PRODUCTIE INNOVATIE - In de beginperiode van e-mail was alles nog overzichtelijk. Er waren een paar protocollen, met elk wat instellingen. Anno 2023 is er rondom al die instellingen heel wat meer te doen om zowel inkomende e-mail vergaand te controleren, maar ook uitgaande e-mail te voorzien van 'echtheidskenmerken' om niet in de spammap terecht te komen bij de ontvanger of zelfs volledig afgewezen te worden.
• Leestijd ca. 5 minuten
• 'Waarschuwing': Laat dit artikel vooral door uw systeembeheerder lezen
• Vanwege het grotere algemene belang wordt dit artikel kosteloos aangeboden door de redactie
• Het KVGO houdt op 7 september het webinar 'Webinar Samen Digitaal Veilig'
In de beginperiode van internet was de achterliggende technologie zo lek als een mandje. HTTP, FTP, SMTP en POP waren eenvoudige technieken voor het web, bestandstransport, e-mail versturen en e-mail ontvangen. Het internet was toen vooral het domein van goedaardige techneuten die digitale communicatie wilden vereenvoudigen. Misdaad lag niet ten grondslag aan hun gedachten om alles zodanig te beveiligen dat inbreken nauwelijks mogelijk zou zijn. De basis van die eerste primaire technieken is gebleven. Er omheen is er van alles tegenaan 'geplakt' om misdaad zoveel mogelijk tegen te gaan. Om veilig e-mail te kunnen ontvangen en te versturen, moet tegenwoordig heel wat meer worden gedaan om aan talloze eisen te kunnen voldoen.
Relatief onbekend
Relatief onbekende technieken omtrent veiliger e-mail, die in dit artikel worden uitgelegd, hebben gemiddeld hun oorsprong al rondom het jaar 2000 en vonden vanaf 2005-2010 hun eerste echte toepassingen. Die technieken zijn bij hosting providers doorgaans wel bekend, maar worden vaak niet volledig ondersteund. Er zijn een aantal mogelijkheden om zelf te controleren of uw provider deze technieken toepast. Een overzicht van hetgeen u zelf kunt doen om uw e-mail verkeer te laten voldoen aan eisen van veiligheid en betrouwbaarheid. Het gevecht tegen phishers en spammers.
Dit artikel gaat over e-mail voorzieningen op serverniveau. Daarnaast spelen instellingen in e-mail applicaties ook een belangrijke rol.
DMARC, SPF en DKIM
DMARC Advisor is een online stukje gereedschap en controleert de aanwezigheid van drie belangrijke instellingen om uitgaande mail te beschermen en te authentiseren. Het gaat om DMARC, SPF en DKIM. Eerst even de betekenis van deze gereedschappen.
- DMARC: Domain-based Message Authentication, Reporting, and Conformance. Simpel gezegd is het een manier om je eigen uitgaande e-mailberichten te authenticeren.
- SPF: Sender Policy Framework. Bij correct gebruik kunnen internetserviceproviders verifiëren of een mailserver gemachtigd is om e-mails te verzenden namens een domein.
- DKIM: DomainKeys Identified Mail, werkt - simpel uitgelegd - als de digitale handtekening van je e-mail.
Niet bekend met deze drie afkortingen? Dat is niet zo raar. Uw hostingprovider is dat wel, maar voert de gewenste instellingen alleen op verzoek door. Een controle op DMARC, SPF en DKIM resulteert via DMARC Advisor dan veelal in het volgende scherm, met daaronder hetgeen (nog) niet goed is of zelfs volledig ontbreekt. Neem de proef maar eens op de som. Uit ons onderzoek bleek dat bij de grote online spelers meestal DKIM en DMARC volledig ontbraken en dat bij een wel aanwezige SPF het 'beleid onvoldoende streng' bleek te zijn. Bij onze eigen server hebben we de noodzakelijke instellingen voor printmediabanen en printmediatrainingen zelf doorgevoerd, maar voor deze website en blokboek.com moeten ook wij onze hostingprovider de instellingen laten verzorgen.
