Artikelen

SPF, DKIM én DMARC: Hoe houd je ze uit elkaar?

Een introductie van e-mailbeveiliging

‍Met DMARC voorkom je spam en phishing. Als het tenminste goed is ingesteld... Om dat te kunnen doen, moet je eerst aan de slag met SPF en DKIM. Maar wat is dat eigenlijk precies?

Het Sender Policy Framework

Mag je deze e-mail wel versturen?

Phishing e-mail wordt vaak uit naam van een bestaand bedrijf verstuurd. Die e-mail komt dan niet écht van dat bedrijf, maar van een mailserver die doet alsof. Met SPF (Sender Policy Framework) wordt de verzender van een e-mail gecontroleerd. Dat gebeurt aan de hand van een SPF record: een lijst met IP-adressen die wél toestemming hebben om namens jouw bedrijf (of bijvoorbeeld je bank) te versturen. Als het IP-adres van de verzender niet op de lijst voorkomt, kan er actie worden ondernomen. Dat kan bijvoorbeeld betekenen dat de mail ongezien weg wordt gegooid. Of dat de mail wordt behandeld als mogelijke spam.

Een mooie verdediging tegen spammers, dus. Maar ook iets dat voor je eigen bedrijf wel goed moet worden ingesteld. Als je je eigen SPF record niet op orde hebt, is het goed mogelijk dat ook jouw e-mails in de spambox verdwijnen.

Op zichzelf is SPF niet genoeg. SPF is bijvoorbeeld geen verdediging tegen het vervalsen van de afzender zoals de lezer die ziet. In combinatie met DKIM en DMARC is SPF echter veel krachtiger.

Alles over SPF »

DomainKeys Identified Mail

Ben je wel wie je zegt dat je bent?

DomainKeys Identified Mail (DKIM) is een techniek om e-mails te voorzien van een cryptografische handtekening. Deze handtekening is onzichtbaar voor een normale ontvanger. Ontvangende mailservers controleren een bericht door de handtekening te vergelijken met de instellingen van de afzender. Klopt het niet? Dan wordt de mail als ongeldig gemarkeerd. Een spamfilter kan op basis daarvan beslissen om de e-mail te blokkeren of te behandelen als mogelijke spam.

Met DKIM weet je dus dat een e-mail écht van die afzender komt. Je kunt dan instaan voor de echtheid van een namens jouw organisatie verzonden bericht.

Op zichzelf is ook DKIM niet genoeg. Geen DKIM handtekening betekent bijvoorbeeld niet automatisch dat een bericht spam is. In combinatie met SPF en DMARC is DKIM echter veel krachtiger.

Domain-based Message Authentication, Reporting, and Conformance

Wat gebeurt er nu met je e-mail?

Met SPF en DKIM heb je nu een belangrijke basis gelegd voor e-mailbeveiliging. Alleen kan het voorkomen dat met deze twee ingestelde maatregelen, e-mail alsnog doorgelaten wordt. Met DMARC voorkom je phishing uit jouw domein voorgoed. DMARC geeft, kortgezegd, bij de ontvanger aan wát er moet gebeuren met e-mails die niet door de SPF en DKIM check heen komen. In het beste geval (bij een policy “reject”), worden malafide e-mails direct verwijderd.

Veelgestelde vragen over DMARC:

Weten hoe jouw e-maildomein beveiligd is? Doe de check!

Beter beveiligd e-mailen

SPF en DKIM zijn van oudsher twee technieken die je in kunt zetten om je e-mail te beveiligen. In de loop der jaren werd echter duidelijk dat er behoefte was aan een extra beveiligingslaag, omdat beide niet voldoen om perfect beveiligd te zijn. Hiervoor is DMARC ontwikkeld. Lees meer over DMARC.

SPF, DKIM en DMARC: hoe houd je ze uit elkaar?

  1. SPF: het op IP-adres controleren van de verzendende mailserver.
  2. DKIM: het controleren van de inhoud van een bericht op basis van een cryptografische handtekening.
  3. DMARC: het vergelijken van SPF en DKIM met de e-mailautorisatie-instellingen van de afzender.

⏴terug naar artikelen