Email Deliverability
Basics
Email Deliverability
Basics
Het Internet is al lange tijd een plaats waar scammers, phishers en andere soorten cybercriminelen hun gang gaan. Helaas maakt e-mail daar ook deel van uit. Zonder fatsoenlijke authenticatie en beveiliging zijn e‑maildomeinen namelijk sterk vatbaar voor dit soort praktijken, beter bekend onder de naam spoofing.
Dat zorgt er niet alleen voor dat je op een blacklist terecht kunt komen, maar is ook schadelijk voor je merkreputatie, je klanten en dus ook je omzet. Wanneer je blijft e‑mailen volgens de 'traditionele' methode, is jouw bedrijf niet beschermd tegen misbruik van je domein en laat je het, kort gezegd, toe dat anderen nepmails namens jouw bedrijf versturen. Dat is waarom je jouw e‑maildomeinen nu moet gaan beveiligen.
Om je daarbij te helpen, neemt deze gids je mee naar de wereld van e‑mail authenticatie. In de volgende vijf stappen gidsen we naar een veilige e‑mailomgeving voor je merk én voor je klanten:
Het is voor veel otvangers lastig om e‑mails te onderscheiden. Welke e‑mails komen van een legitieme verzender, welke niet? Hoe vaak banken ook waarschuwen over valse e‑mails en attenderen op het feit dat ze nooit om persoonlijke gegevens zullen vragen in een e‑mail: er blijven mensen in de nepmails geloven. Niet alleen de financiële wereld lijdt onder deze vorm van criminaliteit. Een hoop phishingactiviteiten wordt verzonden naar willekeurige e‑mailadressen, in de hoop zo geld of data binnen te hengelen. Die phishers gebruiken dan een legitiem e‑mailadres, waardoor het lijkt alsof ze van een echt bedrijf komen.
Je wilt logischerwijs niet ten prooi vallen aan dit soort praktijken, maar daarvoor moet je wel weten hoe je jezelf er tegen kunt weren. Door met de basis van e‑mailaflevering te beginnen, leren we je stap voor stap actie nemen tegen phishing.
Voor deze gids is het enkel belangrijk de basis van e-mailaflevering te begrijpen. In een latere gids duiken we dieper in het onderwerp. Voor nu is het begrijpen van hoe een e‑mail van de ene naar de andere mailbox verplaatst voldoende om de rest van de gids te begrijpen.
Wanneer persoon A een e‑mail wil versturen naar persoon B, gebeurt het volgende:
A stelt een bericht op, welke door verschillende systemen B bereikt. Het bericht dat zij opstelt, de e‑mail, ontvangt een digitale envelop van haar mailserver. De mailserver van B leest diezelfde envelop, gooit die weg en laat B de inhoud van het bericht lezen. Hierin speelt de envelop dus een cruciale rol.
Dit proces is te vergelijken met het sturen van een brief. De brief die jij ontvangt, hoeft niet overeen te komen met de envelop waarin hij verstuurd is. Op een envelop staat, net als in elke e‑mail, een 'From'- en een 'To' adres. Oftewel: wie verzendt en wie ontvangt. Als die niet overeenkomen met de namen op de brief zelf, gaat er wel een belletje rinkelen. In een mailbox krijgt een ontvanger echter nooit de envelop te zien, en de mailserver nooit de brief. Als ze dus niet overeenkomen, zul jij dat als ontvanger niet weten. Hier ligt de kans om misbruik te maken van e‑maildomeinen.
Standaard e‑mailprotocollen hebben geen mechanisme om de e-mails die verstuurd worden te authentificeren. Dat maakt het vrij gemakkelijk om misbruik te maken van de bovenstaande situatie. Nu je weet dat er een daadwerkelijk verschil is tussen wat je ziet en wat je ontvangt, heb je waarschijnlijk ook al wel een manier gevonden om e‑mails te kunnen vervalsen. Als je twee afzenderadressen gebruikt, kun je er logischerwijs één namaken. Dat is wat met phishing ook gebeurt. De afzendernaam op de brief wordt vervalst en de ontvanger gelooft dat het een officiëel bericht van bank X of verzekeraar Y is.
