Email authenticatie methoden - de basis achter SPF, DKIM, DMARC, en BIMI

2 apr, 2021
7

Er komt veel meer kijken bij e-mailbeveiliging dan je op het eerste gezicht zou denken. We weten allemaal dat e-mail een van de meest getroffen gebieden is voor phishing naar persoonlijke gegevens en gevoelige informatie.

Hackers worden steeds beter in het maken van authentiek ogende berichten die zo veel mensen om de tuin leiden dat ze op een call-to-action klikken en spoofers de informatie geven die ze zoeken - vaak inloggegevens en financiële toegang.

E-mailverificatie - wat is het?

Verificatie per e-mail is het systeem dat is ontworpen om uw reputatie te beschermen door bij het verzenden van een e-mailcampagne te controleren of u bent wie u zegt dat u bent. De vier concepten zijn eenvoudig genoeg, maar het instellen van elk van de methoden kan lastig zijn. De gecombineerde bescherming is echter zo goed als u met onze huidige systemen kunt realiseren.

Wat zijn de mogelijke methoden?

De vier typische e-mailauthenticatiemethoden zijn tegenwoordig de volgende:

  1. SPF - kader voor afzenderbeleid
    Deze norm voert de oorspronkelijke controle uit om er zeker van te zijn dat elke e-mail afkomstig is van een vertrouwd IP-adres.
  2. DKIM - DomainKeys Identified Mail
    Nog een identiteitscontrole, maar deze keer met een encryptiesleutel als digitale handtekening.
  3. DMARC - Domain Message Authentication Reporting and Conformance
    DMARC zorgt ervoor dat de e-mail voldoet aan zowel SPF als DKIM voordat ze worden afgeleverd.
  4. BIMI - Merk Indicatoren voor Boodschap Identificatie
    BIMI voert nog een laatste controle uit, waarbij de nadruk ligt op de geloofwaardigheid van de afzender en de weergave van het merkimago van de afzender in de inbox van de ontvanger (waar dit momenteel wordt ondersteund).

Verderop gaan we dieper in op elk van deze, maar eerst gaan we uitleggen waarom ze zo belangrijk zijn en hoe ze werken.

Hoe werkt e-mailverificatie?

Elk van de verificatiemethoden (SPF DKIM DMARC BIMI) past een beveiligingslaag toe op uw e-mails, waarbij uw e-maildomein wordt gebruikt om te verifiëren dat u bent wie u beweert te zijn.

  1. De verzender bepaalt het beleid/de regels van hoe zijn domein wordt geauthenticeerd.
  2. Vervolgens configureren zij de DNS- en e-mailservers van het domein om die regels uit te voeren.
  3. Ontvangende servers verifiëren binnenkomende e-mail door deze te toetsen aan de regels die in de DNS van het domein zijn vastgelegd.
  4. Wanneer de authenticatie mislukt, wordt het bericht geblokkeerd, in quarantaine geplaatst of beheerd in overeenstemming met de authenticatie-uitspraak.

Wat zijn de voordelen?

Zoals u ziet, loopt u, als u uw e-mailverificatie niet instelt, een risico op geweigerde e-mails, hogere spampercentages en lagere afleveringspercentages.

Uw zorgvuldig doordachte, mooi ontworpen en opgemaakte berichten maken veel minder kans om te belanden in de inboxen waarvoor ze bedoeld zijn.

Erger nog, zonder e-mailverificatiemethoden is uw merk veel gemakkelijker te vervalsen, waardoor u en uw klanten kwetsbaar worden voor e-mailaanvallen, hacks en phishing.

E-mailverificatie instellen

Om uw domein in te stellen om elke authenticatie methode te beheren, heeft u toegang nodig tot de DNS instellingen (Domeinnaam Systeem) via uw domeinregistratiedienst.

Zodra u de DNS-instellingen opent, voegt u verschillende TXT- en CNAME-records toe aan uw domein.

Om de waarden van uw domeininstellingen te achterhalen, dient u contact op te nemen met uw e-mail hosts. Zij zullen u voorzien van de instellingen voor uw SPF records, uw DKIM selector genereren vanuit hun hosting omgeving, en u laten zien hoe u uw DMARC beleid kunt implementeren, aangezien hosts vaak verschillen in hoe ze zijn geconfigureerd.

U voegt nog een TXT record toe om een BIMI record op te nemen, inclusief het pad naar uw merk beeldbestand.

