Berichten

E-mail verificatie standaarden: SPF, DKIM en DMARC zijn veelbelovend in het terugdringen van pogingen om e-mail te spoofen en het verbeteren van de bezorgbaarheid van e-mail. E-mailverificatiestandaarden onderscheiden gespoofde (nep) e-mails van legitieme, maar gaan verder door na te gaan of een e-mail legitiem is door de identiteit van de afzender te verifiëren.

Naarmate meer organisaties deze normen overnemen, zal de algemene boodschap van vertrouwen en autoriteit in e-mailcommunicatie zich opnieuw beginnen af te tekenen. Elk bedrijf dat afhankelijk is van e-mailmarketing, projectaanvragen, financiële transacties en de algemene uitwisseling van informatie binnen of tussen bedrijven, moet de basisprincipes begrijpen van wat deze oplossingen moeten bewerkstelligen en welke voordelen zij eruit kunnen halen.

Wat is e-mail Spoofing?

E-mail spoofing is een veelvoorkomend cyberbeveiligingsprobleem waar bedrijven tegenwoordig mee te maken hebben. In dit artikel zullen we begrijpen hoe spoofing werkt en de verschillende methoden om het te bestrijden. We leren meer over de drie verificatiestandaarden die door e-mailproviders worden gebruikt - SPF, DKIM en DMARC - om dit te voorkomen.

Email spoofing kan worden geclassificeerd als een geavanceerde social engineering-aanval waarbij gebruik wordt gemaakt van een combinatie van geavanceerde technieken om de berichtenomgeving te manipuleren en de legitieme kenmerken van e-mail te misbruiken. Deze e-mails zien er vaak volkomen legitiem uit, maar zijn ontworpen met de bedoeling toegang te krijgen tot uw informatie en/of bronnen. Email spoofing wordt gebruikt voor uiteenlopende doeleinden, variërend van pogingen om fraude te plegen, de beveiliging te doorbreken en zelfs om te proberen toegang te krijgen tot vertrouwelijke bedrijfsinformatie. Spoofing-aanvallen zijn een zeer populaire vorm van e-mailvervalsing en hebben tot doel ontvangers te laten geloven dat een e-mail is verzonden door een bedrijf dat zij gebruiken en kunnen vertrouwen, in plaats van de eigenlijke afzender. Aangezien e-mails steeds vaker in bulk worden verzonden en ontvangen, is deze kwaadaardige vorm van e-maildiefstal de laatste jaren sterk toegenomen.

Hoe kan e-mailauthenticatie spoofing voorkomen?

E-mailverificatie helpt u bij het verifiëren van e-mailverzendbronnen met protocollen als SPF, DKIM en DMARC om te voorkomen dat aanvallers domeinnamen vervalsen en spoofingaanvallen uitvoeren om nietsvermoedende gebruikers voor de gek te houden. Het biedt verifieerbare informatie over e-mailverzenders die kan worden gebruikt om hun legitimiteit aan te tonen en aan ontvangende MTA's aan te geven wat te doen met e-mails die niet kunnen worden geverifieerd.

Om de verschillende voordelen van e-mailverificatie op een rijtje te zetten, kunnen we dus bevestigen dat SPF, DKIM en DMARC daarbij helpen:

  • Uw domein beschermen tegen phishing-aanvallen, domein-spoofing en BEC
  • verstrekken van granulaire informatie en inzichten over e-mailverzendbronnen
  • Verbetering van domeinreputatie en e-mail deliverability rates
  • Voorkomen dat uw legitieme e-mails als spam worden aangemerkt

Hoe werken SPF, DKIM, en DMARC samen om Spoofing tegen te gaan?

Beleidskader afzender

SPF is een e-mailverificatietechniek die wordt gebruikt om te voorkomen dat spammers namens uw domein berichten verzenden. Hiermee kunt u geautoriseerde mailservers publiceren, zodat u kunt aangeven welke mailservers namens uw domein e-mails mogen verzenden. Een SPF record wordt opgeslagen in de DNS, met een lijst van alle IP adressen die gemachtigd zijn om mail te versturen voor uw organisatie.