In diezelfde e‑mailprotocollen wordt de inhoud van een e‑mail niet gecontroleerd. Met moderne IT en security wordt deze techniek inmiddels wel door mailservers gebruikt, maar nog niet door alle. De vraag die hierbij rijst is namelijk of het wel wenselijk is dat Email Service Providers door de inhoud van al onze e‑mails heengaan. Daardoor is en blijft het voor ontvangende mailservers lastig om legitieme van nepmails te onderscheiden.
Een nadeel van deze afwezige authenticatiemechanismen is dat anderen uit jouw naam kunnen e‑mailen, zonder dat jij dat zelf wilt of doorhebt. Door zich voor te doen als jou of jouw bedrijf, hengelen ze bijvoorbeeld naar gegevens van jouw klanten. Het voordoen als iemand anders noemen we spoofing, het hengelen noemen we phishing.
Spoofing opent de deur voor onrechtmatige verzenders om e‑mails aan te laten komen bij nietsvermoedende ontvangers. Een 'populair' doelwit is de ontvanger. Hierbij gaat het om het achterhalen van gegevens van de klant of het initiëren van een betaling naar een fout rekeningnummer. Bekende voorbeelden zijn de 'Nigeriaanse prinsen', een verzamelnaam voor personen die zich voordoen als een vooraanstaand persoon uit een ander land. Nog steeds vallen duizenden mensen ten prooi aan dit soort scams, resulterend in honderdduizenden euro's per jaar aan schade.
Phishing gaat net een stap verder dan deze scam. Hierbij wordt namelijk een e-maildomein gespoofed om vervolgens daar vanuit te e‑mailen. Vroeger werden vaak rekeninghouders van banken hier het slachtoffer van, nu is de target list van cybercriminelen behoorlijk uitgebreid: alle bedrijven die bankinformatie, persoonlijke gegevens of andere gevoelige details vragen van klanten, zijn interessant. Hierdoor is ook ieder bedrijf dat e‑mailauthenticatie niet voldoende op orde heeft gevoelig voor spoofing.
Op een meer globale schaal is de laatste populaire vorm van spoofing ‑ de virusmail. Hoewel dit voornamelijk in de vroege tijden van e‑mail gebeurde, zijn er nog steeds gevallen van in deze tijd. Ontvangers krijgen hierbij een e‑mail met bijlage in hun inbox van een ogenschijnlijk bekend persoon, die ze vervolgens openen. De bijlage lijkt onschuldig, maar betreft in de realiteit een virus of worm, welke zich razendsnel kunnen verspreiden.
Omdat nog steeds veel mensen onwetend vallen voor de trucjes van cybercriminelen en e‑mail ze niet beschermt, blijven tegenmaatregelen continu ontwikkelen. Zelfs als je nu nog denkt dat het jou of je bedrijf niet zal overkomen, zijn er wellicht wat indirecte gevolgen van een 'slechte' authenticatie.
Wanneer je e‑mails plots niet meer in de inbox aankomen, maar jijzelf nooit spam gestuurd hebt en je complaint rate minimaal zijn, ben je wellicht op een blacklist beland. Dit gebeurt wanneer een IP adres / server verdacht wordt van het veelvuldig versturen van spam. Blacklisting resulteert in het niet meer kunnen afleveren van je e‑mail, dus ook de legitieme niet meer. Wanneer je je IP adres deelt met een beruchte spammer, kan dit je overkomen zonder dat je er zelf bewust van bent. De kans hierop is niet bijzonder groot, maar wanneer het gebeurt, wil je weten wat je moet doen.
Over de jaren is er op e-mailbeveiligingsgebied het een en ander ontwikkeld om de e‑mailprotocollen een handje te helpen. Eerder in deze gids werd het verschil tussen wat je ziet en wat je ontvangt al genoemd, en hoe dit misbruikt kan worden. Om je e-maildomeinen te beschermen tegen phishing, zul je vanuit dat principe moeten beginnen. SPF is daarmee het eerste protocol dat je zult moeten toepassen.
