Een tijdje geleden is Google begonnen met het controleren van mails die aan Gmail-adressen worden aangeboden. Verzenders die niet aan ten minste een van twee criteria voldoen zien hun mails teruggestuurd worden met een foutmelding. Andere aanbieders van (gratis) mailoplossingen lijken dat voorbeeld te volgen. De snelle oplossing staat in dit artikel.
Die snelle oplossing is (op dit moment) het toevoegen van een SPF-record. Maar Google geeft in de foutmelding ook een andere oplossing aan: Een DKIM-record. In dit artikel kijken we naar de oplossingen die er zijn om te voorkomen dat jouw verzonden mails als spam worden gezien door de ontvanger. En dan gaat het hier vooral om de systemen die de mailprovider van de ontvanger gebruikt, voordat je mail in de Inbox staat.
Wat kan ik zelf doen?
Laten we beginnen met de meest lowtech manier om je mail te beschermen tegen het onterecht herkend worden als spam: De mail zelf.
Naast allerlei blacklists kijkt een spamfilter ook heel simpel naar de mail zelf. Wat staat er in het mailtje, en hoe is het opgemaakt. Daarbij zijn een aantal simpele regels van toepassing:
- Heeft de mail een titel, een subject?
- Staat er daadwerkelijk een bericht in de mail, of is het een lege mail of alleen een link?
- Heeft de afzender een (automatische) groet of afsluiting gebruikt?
- Als er links in de mail zijn opgenomen, leiden die niet naar een verdachte site?
Natuurlijk zijn bovenstaande zaken alleen maar handvaten. Er zijn meer dan voldoende spam mails die aan bovenstaande regels voldoen. Het is dus niet voldoende. Er komt dus uiteindelijk wel techniek bij kijken.
Welke methodes zijn er?
In de inleiding komen de eerste twee afkortingen al voorbij, en dit is het moment dat we er gelijk maar een derde aan toevoegen. De drie methoden die we hier bespreken zijn: SPF, DKIM en DMARC. Alle drie de methodes werken via de DNS (en gelden dus automatisch voor alle e-mailadressen (huidig en toekomstig) op een domein). Omdat alles via de DNS is ingericht wordt het aangeraden om ook DNSSEC te gebruiken.
Laten we de diverse protocollen wat dieper bekijken:
SPF
SPF staat voor Sender Policy Framework. Het idee is dat je in de DNS vastlegt vanaf welke domeinen en servers jouw mail mag worden verzonden. Tijdens het ontvangen kan de mailserver van de ontvanger dan controleren of je mail daar inderdaad vandaan komt. Is dat het geval, dan wordt de mail doorgelaten.
Het SPF-record is een TXT-record in de DNS waarin een aantal dingen worden aangegeven. Hier ons eigen SPF-record:
v=spf1 mx a include:filter.yourdomainprovider.net -all
Het record begint met 'v=spf1'. Daarmee geef je aan dat dit specifieke TXT-record een SPF-record is. De volgende onderdelen zijn 'mx' en 'a'. Deze onderdelen geven aan dat een mail die afkomstig is van een server met het IP-adres dat is geregistreerd in het SPF-record of van een server die is geregistreerd in het DNS-record van het domein, te vertrouwen is.
Het volgende deel is (bij ons) 'include:filter.yourdomainprovider.net'. Dit onderdeel geeft aan dat een mail die afkomstig is van een server die is geregistreerd in het SPF-record van filter.yourdomainprovider.net, ook te vertrouwen is.
Als laatste (en dat is altijd de afsluiter van het SPF-record) staat er '-all'. Dit geeft aan de ontvanger aan wat ze moeten doen met de mail.
Als een mail niet aan de regels voldoet die zijn aangegeven in het SPF-record, wordt deze als spam beschouwd. Er zijn drie mogelijke waarden voor het laatste onderdeel van het SPF-record:
- ?all geeft de opdracht om mail hoe dan ook door te laten, ongeacht de eerdere instellingen in het record.
- ~all geeft de opdracht softfail. Mails van andere servers mogen geaccepteerd worden door de ontvanger, maar de mailcliënt zal aangeven dat het waarschijnlijk spam betreft.
- -all geeft de opdracht om mail af te wijzen als deze niet aan de regels voldoet die zijn aangegeven in het SPF-record.
