• Handleiding voor het instellen van DMARC, SPF en DKIM voor Salesforce

Handleiding voor het instellen van DMARC, SPF en DKIM voor Salesforce

Blog, ESP Uitlijning

Leer hoe u SPF, DKIM en DMARC kunt instellen om de e-mailbeveiliging van Salesforce te verbeteren. Bescherm uw domein tegen spoofing-aanvallen met e-mailverificatieprotocollen.

door Ayan Bhuiya

Laatst bijgewerkt:
7 leestijd: 7 minuten
Handleiding voor het instellen van DMARC, SPF en DKIM voor Salesforce
Inhoudsopgave-

Voor Salesforce-gebruikers die hun e-mailbeveiliging naar een hoger niveau willen tillen, de afleverbaarheid van hun e-mails in de loop van de tijd willen verbeteren en de inbox van Google en Yahoo willen bereiken zonder te worden geblokkeerd, is dit het artikel voor u! Om de beveiliging van e-mailcommunicatie verder te verbeteren, ondersteunt Salesforce e-mailverificatieprotocollen zoals DMARC, SPF en DKIM. Als u uw domein wilt beschermen tegen e-mailaanvallen en het aantal spamklachten over uw e-mails wilt verminderen, is het essentieel om deze authenticatieprotocollen te implementeren. Door ze in te stellen met uw Salesforce-account kunt u helpen verifiëren dat uw e-mails authentiek en betrouwbaar zijn.

Sender Policy Framework (SPF) zorgt ervoor dat alleen geautoriseerde servers e-mails namens uw domein kunnen verzenden, terwijl DomainKeys Identified Mail (DKIM) cryptografische sleutels gebruikt om te controleren of uw e-mail is gemanipuleerd. SPF en DKIM kunnen worden gecombineerd met DMARC (Domain-based Message Authentication, Reporting, and Conformance) om spoofing- en phishingaanvallen te voorkomen.

In dit artikel wordt uitgelegd hoe u SPF-, DKIM- en DMARC-records toevoegt aan uw Salesforce-account. Laten we er meteen in duiken!

Belangrijkste Conclusies

  1. Het implementeren van SPF, DKIM en DMARC is essentieel om je e-maildomein te beschermen tegen spoofing en phishing-aanvallen.
  2. SPF zorgt ervoor dat alleen geautoriseerde servers e-mails namens uw domein kunnen verzenden om uw e-mail deliverability te verbeteren.
  3. DKIM maakt gebruik van cryptografische sleutels om de integriteit van je e-mails te verifiëren en te bevestigen dat ze tijdens het transport niet zijn gewijzigd.
  4. DMARC geeft instructies aan ontvangende servers over hoe om te gaan met e-mails die SPF- en DKIM-controles niet doorstaan, waardoor de beveiliging van uw e-mail wordt verbeterd.
  5. Het gebruik van tools zoals SPF Record Generators en DMARC monitoring kan het instellen vereenvoudigen en de effectiviteit van je e-mailverificatieprotocollen verbeteren.

Een SPF-record toevoegen voor Salesforce

Een SPF Het is essentieel dat u een SPF-record instelt voor uw Salesforce-account. Salesforce biedt namelijk een speciaal SPF-record dat garandeert dat e-mails die vanuit uw account worden verzonden, de beveiligingscontroles doorstaan.

Hieronder vindt u de instructies voor het toevoegen van Salesforce aan uw SPF-record.

Vereenvoudig het instellen van DMARC, SPF en DKIM met PowerDMARC!

Vijftien dagen op proefBoek een demo

1. SPF-invoer van Salesforce opnemen

Neem de specifieke SPF-vermelding op in het SPF-record van uw domein om e-mails te verzenden vanuit Salesforce:

_spf.salesforce.com

Voorbeeld SPF Record voor Salesforce

Een voorbeeld van een SPF-record voor Salesforce zou er als volgt uit kunnen zien:

v=spf1 mx include:_spf.salesforce.com ~all

Dit is het eenvoudigste SPF-record. Het specificeert dat uw domein e-mails mag verzenden via Salesforce. U kunt ook meerdere "include"-mechanismen configureren om andere domeinen van derden te autoriseren om namens u e-mails te verzenden. Het is belangrijk om deze bronnen in hetzelfde SPF-record te autoriseren in plaats van een nieuw record aan te maken voor hetzelfde domein.

2. Uw SPF Record aanmaken

Om een foutloos SPF-record te maken, raden we aan een SPF Record Generator te gebruiken.