SPF - kader voor afzenderbeleid

SPF is de standaardauthenticatie die in de begindagen van de e-mailontwikkeling is gecreëerd. Waar het ooit geschikt was voor vroege e-mail systemen, heeft het verschillende problemen voor moderne e-mail methoden. Daarom is het noodzakelijk om alle vier de methoden te gebruiken om een vorm van volledige dekking te bieden.

SPF-records worden in platte tekst opgeslagen in de DNS van het domein en dicteren de IP-adressen met toestemming om vanaf het domein te verzenden.

Wanneer de e-mailserver van de ontvanger een DNS lookup uitvoert om het SPF record op te halen, gebruikt hij de waarde in het retourpad van het bericht.

Problemen met SPF-authenticatie

Syntaxis - Ondanks dat het tekst records zijn, zijn de De syntax kan lastig worden bij het invoeren van de DNS records. Als ze niet nauwkeurig zijn, zal de authenticatie mislukken, zelfs als het bericht en de afzender echt zijn.

Het identificeren van goedgekeurde IP-adressen - Gedeelde systemen, zoals cloud-platforms, kunnen meerdere diensten hosten met dynamisch toegewezen IP-adressen. Hoewel het IP bepaald en geautoriseerd kan worden, kan het ook iemand anders toestaan hetzelfde gedeelde IP te gebruiken door gebruik te maken van uw SPF record.

SPF kan worden vervalst - SPF gebruikt het verborgen retourpadveld voor verificatie - niet het "van" veld, dat ontvangers duidelijk kunnen zien. Een hacker, die phishing naar informatie doet, kan een geldig uitziend domein en e-mailadres in het "van"-veld presenteren, maar zijn eigen e-mail als retourpad hebben, en zijn eigen authenticatiesysteem gebruiken om door de servercontroles heen te komen.

SPF ondersteunt het doorsturen van e-mail niet - Een ontvangende server zal een doorgestuurd bericht niet kunnen valideren omdat het identificerende domein dat van de doorsturende server lijkt te zijn en niet het oorspronkelijke domein.

Zoals u ziet, vertoont wat ooit een aanvaardbare methode was, nu aanzienlijke gebreken. Het biedt de basis om op voort te bouwen voor een betere algehele beveiliging. Maar als een op zichzelf staande methode is het gewoon niet genoeg in de technologie van vandaag.

DKIM - DomainKeys Identified Mail

DKIM gebruikt openbare/privésleutelcodering om e-mailberichten te ondertekenen. Hiermee wordt gecontroleerd of de e-mail afkomstig is van het domein en of de e-mail onderweg niet is gewijzigd.

Het is een veiligere verificatiemethode, omdat u er zeker van kunt zijn dat het bericht tijdens de aflevering niet is gewijzigd. Een ander voordeel is dat DKIM verificatie e-mail doorsturen overleeft.

De domeineigenaar maakt cryptografische sleutels aan in paren: openbare en privé-sleutels. De publieke sleutel wordt als een TXT record op de DNS van het domein geplaatst. Wanneer een e-mail wordt verzonden, wordt een "hash" gegenereerd op basis van de inhoud van het bericht. Deze hash wordt versleuteld met de privésleutel van het domein en aan de header van de e-mail toegevoegd.

De e-mailserver van de ontvanger leest de geëncrypteerde informatie met behulp van de publieke sleutel die in de DNS is gehost, en als alles overeenkomt, wordt de authenticatie toegekend.

DKIM-selectors

Elk domein kan verschillende selectors gebruiken. Deze waarden worden gebruikt om unieke eigenschappen te identificeren, bijvoorbeeld subdomeinen, gebruikers, locaties en diensten. Elke selector werkt met zijn eigen publieke sleutel, zodat er één gedeelde sleutel is voor alle eventualiteiten.

Problemen met DKIM-verificatie

Verkeerd afgestemde handtekeningen - Een geldige DKIM handtekening kan een heel ander domein gebruiken dan dat in het 'van' veld. Dit maakt phishing vanaf een ander e-maildomein een eenvoudige proces.

Sleutelbeveiliging - Een hacker die berichten ondertekent met het domein van een andere gebruiker, kan zijn e-mails perfect laten valideren met de privésleutel van dat domein.

