Wie is de afzender van jouw e mail? - Deel 2

Ben jij de enige die e-mail namens jou kan versturen?

Spammers proberen uit naam van andere personen te mailen door het gebruik van e-mailadressen van bestaande gebruikers of versies die daarop lijken. Dit doen ze omdat ontvangers door deze constructie kunnen denken dat de zo juist ontavgen e-mail door een bekende werd verstuurd en deze e-mail dus te vertrouwen is. Dat dit kan, komt doordat het e-mailprotocol niet standaard controleert of degene die de e-mail verzendt dat wel namens dat domein mag doen.

 

Herhaling
Wij hebben in het voorgaande deel gezien dat een SPF-record een toevoeging is aan het DNS. We weten nu dat het controleren van de afzender mogelijk is, zodat e-mail die uit niet-vertrouwde bronnen komt als spam weg gefilterd wordt. Let daarbij op het gebruik van 'kunnen wegfilteren': dat dit ook gebeurt is aan de ontvangende partij. Hou er dus rekening mee dat een SPF-record de ontvangende partij alleen helpt bij het controleren of ze het e-mailbericht kunnen vertrouwen, want er zijn altijd meer factoren die ervoor zorgen dat een e-mail als spam wordt tegengehouden.

 

Stappenplan: Hoe zet je succesvol SPF-records in?

1. Inventariseer hoe al jouw e-mails worden verstuurd.

Denk daarbij aan:

  • Eigen e-mail servers
  • Cloud e-mail providers
  • Zelf gehoste applicaties
  • Applicaties van 3e partijen als ticketing diensten
  • Cloud servers die andere applicaties van jou draaien en bijvoorbeeld notificaties versturen

 

Eigen e-mail servers
Als jezelf een eigen mailserver hebt, dan draai je op deze machine speciale software voor het versturen van e-mails. Dat kan Kopano, MS Exchange zijn of een ander pakket. Let bij het beheer van eigen servers altijd op welke machine de e-mails daadwerkelijk verstuurt. Dat kan via een centrale mailserver gebeuren die los staat van de machine waarop Kopano of MS Exchange draait. Neem de machine die daadwerkelijk voor de mailafhandeling naar buiten zorgt mee in de SPF-record.

 

Cloud e-mail providers
Voor vereenvoudigen van zaken kiezen partijen voor Cloud e-mail providers zoals ECM2 en Google. Deze bieden diensten aan waardoor jij als gebruiker minder te maken hebt met zaken als beheer, monitoring en back-ups. Let op dat cloud e-mail providers alleen de mailboxen en mailafhandeling zelf aanbieden; het DNS moet je zelf blijven beheren. Elke aanbieder zal vertellen via welke IP-adressen en/of machines zij hun mail versturen. Neem die ook mee in de SPF-record.

 

Zelf gehoste applicaties
Heb je zelf lokaal een aantal applicaties draaien en versturen die ook e-mail, ga dan na hoe die e-mail naar buiten gaat. Versturen die ook via de centrale mailserver, dan neem je die mee in de SPF-record. Versturen ze elk rechtstreeks hun e-mails naar buiten, dan dien je elke machine mee te nemen in de SPF-record.

 

Applicaties van 3e partijen als ticketing diensten en andere web applicaties
Web applicaties zijn populair. Sommige van deze applicaties moeten ook kunnen mailen voor communicatie namens de organisatie naar interne en externe contactpersonen. Probeer ook hier te achterhalen vanaf welke machines zij hun e-mail versturen en neem die mee in de SPF-record. Cloud servers die applicaties van jou draaien Deze software moet waar dan ook vanaf elk apparaat toegankelijk zijn en op een willekeurige locatie. Zakelijke applicaties zoals CRM hebben vaak een e-mail functionaliteit en daardoor moet je deze machines ook meenemen in de SPF-record.

 

2. Maak het overzicht en pas je DNS aan

Na de inventarisatieronde heb je een lijst met servers waarvandaan e-mail namens jouw domeinnaam verstuurd wordt. Deze lijst gebruik je bij het samenstellen van een SPF-record. Is de lijst erg lang, onthoud dan dat er maximaal 10 onderdelen in een SPF-record kunnen staan. Ook wil je misschien meer grip op het versturen van e-mails. Je kunt er dan voor kiezen om meer e-mails via de centrale mailserver te laten lopen. Je krijgt hierdoor meer grip op de verzonden e-mails én de SPF-record zit niet aan de limiet, waardoor deze beter zal werken.