3. Uw SPF Record testen en valideren

Je moet je SPF record testen nadat je het hebt ingesteld om er zeker van te zijn dat het goed werkt. Een SPF-controleprogramma kan gebruikt worden om het record te valideren.

Zo gebruik je de tool:

  • Open eerst de SPF Query Tool.
  • Voer uw domeinnaam in.
  • Klik op de knop "Lookup".

Je krijgt een "Valid" status als je SPF record correct is.

Aanvullende bronnen

Raadpleeg voor meer informatie De SPF-instellingshandleiding van Salesforce.

Een DKIM-record toevoegen voor Salesforce

Hier volgen de instructies voor het maken van DKIM-sleutels in Salesforce.

1. Navigeer naar DKIM-instellingen

Zoek in de Salesforce-instellingen naar het vak Snelzoeken. Voer "DKIM Keys" in en selecteer deze optie.

2. Een nieuwe DKIM-sleutel maken

Nadat u "DKIM Keys" hebt geselecteerd, klikt u op "Create New Keys". Hierdoor wordt het DKIM-sleutelpaar standaard inactief gemaakt.

Selecteer RSA-sleutelgrootte

Selecteer de grootte van de RSA-sleutel volgens de vereisten van uw organisatie. Houd rekening met de beperkingen van uw e-mailontvangers voordat u een sleutel selecteert. Houd ook rekening met de beveiligingsvoorschriften.

3. Voer een selectienaam in

Uw DKIM-selector is een unieke identificatie die uw DKIM-sleutel herkent. Voer een unieke naam in om deze sleutel te onderscheiden van andere.

4. Een alternatieve selector instellen

Met de Alternatieve selector kan Salesforce uw DKIM-sleutels automatisch roteren voor een betere beveiliging.

5. Voer de domeinnaam in

Daarna moet u een domeinnaam opgeven. Deze naam wordt gebruikt om e-mails te versturen vanuit uw Salesforce-account. De domeinnaam kan niet worden gewijzigd als deze eenmaal is ingesteld.

6. Domein overeenkomend patroon definiëren

Je kunt ook bepalen wanneer Salesforce een e-mail ondertekent met een DKIM-sleutel. Dit kan worden gedaan met een domein match patroon. U moet een door komma's gescheiden lijst met patronen gebruiken.

7. Wijzigingen opslaan

Sla uw wijzigingen op nadat u alle bovenstaande stappen hebt uitgevoerd. Uw TXT-record voor de DKIM-sleutel wordt dan door Salesforce gepubliceerd op uw DNS.

8. CNAME-records toevoegen aan uw DNS

Voeg de CNAME- en alternatieve CNAME-records toe aan de DNS van uw domein voordat u de DKIM-sleutel op uw domein activeert.

9. Wachten op DNS-publicatie

Het publiceren van DNS-records duurt enkele dagen. CNAME- en alternatieve CNAME-records verschijnen op de pagina DKIM-sleutelgegevens nadat de DNS-propagatietijd is voltooid.

10. De DKIM-sleutel activeren

Ga terug naar de DKIM-sleutel detailpagina na het publiceren van het record. Activeer de DKIM-sleutel.

Opmerking: Salesforce roteert sleutels na 30 dagen. Daarom wordt uw secundaire, inactieve sleutel automatisch gegenereerd zodra u de sleutel activeert.

DMARC instellen voor Salesforce

DMARC instrueert ontvangende servers hoe om te gaan met e-mails die de verificatiecontroles van SPF en DKIM niet doorstaan. Salesforce kan geen DMARC-authenticatie leveren en raadt daarom aan om samen te werken met een externe leverancier zoals PowerDMARC om het protocol te configureren.

De juiste DMARC-implementatie is noodzakelijk om configuratieproblemen te voorkomen. Hieronder vindt u instructies voor het toevoegen van een DMARC-record voor Salesforce.

1. Selecteer een DMARC-versie

De standaardversie van DMARC is versie 1, die er als volgt uitziet:v=DMARC1

2. Kies een DMARC-beleid

Er zijn drie DMARC-beleidsregels die voorschrijven hoe ontvangerservers moeten omgaan met e-mails die de verificatiecontroles niet doorstaan.

  • p=geen

Dit is het eerste beleid dat wordt geactiveerd. Met dit beleid doorstaan e-mails de DMARC-authenticatie, zelfs als ze niet voldoen aan de SPF- en DKIM-controles. Dit beleid moet worden gebruikt bij het voor het eerst instellen van DMARC.

  • p=quarantine

Het beleid plaatst de e-mails die niet voldoen aan de SPF- en DKIM-verificatie in quarantaine. Het markeert de e-mails als spam om de gebruiker te waarschuwen voor verdachte e-mails.

