIPAA-conform? Een complete gids voor 2026