 

Voorbeeld van een SPF-record

De lijst kan bijvoorbeeld resulteren in de volgende SPF-record:

v=spf1 a mx ip4:ip4:47.225.23.099 ip4:67.191.392.010 include:spf.emailservice.com -all

 

Verklaring van deze record

  • Deze record begint met "v=spf1", dat geeft aan dat we met een SPF-record te maken hebben.
  • We zien in deze record ook een "a" staan. Dat laat zien dat de mail verzonden mag worden vanaf de machines waarnaar de A-records van jouw domein verwijzen.
  • "mx" geeft aan dat de e-mail verzonden mag worden vanaf de machines waarnaar de MX-records van jouw domein verwijzen.
  • De "ip4"-adressen die je hebt gespecificeerd geven die specifieke adressen ook het recht om e-mail te versturen vanaf jouw domeinnaam waarvoor deze SPF-record geldt. In dit geval kunnen de ip4-adressen gelden voor zelfgehoste applicaties in jouw cloud.
  • "include:spf.emailservice.com" verwijst naar een record in de DNS van "emailservice.com", namelijk "spf.emailservice.com". Die partij heeft ook een SPF-records aangemaakt om daarmee de mailservers die zij gebruiken te bundelen. Dat vereenvoudigt het beheer voor jou, maar je moet die partij natuurlijk wel vertrouwen, omdat zij de inhoud op elk moment kunnen wijzigen.
  • Aan het einde van de regel staat een fail "-all" aangegeven. Daarmee geef je aan wat er moet gebeuren met e-mail die aan geen van de voorgaande verwijzingen voldoet. Zie hieronder welke opties er zijn.

 

Softfail, fail of neutral
Door het instellen van een softfail (~all), fail (-all) of neutral(?all) geef je aan de ontvangende server door wat je van deze verwacht te doen (niet verplicht) tijdens het verwerken van de binnengekomen e-mails die niet aan de SPF voldoen. Neutraal geeft aan dat de ontvanger alle e-mails accepteert, ondanks dat ze niet door de SPF komen. Softfail geeft aan dat de ontvanger e-mails die niet voldoen aan de SPF mag accepteren, maar dat dat voor extra logging kan zorgen. Fail geeft aan dat de ontvanger e-mails die niet voldoen aan de SPF niet mag accepteren.

 

3. Verdere tips en opmerkingen

Een handige tool
Via mxtoolbox.com kan je controleren of jouw SPF-record foutloos is en krijg je nog eens extra uitleg over wat je hebt ingesteld. Let op dat jouw domeinnaam goed is ingevoerd. Je kunt ook gebruikmaken van de andere handige tools op deze website zoals MX lookup of Diagnostics. Bekijk deze website goed, want de functies die zij aanbieden zijn handig bij het controleren van MX- en SPF-records en andere gegevens in je DNS.

 

DKIM of DMARC
Momenteel gebruiken wij nog geen DKIM of DMARC omdat het instellen een specifieke configuratie vereist, wat niet eenvoudig te implementeren is. Deze technieken werken alleen als de configuratie volledig en foutloos is opgezet en alle situaties omvat. Dat is complex en foutgevoelig. In de toekomst willen wij dit wel beschikbaar maken voor onze klanten, waarbij we extra aandacht besteden aan het opzetten.

Echter deze methodes zijn niet afdoende om zeker te weten dat niemand uit jouw naam kan versturen. Ook na het toepassen van deze maatregelen kan iedereen nog steeds uit jouw naam e-mail versturen, en is het aan de ontvanger om te bepalen of ze deze accepteren of niet. SPF, DKIM en DMARC zijn slechts suggesties, niet iets waar een ontvanger zich aan dient te houden.

 

Slechts een suggestie
Nogmaals, voor de zekerheid, SPF-records, DKIM en DMARC zijn slechts suggesties waar de ontvanger mee kan en mag doen wat deze wilt. Je kunt dus aangeven dat e-mails niet geaccepteerd mogen worden, maar als de ontvanger daar niet op controleert en/of niet op acteert, dan komen ze alsnog aan. Alle serieuze partijen controleren tegenwoordig echter op SPF-records, dus ga er maar vanuit dat de meeste ontvangers zich ondertussen houden aan de SPF-records.

 

Betrouwbaarheid van deze records
Een extra aandachtspunt is het DNS systeem. Zowel SPF als DKIM werken via DNS-records. De betrouwbaarheid daarvan valt of staat bij de toegang van onbevoegden tot dit systeem voor jouw domein. Zorg er voor dat alleen bevoegden toegang hebben. Het DNS is alleen betrouwbaar als deze via DNSSEC loopt. Daarmee wordt (de inhoud van) het DNS systeem beveiligd en weet je zeker dat de DNS records die iemand gebruikt ook afkomstig zijn van jouw DNS. Let op dat de extensie (.nl, .com, etc) en dat de partij die jouw DNS beheert dat ook ondersteunen. Alleen dan kan je daarop vertrouwen.