SPF controleert alleen de verzendende server en het domein van de afzender. Dit betekent dat het niet kan controleren of de inhoud van de e-mail is gewijzigd of vervalst.
- DKIM
Hier komt DKIM te hulp. DKIM staat voor DomainKeys Identified Mail en is een aanvullende beveiligingslaag voor e-mails. DKIM voegt een digitale handtekening toe aan de feitelijke inhoud van de e-mail, inclusief zowel de header als de body. Deze digitale handtekening fungeert als een soort zegel dat aantoont dat de e-mail legitiem is en dat de inhoud ongewijzigd is sinds het is verzonden. Het biedt een manier voor e-mailontvangers om te controleren of de e-mail daadwerkelijk afkomstig is van de vermelde afzender en niet onderweg is gewijzigd of vervalst door spammers of kwaadwillende partijen. Met DKIM wordt dus zowel de verzender als de integriteit van de inhoud van de e-mail beschermd.
- Hoe maak ik een DKIM-record aan?
Een DKIM-record moet worden aangemaakt op de buitenste server van een netwerk. Als je mail via ons verloopt, moet het record worden aangemaakt op onze Baruwa-server, omdat alle mails die via onze mail oplossingen worden verzonden altijd via de spamfilter naar buiten gaan. Dit geldt dus ook als de mailadressen op onze Plesk-servers zijn ingericht.
Helaas is het op dit moment niet mogelijk om zelf een DKIM-record aan te maken op de spamfilter. We zijn bezig om optie te bouwen waarmee de domeinnaam van DKIM kan worden voorzien op de server, waarbij de key gelijk in de DNS staat, maar vooralsnog is het toevoegen van DKIM een optie die via support@metaregistrar.com moet worden aangevraagd.
LET OP! Plesk biedt de mogelijkheid om een DKIM-key aan te maken, die je vervolgens in de DNS kunt zetten, maar omdat de mail vanuit Plesk via de spamfilter naar buiten gaat, is er een kans dat deze key de mail niet goed zal beschermen. Wij doen wel ons best om die kans zo klein mogelijk te houden.
Het is mogelijk om meerdere DKIM-keys in de DNS op te nemen. Als je (zoals hierboven bij SPF al genoemd) ook mail via bijvoorbeeld een facturatie- of nieuwsbrievenpakket verstuurd, kan de leverancier je daarbij ook een DKIM-record doorgeven.
- DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een e-mailauthenticatiestandaard die is ontworpen om de ontvangende e-mailservers te instrueren over de behandeling van e-mails afkomstig van een specifiek domein. Het hoofddoel van DMARC is het verminderen van phishing-aanvallen en e-mailspoofing door de verificatie van e-mails te versterken.
DMARC werkt nauw samen met DKIM (DomainKeys Identified Mail) en SPF (Sender Policy Framework) om e-mailauthenticatie te verbeteren. Het controleert of de DKIM-handtekening van de e-mail geldig is en of de SPF-informatie overeenkomt met de bron van de e-mail. Als zowel DKIM als SPF geldig zijn, wordt de e-mail als geauthenticeerd beschouwd en volgens de DMARC-policy verwerkt.
Domeinbeheerders kunnen DMARC-configuraties aanpassen, zoals het instellen van beleidsrichtlijnen zoals "afwijzen" voor ongeauthenticeerde e-mails, "quarantaine" voor verdachte e-mails, of "monitor" voor rapportage.
Bovendien biedt DMARC rapporten die informatie bevatten over inkomende e-mails, waardoor domeinbeheerders inzicht krijgen in de status van e-mails en problemen kunnen identificeren om de algehele e-mailbeveiliging te versterken.
Kortom, DMARC, in combinatie met DKIM en SPF, werkt om de authenticiteit en betrouwbaarheid van e-mails te vergroten en ervoor te zorgen dat e-mails afkomstig zijn van legitieme bronnen en niet worden vervalst.
DMARC kan nuttig zijn voor mensen met een laag e-mailvolume, maar het kan complex zijn om in te stellen en te monitoren. Het effect ervan kan beperkter zijn voor individuen met weinig e-mails. Overweeg uw technische kennis en bereidheid om tijd te investeren voordat u DMARC implementeert.
Zie ook: