SPF vs DKIM vs DMARC
door
Leestijd: 4 min
Er zijn drie belangrijke protocollen die kunnen worden gebruikt om de authenticiteit van een e-mail te verifiëren: SPF, DKIM en DMARC. Ze dienen allemaal om spoofing te voorkomen - de praktijk om je voor te doen als iemand anders zijn domein om e-mail via hun servers te versturen - en ze hebben elk hun eigen sterke en zwakke punten.
Omdat e-mail een essentiële vorm van communicatie is geworden voor zowel particulieren als bedrijven, is het ook een primair doelwit geworden voor cybercriminelen. Ter bescherming tegen op e-mail gebaseerde aanvallen zoals spam, phishing en spoofing zijn e-mailverificatieprotocollen zoals SPF, DKIM en DMARC ontwikkeld.
In deze blog verkennen we deze drie e-mailverificatieprotocollen, hun verschillen en hoe ze samenwerken om een robuust beveiligingsraamwerk voor e-mail te bieden.
Belangrijkste conclusies
- Het implementeren van SPF, DKIM en DMARC helpt bij de bescherming tegen e-mailspoofing en verhoogt de beveiliging van e-mail.
- SPF controleert welke mailservers e-mails mogen versturen namens een domein.
- DKIM voegt een digitale handtekening toe aan e-mails, om te garanderen dat ze niet zijn gewijzigd tijdens het transport.
- DMARC combineert SPF en DKIM, waardoor domeineigenaren beleidsregels kunnen instellen voor het afhandelen van authenticatiefouten.
- Het gebruik van deze protocollen biedt meer controle over e-mailbeveiliging en verbetert de bescherming tegen phishing-bedreigingen.
1. Afzenderbeleidskader (SPF)
SPF staat voor Sender Policy Framework. Het wordt gebruikt om te controleren of een domein namens een ander domein e-mails mag versturen. Als u bijvoorbeeld een e-mailadres hebt bij [email protected], dan kunt u SPF gebruiken om mensen te laten weten dat u de e-mail vanaf dat domein hebt verzonden. Als uw domein geen SPF-record heeft, zullen sommige servers uw e-mails als spam afwijzen.
Als u bijvoorbeeld het Google Apps-domein van een bedrijf beheert en wilt toestaan dat alleen de servers van Google e-mails verzenden namens uw domein, kunt u het volgende SPF-record toevoegen in uw DNS-instellingen:
v=spf1 include:_spf.google.com -all
Beveiliging vereenvoudigen met PowerDMARC!
2. DomainKeys Identified Mail (DKIM)
DKIM staat voor DomainKeys Identified Mail en wordt gebruikt om de identiteit van de afzender te verifiëren door elke e-mail te ondertekenen met een gecodeerde hashsleutel. Hierdoor weten de ontvangers of de e-mail al dan niet is gewijzigd sinds de verzending ervan, doordat deze handtekening naast elk bericht in hun inbox wordt getoond. Het helpt ook spam te voorkomen door te voorkomen dat spammers valse e-mails versturen onder het mom van de domeinnaam van iemand anders.
Dit is hoe DKIM werkt:
- Ondertekening van het bericht
De mailserver van de afzender voegt een digitale handtekening toe aan de kop van het e-mailbericht. De handtekening wordt gemaakt met behulp van een privésleutel, waartoe alleen de mailserver van de afzender toegang heeft. Deze handtekening is uniek voor het e-mailbericht en verifieert dat de mailserver van de afzender de inhoud van de e-mail heeft goedgekeurd.
- Publiceren van de openbare sleutel
De mailserver van de afzender publiceert de openbare sleutel in de DNS-records van het domein. De openbare sleutel wordt gebruikt om de handtekening in het e-mailbericht te verifiëren.
- Verificatie van de handtekening
Wanneer het e-mailbericht bij de ontvangende mailserver aankomt, haalt de server de openbare sleutel op uit de DNS-records van het domein en gebruikt deze om de handtekening in de e-mailheader te verifiëren. Als de handtekening geldig is, betekent dit dat er tijdens het vervoer niet met de e-mail is geknoeid en dat het bericht als authentiek wordt beschouwd.