  • p=afwijzen

Zoals de naam al aangeeft, worden bij dit beleid e-mails geweigerd die de authenticatie niet doorstaan. Dit is meestal het laatste doel dat wordt nagestreefd na de implementatie van DMARC.

3. Kies SPF en DKIM uitlijningsmodi (optioneel)

Hier wordt uitgelegd hoe SPF-beleid werkt met DMARC:

  • aspf=s

De strikte SPF afstemmingsmodus vereist een exacte overeenkomst tussen het domein in het "Return-Path" (afzender van de envelop) en het domein in de "From" header. 

  • aspf=r

De SPF relaxte uitlijningsmodus staat een pass toe, zelfs als het "Return-Path" domein (afzender envelop) en het "From" header domein een organisatorische match zijn, en geen exacte match.

  • adkim=s

Het domein in de DKIM-handtekening (de d= tag in de DKIM-header) moet exact overeenkomen met het domein in het "Van"-adres. 

  • adkim=r

In de ontspannen modus kan het domein in de DKIM handtekening hetzelfde zijn of hetzelfde topleveldomein hebben als het domein in het "Van" adres. 

4. Percentagetag opgeven (optioneel)

Dit geeft het percentage e-mails aan dat moet voldoen aan het DMARC-beleid. Een pct=100 betekent dat het gedefinieerde beleid wordt toegepast op 100% van de e-mails. Begin met een lager percentage bij het instellen van DMARC. Na regelmatige controle kunt u dit percentage verhogen.

Geaggregeerde rapportage

Het verzamelrapport DMARC biedt waardevolle gegevens over de resultaten van je e-mailverificatie. Om een geaggregeerd rapport te ontvangen, moet je de RUA-tag instellen. Geaggregeerde rapporten worden dagelijks of wekelijks ontvangen, worden geleverd in XML-indeling en bevatten geen PII (persoonlijk identificeerbare informatie). 

Het rapport geeft informatie zoals het verzendende IP-adres, het aantal e-mails, SPF/DKIM identificaties en resultaten, enz. Het DMARC-record verwijst de rua-tag naar het e-mailadres dat is opgegeven door de domeineigenaar om samengestelde rapporten te ontvangen. Hier is een voorbeeld: 

rua=mailto:[email protected].

Forensische rapportage

Het DMARC-forensisch rapport bevat informatie over individuele e-mails. Hiervoor moet u de RUF-tag instellen in uw DMARC-record. In tegenstelling tot DMARC-aggregatrapporten, die elke 24 uur worden ontvangen, wordt een DMARC-forensisch rapport gegenereerd telkens wanneer de e-mail de DMARC-authenticatie niet doorstaat. Forensische rapporten worden in platte tekst geleverd en kunnen gevoelige informatie bevatten. 

ruf=mailto:[email protected].

Het is ook belangrijk op te merken dat niet alle DMARC-compliant mailbox providers het genereren van DMARC forensische rapporten ondersteunen. 

  1. De Time to Live (TTL) definiëren

Bij de eerste configuratie van DMARC kun je de Time to Live (TTL) instellen op 600 seconden. Dit is handig voor een snellere propagatie. Je kunt de TTL later aanpassen naar 3600 seconden om de frequentie van DNS-query's te verlagen, waardoor de DNS-server minder wordt belast.

DMARC generatoren en tools

Je kunt PowerDMARC's geautomatiseerde DMARC record generator gebruiken om het DMARC-recordgeneratieproces te vereenvoudigen. PowerDMARC biedt verschillende beheerde DMARC-oplossingen, samen met granulaire monitoring en rapportageopties. De combinatie van deze geavanceerde opties helpt u bij het configureren van technische protocollen zoals DMARC, zonder gedoe of extra complexiteit.

Laatste woorden

Het implementeren van e-mailverificatie is van vitaal belang voor het versterken van de beveiliging van uw Salesforce e-mails. Het is aan u om uw domeinen te beschermen tegen op e-mail gebaseerde bedreigingen.

Het instellen van deze e-mailverificatieprotocollen kan ook worden vereenvoudigd met PowerDMARC. Voor meer details over de implementatie kunt u contact met ons opnemen of start uw gratis proefversie nu!

Laatste berichten van Ayan Bhuiya (Bekijk alle berichten)
Laatst bijgewerkt:
5 soorten zwendelpraktijken via e-mails met sociale zekerheid en hoe ze te voorkomen5 soorten zwendelpraktijken via e-mails met sociale zekerheid en hoe ze te voorkomenDMARC beheren: een uitgebreide handleiding