Als je SPF wil gebruiken op een manier die de goede werking ervan verzekert, moet je ervoor zorgen dat SPF niet stuk gaat voor je emails. Dit kan gebeuren als je de 10 DNS lookup limiet overschrijdt, waardoor SPF permerror wordt. SPF flattening kan u helpen onder de limiet te blijven en uw emails naadloos te authenticeren.

DomainKeys Geïdentificeerde Mail

Door u voor te doen als een vertrouwde afzender kunt u uw ontvanger overhalen niet op zijn hoede te zijn. DKIM is een oplossing voor e-mailbeveiliging die een digitale handtekening toevoegt aan elk bericht dat uit de inbox van uw klant komt, zodat de ontvanger kan verifiëren of het bericht inderdaad door uw domein is geautoriseerd en in de vertrouwde lijst van afzenders van uw site is opgenomen.

DKIM voegt een unieke hashwaarde, gekoppeld aan een domeinnaam, toe aan elk uitgaand e-mailbericht, zodat de ontvanger kan controleren of een e-mail die beweert van een bepaald domein afkomstig te zijn, inderdaad door de eigenaar van dat domein is geautoriseerd of niet. Dit helpt uiteindelijk om pogingen tot spoofing op te sporen.

Domeingebaseerde berichtauthenticatie, -rapportage en -conformiteit

Het simpelweg implementeren van SPF en DKIM kan helpen bij het verifiëren van verzendbronnen, maar is niet effectief genoeg om spoofing tegen te gaan. Om te voorkomen dat cybercriminelen uw ontvangers nep-e-mails sturen, moet u DMARC vandaag nog implementeren. DMARC helpt u e-mailheaders op elkaar af te stemmen om e-mailadressen van herkomst te verifiëren, waardoor pogingen tot spoofing en frauduleus gebruik van domeinnamen worden ontmaskerd. Bovendien geeft het domeineigenaren de macht om aan te geven hoe e-mail ontvangende servers moeten reageren op e-mails die niet voldoen aan SPF en DKIM verificatie. Domeineigenaren kunnen kiezen om nep-e-mails af te leveren, in quarantaine te plaatsen of te weigeren op basis van de mate van DMARC handhaving die zij nodig hebben.

Opmerking: Alleen met een DMARC beleid van reject kunt u spoofing stoppen.

Daarnaast biedt DMARC ook een rapportagemechanisme om domeineigenaren inzicht te geven in hun e-mailkanalen en verificatieresultaten. Door uw DMARC-rapportanalyser te configureren, kunt u uw e-maildomeinen op regelmatige basis controleren met gedetailleerde informatie over e-mailverzendbronnen, e-mailverificatieresultaten, geolocaties van frauduleuze IP-adressen en de algemene prestaties van uw e-mails. Het helpt u uw DMARC-gegevens in een georganiseerd en leesbaar formaat te ontleden, en sneller actie te ondernemen tegen aanvallers.

Uiteindelijk kunnen SPF, DKIM en DMARC samenwerken om de e-mailbeveiliging van uw organisatie naar nieuwe hoogten te tillen en aanvallers ervan te weerhouden uw domeinnaam te spoofen om de reputatie en geloofwaardigheid van uw organisatie te beschermen.

Voordat we ingaan op het instellen van DKIM voor uw domein, eerst even iets over wat DKIM is. DKIM, of DomainKeys Identified Mail, is een e-mail authenticatie protocol dat wordt gebruikt om de authenticiteit van uitgaande e-mails te verifiëren. Hierbij wordt gebruik gemaakt van een door uw mailserver gegenereerde cryptografische sleutel, die elk uitgaand e-mailbericht ondertekent. Dit zorgt ervoor dat uw ontvangers kunnen verifiëren dat de e-mails die zij ontvangen, van uw mailserver afkomstig zijn en niet vervalst zijn. Dit kan de bezorgbaarheid verbeteren en spam helpen uitsluiten. Eenvoudig gezegd bevat een e-mail van een DKIM mail server een digitale handtekening, of beter gezegd, een cryptografische handtekening, die kan worden gevalideerd door de e-mail server van de ontvanger.