Als de handtekening ongeldig is, zal de ontvangende mailserver de e-mail als spam markeren of helemaal weigeren. Dit helpt bij het voorkomen van phishing-aanvallen, waarbij een cybercrimineel zich voordoet als een vertrouwde entiteit om de ontvanger te verleiden tot het vrijgeven van gevoelige informatie of het downloaden van malware.
3. Domain-based Message Authentication Reporting & Conformance (DMARC)
Domain-based Message Authentication, Reporting, and Conformance (DMARC) is een e-mailverificatieprotocol dat zowel SPF als DKIM combineert om een uitgebreidere oplossing voor e-mailbeveiliging te bieden. DMARC stelt domeineigenaars in staat om beleidsregels op te stellen voor hoe e-mailontvangers e-mails moeten behandelen die niet voldoen aan SPF- of DKIM-controles. DMARC werkt door een DNS-record toe te voegen dat e-mailontvangers vertelt hoe ze moeten omgaan met e-mails die niet voldoen aan SPF- of DKIM-controles.
DMARC stelt organisaties ook in staat om berichten te rapporteren die niet voldoen aan verificatiecontroles zoals SPF- of DKIM-fouten, zodat ze actie kunnen ondernemen tegen onbevoegde afzenders die hun domeinen spoofen om onder valse voorwendselen frauduleuze e-mails te versturen.
Hoe kan het gebruik van SPF, DKIM en DMARC in combinatie met elkaar de e-mailbeveiliging van uw domein verbeteren?
Door SPF-, DKIM- en DMARC-protocollen in combinatie met elkaar te implementeren kan de e-mailbeveiliging van een domein aanzienlijk worden verbeterd. SPF verifieert de geautoriseerde mailservers die namens een domein e-mails mogen versturen, terwijl DKIM e-mails ondertekent met een privésleutel en de authenticiteit op de server van de ontvanger verifieert. DMARC biedt een beleidskader voor e-mailverificatie, waarmee domeineigenaren kunnen aangeven hoe mislukte verificatie moet worden afgehandeld, en biedt feedback om mogelijke problemen te helpen opsporen en aanpakken.
Samen bieden SPF, DKIM en DMARC een gelaagde benadering van e-mailverificatie die het aanvallers moeilijker maakt domeinen te spoofen of zich voor te doen als afzenders. Ze bieden domeineigenaren ook meer controle over hun e-mailbeveiliging, helpen hen e-mailaanvallen te voorkomen en zorgen ervoor dat legitieme e-mails met succes worden afgeleverd.
Laatste woorden
Met de toename van de frequentie en complexiteit van cyberaanvallen is het essentieel om e-mailbeveiliging serieus te nemen. E-mailverificatieprotocollen zoals SPF, DKIM en DMARC spelen een cruciale rol bij de bescherming tegen e-mailbedreigingen zoals spam, phishing en spoofing. Door deze protocollen te implementeren kunnen particulieren en bedrijven hun gevoelige informatie beschermen en ongeoorloofde toegang tot hun systemen voorkomen.
E-mailbeveiliging is niet alleen belangrijk voor de bescherming van persoonlijke en bedrijfsgegevens, maar is ook een essentieel onderdeel van het opbouwen van vertrouwen en het onderhouden van relaties met klanten en belanghebbenden. Daarom is het van cruciaal belang proactieve maatregelen te nemen om de veiligheid en integriteit van e-mailcommunicatie te waarborgen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.
Nieuwste berichten van Ahona Rudra (zie alle)
- Microsoft versterkt de regels voor e-mailafzenders: Belangrijke updates die u niet mag missen - 3 april 2025
- DKIM instellen: Stap-voor-stap handleiding voor het configureren van DKIM voor e-mailbeveiliging (2025) - 31 maart 2025
- PowerDMARC erkend als Grid Leader voor DMARC in G2 Spring Reports 2025 - 26 maart 2025