In de instellingen van een e‑maildomein (DNS) kan de eigenaar aangeven welke IP‑adressen namens het domein mogen e‑mailen. IP-adressen die hier niet mee overeenkomen, maar wel pogen names dat domein te e-mailen, kunnen hierdoor worden herkend en mogelijk geweigerd. Het protocol dat dit toestaat, noemen we het Sender Policy Framework (SPF). Op het moment dat een e-mail niet door de SPF check van een ESP heenkomt, kan die e‑mail dus geweigerd worden.
Kan, want het is mogelijk nog steeds een legitieme e-mail. SPF records zijn moeilijk up-to-date tehouden, doordat grotere merken vaak nieuwe e-mailstromen toevoegen of van service provider wisselen. Een oud SPF record omvat die nieuwe stromen of provider niet, waardoor het die uitsluit. Zo komen je nieuwe, maar legitieme e-mails niet aan bij de ontvanger.
ESPs weten dat ook, waardoor zelden een e‑mail geweigerd wordt, puur gebaseerd op SPF. Daarnaast heeft het enkel beschermen van 'de envelop' geen invloed op het feit dat de ontvanger enkel het bericht kunnen lezen. Wanneer enkel SPF gebruikt wordt, is het voor spoofers nog steeds gemakkelijk om zich voor te doen als iemand anders. Daar komt DKIM om de hoek kijken.
Op het moment dat de server de envelope heeft verwijderd, blijft alleen het bericht nog over. DomainKeys Identified Mail (DKIM) is een e‑mailauthenticatieprotocol die garandeert dat de voorgenomen afzender ook daadwerkelijk zelf de e‑mail heeft verstuurd. Door middel van een handtekening signeert DKIM de e‑mail en laat de ontvangende mailserver weten dat het goed zit.
Net als SPF worden publieke DKIM sleutels gepubliceerd in de DNS. Om daarin fatsoenlijk te kunnen functioneren, kan een DKIM key niet te lang zijn. Hierdoor wordt deze echter wel gevoeliger voor hacks of factorisatie.
Als je e‑mailbeveiliging en ‑authenticatie serieus neemt, laat je dat aan de wereld weten met een DMARC record. Het Domain‑based Message Authorization, Reporting & Conformance-protocol zorgt ervoor dat jouw legitieme e‑mails aankomen in de inbox en dat je klanten beschermd zijn voor phishing.
Met een functioneel DMARC record (dat check je hier) laat je aan de ontvangende mailserver weten wat er moet gebeuren met e‑mails die niet overeenkomen met de domeininstellingen. Daarvoor heb je als domeineigenaar drie opties:
De laatste is daarbij de meest ideale situatie. Met reject ben je namelijk al zover dat jouw domein absoluut niet meer gebruikt kan worden om nepmails te versturen. Helaas is de implementatie van die DMARC records nog een ondergeschoven kindje. Zelfs als die aanwezig zijn, staan de meesten nog op een none-policy. Hiermee wordt niet het maximale uit e-mailbeveiliging gehaald en dat is zonde. Wil jij meer weten over het hoe en waarom van DMARC? Lees dan eens onze serie op het onderwerp.
Het belang van een goede e-mailauthenticatie zal je inmiddels duidelijk zijn. Nu je weet dat veel bedrijven er niet in slagen om actief maatregelen te nemen tegen misbruik van hun domein, is het niet onlogisch dat je misschien je eigen bedrijf betwijfelt, of de website waar je altijd je kleding shopt. Daarom kun je bij Flowmailer de status van jouw e-mailbeveiliging controleren. Aan de hand van SPF en DMARC beoordelen wij hoe sterk jij of die ene webshop in de schoenen staat!
Stop met de spambox voor lief nemen, start met het actief verdedigen van je domein! In dit gevecht ben je niet de enige die nadelen ondervindt van slechte maatregelen, je klanten ook. Bij Flowmailer zorgen we er samen voor dat je e-mails aankomen! Ook DMARC Compliant