DKIM is ontstaan door een combinatie van bestaande technologieën zoals DomainKeys (van Yahoo) en Identified Internet Mail (van Cisco). Het is uitgegroeid tot een algemeen toegepaste verificatiemethode, die bekend staat onder de naam DKIM en die ook als RFC (Request for Comments) is geregistreerd door de IETF (Internet Engineering Task Force). Alle grote ISP's zoals Google, Microsoft en Yahoo maken een digitale handtekening die wordt opgenomen in de e-mail header van uitgaande e-mails en valideren inkomende mail met hun eigen beleid.

In deze blog gaan we dieper in op het mechanisme dat DKIM gebruikt om uw e-mails te valideren en de verschillende voordelen daarvan, en leren we hoe u DKIM voor uw eigen domein kunt instellen.

Hoe DKIM instellen om uw domein te beschermen tegen spoofing?

De DKIM handtekening wordt door de MTA gegenereerd en opgeslagen in het lijstdomein. Na ontvangst van de e-mail kunt u de DKIM verifiëren met behulp van de publieke sleutel. DKIM is een authenticatie mechanisme dat de identiteit van een bericht kan aantonen. Deze handtekening bewijst dat het bericht door een legitieme server is gegenereerd.

Dit is vooral nodig omdat het aantal domain spoofing attacks de laatste tijd toeneemt.

Wat is een DKIM handtekening?

Om DKIM te gebruiken, moet u beslissen wat er in de handtekening moet komen. Meestal is dat de body van de e-mail en een aantal standaard headers. U kunt deze elementen niet meer wijzigen, dus kies ze zorgvuldig. Als u eenmaal heeft besloten welke onderdelen van de e-mail in de DKIM handtekening worden opgenomen, moeten deze elementen ongewijzigd blijven om een geldige DKIM handtekening te behouden.

DKIM handtekening, niet te verwarren met DKIM selector, is niets meer dan een verzameling willekeurige tekenreeksen die ook wel "hash waarden" worden genoemd. Wanneer uw domein is geconfigureerd met DKIM, versleutelt uw verzendende e-mailserver deze waarde met een privé sleutel waar alleen u toegang toe heeft. Deze handtekening garandeert dat de e-mail die u verstuurt niet is gewijzigd of vervalst nadat deze is verzonden. Om de DKIM-handtekening te valideren, voert de ontvanger van de e-mail een DNS-query uit om de openbare sleutel op te zoeken. De publieke sleutel is verstrekt door de organisatie die eigenaar is van het domein. Als deze overeenkomt, wordt uw e-mail als authentiek aangemerkt.

Hoe DKIM instellen in 3 eenvoudige stappen?

Om DKIM eenvoudig met PowerDMARC te implementeren hoeft u alleen maar uw DKIM record te genereren met onze gratis DKIM record generator. Uw DKIM record is een DNS TXT record dat in de DNS van uw domein wordt gepubliceerd. Vervolgens kunt u gratis DKIM records opzoeken met onze DKIM record lookup tool. Deze gratis tool biedt een één-klik DKIM controle, zodat u zeker weet dat uw DKIM record foutloos en geldig is. Om het record te genereren, moet u wel eerst uw DKIM selector identificeren.

Hoe identificeer ik mijn DKIM Selector?

Een veel gestelde vraag door domeineigenaren is: Hoe vind ik mijn DKIM? Om uw DKIM selector te vinden, hoeft u alleen maar

1) Stuur een testmail naar uw gmail-account 

2) Klik op de 3 puntjes naast de e-mail in uw gmail inbox

3) Selecteer "toon origineel" 

4) Navigeer op de pagina "Origineel bericht" naar de DKIM handtekening sectie en zoek de "s=" tag, de waarde van deze tag is uw DKIM selector. 

DMARC en DKIM

Een veel voorkomende vraag die u zich vaak stelt is of het implementeren van DKIM voldoende is? Het antwoord is nee. DKIM helpt u weliswaar uw e-mailberichten te versleutelen met een cryptografische handtekening om de legitimiteit van uw afzenders te valideren, maar het biedt geen mogelijkheid voor e-mailontvangers om te reageren op berichten die DKIM niet halen. Dit is waar DMARC in het spel komt!