Situatie in Nederland
In ons land heeft 30% van de bedrijven een 100%'s voorziening voor DMARC, 78% een SPF voorziening en 23% een volledig werkende DKIM voorziening. De cijfers zijn samengesteld op basis van een onderzoek onder 1500 bedrijven.
Grote mailservers hebben streng beleid
Wanneer merkt u iets van ontbrekende of te 'zwakke' instellingen? De grote mailservers van bijvoorbeeld Microsoft (Outlook of Live.com) of Google (GMail) hanteren een behoorlijk streng mailbeleid. Wanneer mail vanuit een willekeurig domein naar bijvoorbeeld een GMail adres wordt gestuurd, wordt gecontroleerd op de juiste werking van DMARC-, SPF- en DKIM instellingen. Ontbreken die of zijn ze onvoldoende 'veilig' dan komt de mail of terecht in de spam of de mail wordt zelfs geweigerd en krijgt u een mail terug met de volgende boodschap (gedeeltelijk weergegeven).
DMARC, SPF en DKIM zijn drie zogenaamde DNS instellingen voor uitgaande e-mail. DNS staat voor Domain Name System, daarin staan alle instellingen (records) voor uw webserver, uw mailserver, uw ftp server en nog een aantal andere instellingen. DNS instellingen luisteren heel nauw en worden doorgaans door uw provider gedaan bij de eerste registratie van een domeinnaam. Vaak is dat een geautomatiseerd proces voor de basisinstellingen. Nieuwe instellingen moeten handmatig worden toegevoegd.
Ook in server aanzetten
Het is niet voldoende om alleen de DNS records toe te voegen. In de server moeten deze voorzieningen ook geactiveerd worden. Bijgaand een voorbeeld zoals dat bij de bekende Plesk omgeving gedaan kan worden. Bij een eigen VPS (Virtual Private Server) gelden die instellingen voor alle domeinen die dan in eigen beheer zijn.
Controle op inkomende e-mail
DMARC Advisor richt zich op de controle van uitgaande e-mail. Controle op inkomende e-mail vergen nog twee extra DNS instellingen, namelijk MTA-STS en TLS-RPT. MTA staat voor mail transfer agent en s de software in de mailserver die e-mails ontvangt en verzendt. STS staat voor Strict Transport Security en TLS-RPT staat voor Transport Layer Security.
Powerdmarc is een verdere verfijning bovenop DMARCAdvisor en controleert ook op instellingen rondom binnenkomende e-mail. Dit online gereedschap laat op een schaal tussen 0 en 100% in hoeverre uw DNS instellingen correct zijn voor zowel verzenden als ontvangen. Ook daar zijn gratis eigen testjes te doen, die via onderstaand scherm het resultaat laten zien.
Het businessmodel van DMARC Advisor en Powerdmarc is gebaseerd op het aanbieden van diensten die het zelf instellen van de DNS records overbodig maakt en op basis van een abonnementsmodel e-mails via hun servers voorziet van de juist instellingen. Maar als u uw provider in enkele minuten tijd de DNS instellingen laat aanpassen kost het u (waarschijnlijk) niets en wordt 'veel e-mail gedoe' tot een minimum beperkt. Een dankbare klus voor de systeembeheerder in de nog resterende zomerperiode.
NU U HIER TOCH BENT – Overweeg een abonnement op printmedianieuws. Onze artikelen bevatten achtergronden, analyses, onderzoeken, feiten en meningen binnen uw branche. Dat kan niet gratis, maar voor slechts €103,50 ex. BTW krijgt u ongeveer 300 artikelen per jaar, dat is nog geen 35 cent per artikel. Daar kan net dat ene artikel tussen zitten waarmee u uw abonnement wel heel makkelijk terugverdient……
Peter Luit
Peter Luit (1958) was sinds 1993 zelfstandig adviseur voor uiteenlopende printmedia vraagstukken. Samen met Erik van Erp zette hij in 2013 printmedianieuws.nl op. Met zijn crossmediale kennis beschrijft hij de balans in de uitdagingen die de verschillende mediakanalen ten opzichte van elkaar hebben.
Geef een reactie
Je moet inloggen om een reactie te kunnen plaatsen.