05 december 2018

SPF, DKIM en DMARC

SPF staat voor Sender Policy Framework.

In een SPF-record kunt u omschrijven welke servers namens de domeinnaam e-mail mogen verzenden. Een ontvangende server kan onder andere op basis van het SPF-record besluiten om een e-mail door te laten, te markeren als onveilig of helemaal te weigeren. Kort gezegd; via het SPFrecord controleer je of een server mail mag versturen onder de betreffende domeinnaam.

Een spf record instellen, hoe dat je dat?

Wij adviseren meestal dit te doen via de website https://www.spfwizard.net/

Je kan verschillende waardes instellen aan het eind voor het record, ook wel Mechanisms genoemd:

“+” Pass
“-” Fail
“~” SoftFail
“?” Neutral

+ (pass) Pass Het SPF-record duidt de host aan die toestemming moet hebben om te verzenden.
– (fail) Servers die niet zijn opgenomen in het spf record, mogen ook niet mailen met het betreffende domein.
~ (softfail) Deze optie wordt het meest gebruikt, indien een server niet in de spf is opgenomen wordt de mail als spam gemarkeerd.
? (neutraal) Het SPF-record geeft expliciet aan dat er niets wordt gecontroleerd.

Je kan dit record vervolgens aanmaken via https://www.ixlhosting.nl/helpdesk/basis-van-dns

DKIM staat voor Domain Keys Identified Mail

Berichten worden ondertekent door verzender van de email, daarna wordt er een hash berekend over de headers en het bericht en wordt versleuteld.
De ontvanger decrypt de hash middels de publieke dnskey en controleert dan of de hash klopt.

Bij ixlhosting is de selector standaard x. (x._domainkey) welke ook standaard wordt aangemaakt binnen het systeem, als je gebruikt maakt van onze DNS is dat dus standaard al geregeld.
Indien de DNS elders gehost wordt, dan is het van belang om de waarde en de selector over te zetten naar die partij.

DMARC staat voor Domain-based Message Authentication, Reporting, and Conformance

Laat ontvanger weten welke maatregelen de verzender standaard neemt door het publiceren van policies. Kan gebruikt worden voor rapportage.
Als zowel SPF als DKIM kloppen krijgt het bericht een dmarc pass.

Wil je wel gebruik maken van DMARC maar dan in de eenvoudigste vorm, plaats dan een record met “v=DMARC1; p=none”
Mocht je een geavanceerde DMARC policy willen, zie dan onderstaande:

v Protocolversie v = DMARC1
pct Percentage berichten onderworpen aan filtering pct = 20
ruf Rapportage URI voor forensische rapporten ruf = mailto: authfail@example.com
rua Rapportage-URI van verzamelde rapporten rua = mailto: aggrep@example.com
p Beleid voor organisatiedomein p = quarantaine
sp Beleid voor subdomeinen van de OD sp = afwijzen
adkim Uitlijnmodus voor DKIM adkim = s
aspf Afstemmingsmodus voor SPF aspf = r

Hier kan je een DMARC record genereren: https://www.dmarcanalyzer.com/nl/dmarc-2/dmarc-record-generator/
Je kan dit record vervolgens aanmaken via https://www.ixlhosting.nl/helpdesk/basis-van-dns

Wat zijn de voor en nadelen van DMARC:

• Garantie dat het bericht afkomstig is van het verzendende domein.
• Zowel SPF als DKIM moeten goed geconfigureerd zijn.
• Goede configuratie “garandeert” aankomst e-mail.
• Foutieve configuratie leidt tot gegarandeerde blokkade.

  • Deel dit bericht