Domain-Based Message Authentication, Reporting and Conformance (DMARC) is een e-mailauthenticatieprotocol dat domeineigenaren helpt actie te ondernemen tegen berichten die SPF/DKIM-authenticatie niet doorstaan. Dit minimaliseert op zijn beurt de kans op domain spoofing attacks en BEC. DMARC kan samen met SPF en DKIM de deliverability van e-mail met 10% verbeteren en de reputatie van uw domein een boost geven.

Meld u vandaag nog aan bij PowerDMARC om gebruik te maken van uw gratis DMARC analyzer proefversie!

Waarom heb ik DKIM nodig? Is SPF niet genoeg?

Werken op afstand heeft mensen specifiek blootgesteld aan een toenemend aantal phishing- en cyberaanvallen. Meestal zijn het vooral de phishingaanvallen die men niet kan negeren. Ongeacht de hoeveelheid werke-mails die worden ontvangen en verzonden, en ondanks de opkomst van chat- en instant messaging-apps op de werkplek, blijft e-mail voor de meeste mensen die op kantoor werken de bedrijfscommunicatie zowel intern als extern domineren.

Het is echter geen geheim dat e-mails meestal het meest voorkomende ingangspunt voor cyberaanvallen zijn, waarbij malware en exploits in het netwerk en in credentials worden binnengesmokkeld en de gevoelige gegevens worden onthuld. Volgens gegevens van SophosLabs in september 2020 was ongeveer 97% van de schadelijke spam die door de spamvangers werd onderschept, een phishing-e-mail, op zoek naar referenties of andere informatie.

De resterende 3% bevatte een mix van berichten met links naar schadelijke websites of met boobytrap bijlagen. Deze hoopten meestal op het installeren van backdoors, trojans voor toegang op afstand (RAT's), informatiedieven, exploits, of misschien het downloaden van andere kwaadaardige bestanden.

Wat de bron ook is, phishing blijft een behoorlijk beangstigend effectieve tactiek voor de aanvallers, wat hun uiteindelijke doel ook moge zijn. Er zijn enkele krachtige maatregelen die alle organisaties kunnen nemen om na te gaan of een e-mail al dan niet afkomstig is van de persoon en de bron van wie hij beweert afkomstig te zijn.

Hoe kan DKIM uitkomst bieden?

Er moet voor worden gezorgd dat de e-mailbeveiliging van een organisatie in staat is elke binnenkomende e-mail te controleren, die in strijd zou zijn met de authenticatieregels die zijn ingesteld door het domein waar de e-mail vandaan lijkt te komen. DomainKeys Identified Mail (DKIM) helpt bij het controleren van inkomende e-mail, om na te gaan of er niets aan is veranderd. In het geval van e-mails die legitiem zijn, zou DKIM zeker een digitale handtekening vinden die aan een specifieke domeinnaam is gekoppeld.

Deze domeinnaam wordt aan de header van de e-mail toegevoegd, en er is een overeenkomstige encryptiesleutel bij het brondomein. Het grootste voordeel van DKIM is dat het een digitale handtekening onder de headers van uw e-mail zet, zodat de ontvangende servers de headers cryptografisch kunnen verifiëren en de e-mail als geldig en origineel kunnen beschouwen.

Deze headers worden meestal aangeduid als "Van", "Aan", "Onderwerp" en "Datum".

Waarom heeft u DKIM nodig?

Experts op het gebied van cybersecurity stellen dat DKIM in de dagelijkse praktijk hard nodig is om officiële emails te beveiligen. Bij DKIM wordt de handtekening gegenereerd door de MTA (Mail Transfer Agent), die een unieke tekenreeks aanmaakt, de zogenaamde Hash Value.

Verder wordt de hashwaarde opgeslagen in het vermelde domein, dat de ontvanger na ontvangst van de e-mail de DKIM-handtekening kan verifiëren met behulp van de openbare sleutel die in het DNS (Domain Name System) is geregistreerd. Daarna wordt deze sleutel gebruikt om de hashwaarde in de header te ontsleutelen, en ook om de hashwaarde opnieuw te berekenen op basis van de ontvangen e-mail.

