Veiligere email dankzij SPF, DKIM, DMARC en StartTLS

Veiligere email dankzij SPF, DKIM, DMARC en StartTLS

Geschreven op 16-11-2018 door Sander Cruiming
Categorieën: Online Beveiliging, cPanel

Veiligere email dankzij SPF, DKIM, DMARC en StartTLS

Email is een veel gebruikt communicatiekanaal op internet, en daarom is het belangrijk dat emailverkeer op een veilige manier plaatsvindt. Om die reden hebben we bij XXL een aantal technische verbeteringen doorgevoerd om email weer een stukje veiliger en betrouwbaarder te maken voor alle domeinnamen die bij ons staan. Het gaat dan om SPF, DKIM, StartTLS en DMARC. Deze afkortingen zullen veel mensen waarschijnlijk niets zeggen, en daarom leg ik in deze blogpost de termen in het kort uit.

SPF

SPF staat voor Sender Policy Framework, en is een DNS record wat aan een domeinnaam wordt toegevoegd. Met dit DNS record vertellen we de rest van het internet welke mailservers email namens je domeinnaam mogen versturen. Dit bestaat uit een lijstje met IP adressen van 1 of meerdere mailservers. We hebben daar standaard onze mailservers ingesteld. Hiermee wordt voorkomen dat bijvoorbeeld spammers via andere servers email met jouw domeinnaam kunnen versturen (email spoofing).

DKIM

DKIM staat voor DomainKeys Identified Mail. Ook hiervoor wordt er een DNS record toegevoegd aan een domeinnaam. In dit record staat een publieke sleutel. Elk mailtje dat via onze mailservers wordt verzonden, wordt met deze sleutel ondertekend. De ontvangende partij van het mailtje kan deze ondertekening controleren met de publieke sleutel in de DNS. Mocht er geknoeid zijn met de inhoud van het mailtje, dan kan dit dankzij DKIM worden gedetecteerd en wordt de email geweigerd. Hiermee wordt voorkomen dat email vervalst en gewijzigd kan worden tijdens de route die het mailtje aflegt van de verzendende mailserver naar de ontvangende mailserver. Elk mailtje bij XXL wordt nu met DKIM versleuteling verstuurd.

DMARC

DMARC is een afkorting voor Domain Message Authentication Reporting & Conformance, en is ook een DNS record wat wordt toegevoegd aan een domeinnaam. DMARC bouwt verder op SPF en DKIM, en geeft aan wat er moet gebeuren met een email die niet door de SPF en DKIM checks heen komt. Zo kan DMARC vertellen dat een email juist wel of niet mag worden afgeleverd, en dat de organisatie of provider op de hoogte moet worden gebracht over de vervalste email. We hebben DMARC voor alle domeinnamen bij XXL ingesteld.

StartTLS

StartTLS kun je vergelijken met een beveiligde https-verbinding voor websites. Via StartTLS vindt de communicatie tussen de verzendende en ontvangende mailservers altijd via een beveiligde SSL verbinding plaats. Dit betekent dat het mailverkeer wordt versleuteld, en niet kan worden afgeluisterd en bekeken door derde partijen. StartTLS staat op al onze mailserver ingeschakeld.

SPF en DKIM records zelf aanpassen
Standaard hebben we het SPF, DKIM en DMARC record ingesteld voor alle domeinnamen die bij ons staan - waarbij email via onze mailservers verloopt. Mocht je deze records willen aanpassen, bijvoorbeeld omdat je andere mailservers of internetdiensten gebruikt die ook email namens jouw domeinnaam moeten versturen, dan kan dat in cPanel met de optie "email authentication". Neem voor vragen contact met ons op, dan helpen we je graag verder.