Implementeren en beheren van sleutels - Langere, beter beveiligde sleutels kunnen problemen opleveren bij toepassing op het domein DNS. Deze lange reeksen gegevens worden gemakkelijk verkeerd toegepast, zelfs bij kopiëren en plakken.

Om het beste uit DKIM te halen, moet het worden gekoppeld aan DMARC, waarbij het domein dat in het veld "van" wordt gebruikt, een rol speelt. U ziet nu hoe elk systeem afhankelijk is van zijn vorige methode om een compleet en effectief authenticatiesysteem te creëren.

DMARC - Domain Message Authentication Reporting and Conformance

Zoals reeds vermeld, dwingt DMARC het gebruik af van het domein ingesteld in het from veld om voorkomen hackers en aanvallers kunnen alternatieve domeinen gebruiken om veiligheidscontroles te omzeilen.

Het bevat ook een rapporteringsmechanisme dat de verzender toelaat te beslissen wat te doen met de resultaten van de authentificatie. Het DMARC record regelt waar en hoe de ontvangende servers rapporten sturen.

In feite vult DMARC de gaten op tussen SPF en DKIM en verbetert het de deliverability van e-mail. Spammers kunnen deze beschermde domeinen niet langer misbruiken; de reputatie van het domein wordt dus opgebouwd, waardoor de deliverability steeds beter wordt.

DMARC Handhaving

Het DMARC record dicteert wat er gedaan moet worden met e-mails die niet geauthoriseerd kunnen worden. Het beleid heeft drie uitkomsten: niets doen, in quarantaine plaatsen of weigeren. Een DMARC rapport waarschuwt de domeinhouder waar zulke mislukte berichten vandaan komen, en geeft kritieke informatie over de overtreding en wat ze kunnen doen om verdere beschermende stappen te nemen.

BIMI - Merk Indicatoren voor Boodschap Identificatie

Gehoopt wordt dat de invoering van BIMI e-mailauthenticatie de betrokkenheid bij de bezorgbaarheid met ongeveer 10% zal doen toenemen - en dat is niet zomaar een getal dat lichtvaardig moet worden opgevat.

Aangezien deze verificatiemethode nog in de kinderschoenen staat en nog door veel e-mailproviders moet worden ingevoerd, kunnen gebruikers een aantal stappen ondernemen om ervoor te zorgen dat ze klaar zijn voor een grootschalige uitrol wanneer deze methode eindelijk op onze servers komt.

Eén ding is zeker, aangezien Google BIMI integreert in G Suite, zou het slechts een kwestie van tijd moeten zijn voordat de rest van de wereld ons inhaalt.

Hoe bereid je je voor op BIMI?

Om BIMI e-mail authenticatie te activeren, moet u eerst uw e-mails authenticeren met SPF, DKIM, en DMARC, waarbij u zorgt voor alignment (het domein is overal hetzelfde). DMARC beleid moet worden afgedwongen op quarantaine of weigeren, en het DNS van het domein moet het juiste BIMI record hebben.

U moet ook een geschikt logobestand hosten als link voor de resulterende verificatie die in de inbox van uw ontvangers wordt weergegeven. Uw logo moet in het juiste SVG-formaat zijn en eventueel een VMC (Verified Mark Certificate) om het bestand te authenticeren.

Volledige authenticatie voor uw e-mailcampagnes

Wij hebben geleerd dat elk van deze methodes op zichzelf geen one-stop-oplossing biedt om het leven eenvoudig te maken. Echter, met een beetje werk om elk van de systemen samen te brengen als één, zult u veel zekerder zijn in de levering van uw e-mailcampagnes en berichten dan je zou kunnen ooit zonder hen zijn.

Het is de tijd en moeite die het kost waard als het de bescherming van uw dienst, uw abonnees en verhoogt de connectiviteit en het rendement van uw marketing.

Lijn en stippen

Meest populair op onze Blog

Blogbericht Uitsmijter

Hoe te controleren of een e-mailadres echt of vals is: Een handleiding

Izabela Harbarczyk
Lees meer
Blogbericht Uitsmijter

Controleren of een e-mailadres geldig is: De ultieme gids

Izabela Harbarczyk
Lees meer
Blogbericht Uitsmijter

Een e-mailaccount: De enige gids voor beginners die je nodig hebt

Izabela Harbarczyk
Lees meer
Blogbericht Uitsmijter

Wat zijn verzendlimieten in Gmail? Alle vragen beantwoord

Izabela Harbarczyk
Lees meer