Hierna komen de experts erachter dat als deze twee DKIM handtekeningen overeenkomen, de MTA weet dat de e-mail niet is gewijzigd. Bovendien krijgt de gebruiker de bevestiging dat de e-mail daadwerkelijk van het vermelde domein is verzonden.

DKIM, dat oorspronkelijk werd gevormd door het samenvoegen van twee station keys, Domain keys (die van Yahoo) en Identified Internet Mail (van Cisco) in 2004, heeft zich ontwikkeld tot een nieuwe algemeen aanvaarde authenticatietechniek die de e-mailprocedure van een organisatie behoorlijk betrouwbaar maakt, en dat is nu net de reden waarom toonaangevende techbedrijven als Google, Microsoft en Yahoo inkomende e-mail altijd controleren op DKIM-handtekeningen.

DKIM Vs. SPF

Sender Policy Framework (SPF) is een vorm van e-mailauthenticatie die een proces definieert om een e-mailbericht te valideren, een bericht dat is verzonden vanaf een geautoriseerde mailserver, teneinde vervalsing op te sporen en oplichting te voorkomen.

Hoewel de meeste mensen van mening zijn dat zowel SPF als DKIM in organisaties gebruikt moeten worden, heeft DKIM zeker een extra voordeel boven de anderen. De redenen daarvoor zijn als volgt:

  • Bij DKIM publiceert de domeineigenaar een cryptografische sleutel, die specifiek wordt opgemaakt als een TXT record in het algemene DNS record
  • De unieke DKIM handtekening die aan de header van het bericht wordt toegevoegd maakt het bericht authentieker
  • Het gebruik van DKIM blijkt vruchtbaarder te zijn, omdat de DKIM-sleutel die door inkomende mailservers wordt gebruikt om de handtekening van het bericht te detecteren en te decoderen, bewijst dat het bericht authentieker en ongewijzigd is.

Conclusie

Voor de meeste bedrijven zou DKIM niet alleen bescherming bieden tegen phishing en spoofing aanvallen, maar ook helpen bij het beschermen van klantrelaties en merkreputatie.

Dit is vooral belangrijk omdat DKIM een encryptiesleutel en een digitale handtekening levert, die dubbel aantonen dat een e-mail niet vervalst of veranderd is. Deze praktijken helpen organisaties en bedrijven een stap dichter bij het verbeteren van hun e-mail deliverability en het verzenden van veilige e-mail, wat helpt bij het genereren van inkomsten. Het hangt vooral van de organisaties af hoe ze dit gaan gebruiken en implementeren. Dit is zeer belangrijk en relateerbaar omdat de meeste organisaties zich willen bevrijden van cyberaanvallen en -bedreigingen.

Als DMARC dienstverlener, krijgen we deze vraag vaak gesteld: "Als DMARC gewoon SPF en DKIM authenticatie gebruikt, waarom zouden we ons dan druk maken om DMARC? Is dat niet gewoon overbodig?"

Aan de oppervlakte lijkt het misschien weinig verschil te maken, maar de realiteit is heel anders. DMARC is niet zomaar een combinatie van SPF en DKIM technologieën, het is een geheel nieuw protocol op zich. Het heeft verschillende kenmerken die het tot een van de meest geavanceerde e-mail authenticatie standaarden ter wereld maken, en een absolute noodzaak voor bedrijven.

Maar wacht eens even. We hebben nog geen antwoord gegeven op de vraag waarom je DMARC nodig hebt. Wat heeft het te bieden dat SPF en DKIM niet hebben? Nou, dat is een nogal lang antwoord; te lang voor slechts één blog post. Dus laten we het opsplitsen en het eerst over SPF hebben. Voor het geval u er niet mee bekend bent, hier een korte introductie.

Wat is SPF?

SPF, of Sender Policy Framework, is een e-mail authenticatieprotocol dat de e-mailontvanger beschermt tegen gespoofde e-mails. Het is in wezen een lijst van alle IP-adressen die toestemming hebben om e-mail te verzenden via uw kanalen (de eigenaar van het domein). Wanneer de ontvangende server een bericht van uw domein ziet, controleert hij uw SPF-record dat in uw DNS is gepubliceerd. Als het IP-adres van de afzender in deze 'lijst' staat, wordt de e-mail afgeleverd. Zo niet, dan weigert de server de e-mail.

Zoals u ziet, houdt SPF heel goed een heleboel ongewenste e-mails buiten die uw apparaat zouden kunnen beschadigen of de beveiligingssystemen van uw organisatie in gevaar zouden kunnen brengen. Maar SPF is lang niet zo goed als sommige mensen misschien denken. Dat komt omdat het een aantal zeer grote nadelen heeft. Laten we een paar van deze problemen eens bespreken.

Beperkingen van SPF

SPF records zijn niet van toepassing op het Van adres

E-mails hebben meerdere adressen om hun afzender te identificeren: het Van-adres dat u normaal ziet, en het Return Path-adres dat verborgen is en één of twee klikken vereist om het te zien. Als SPF is ingeschakeld, kijkt de ontvangende e-mailserver naar het Return Path en controleert de SPF records van het domein van dat adres.

Het probleem is dat aanvallers hier misbruik van kunnen maken door een vals domein te gebruiken in hun Return Path adres en een legitiem (of legitiem uitziend) e-mailadres in het From gedeelte. Zelfs als de ontvanger de e-mail-ID van de afzender controleert, ziet hij eerst het Van-adres en neemt hij meestal niet de moeite om het Return Path te controleren. De meeste mensen weten niet eens dat er zoiets bestaat als een Return Path-adres.

SPF kan vrij gemakkelijk worden omzeild door deze eenvoudige truc toe te passen, en zelfs domeinen die met SPF zijn beveiligd, worden hierdoor grotendeels kwetsbaar.

SPF records hebben een DNS lookup limiet

SPF records bevatten een lijst van alle IP-adressen die door de eigenaar van het domein gemachtigd zijn om e-mails te verzenden. Zij hebben echter een belangrijk nadeel. De ontvangende server moet het record controleren om te zien of de afzender gemachtigd is, en om de belasting van de server te verminderen, hebben SPF records een limiet van 10 DNS lookups.

Dit betekent dat als uw organisatie gebruik maakt van meerdere derde partijen die emails versturen via uw domein, het SPF record uiteindelijk die limiet kan overschrijden. Tenzij goed geoptimaliseerd (wat niet eenvoudig is om zelf te doen), zullen SPF records een zeer beperkende limiet hebben. Wanneer u deze limiet overschrijdt, wordt de SPF implementatie als ongeldig beschouwd en zal uw e-mail SPF niet halen. Dit kan schadelijk zijn voor de afleveringspercentages van uw e-mail.

 

SPF werkt niet altijd wanneer de e-mail wordt doorgestuurd

SPF heeft nog een kritisch foutpunt dat de bezorgbaarheid van uw e-mail kan schaden. Wanneer u SPF op uw domein hebt geïmplementeerd en iemand stuurt uw e-mail door, kan de doorgestuurde e-mail worden geweigerd vanwege uw SPF-beleid.

Dat komt omdat het doorgestuurde bericht de ontvanger van de e-mail heeft veranderd, maar het adres van de e-mailafzender blijft hetzelfde. Dit wordt een probleem omdat het bericht het Van-adres van de oorspronkelijke afzender bevat, maar de ontvangende server een ander IP ziet. Het IP-adres van de doorsturende e-mailserver is niet opgenomen in het SPF-record van het domein van de oorspronkelijke afzender. Dit kan ertoe leiden dat de e-mail door de ontvangende server wordt geweigerd.

Hoe lost DMARC deze problemen op?

DMARC gebruikt een combinatie van SPF en DKIM om e-mail te authenticeren. Een e-mail moet of SPF of DKIM passeren om DMARC te passeren en succesvol te worden afgeleverd. En het voegt ook een belangrijke functie toe die het veel effectiever maakt dan SPF of DKIM alleen: Rapportage.

Met DMARC-rapportage krijgt u dagelijks feedback over de status van uw e-mailkanalen. Dit omvat informatie over uw DMARC afstemming, gegevens over e-mails die niet geauthenticeerd zijn, en details over mogelijke spoofing pogingen.

Als u zich afvraagt wat u kunt doen om niet gespooft te worden, bekijk dan onze handige gids met de top 5 manieren om e-mail spoofing te vermijden.