Geldigheid van e-mails: SPF, DKIM, DMARC en implementatie

🌍 De basis: hoe werkt e-mail technisch?

Voordat we de geavanceerde beveiligingsprotocollen induiken, is het essentieel om de architectuur van e-mail te begrijpen. Een e-mail is veel complexer dan een simpele brief. Het bestaat uit drie cruciale onderdelen:

1. De envelope (de afleverinstructies)

Dit is het deel dat de gebruiker niet ziet, vergelijkbaar met de buitenkant van een fysieke envelop. Het bevat instructies voor de mailservers.

MAIL FROM (return-path): Dit adres wordt gebruikt om foutmeldingen (bounce messages) naar terug te sturen. Dit is het adres dat SPF zal controleren.
RCPT TO: Het uiteindelijke adres van de ontvanger.

2. De headers (de metadata)

De headers bevatten metadata over het bericht. Dit is deels zichtbaar voor de gebruiker in de 'bron' weergave van de e-mail.

From: Het adres dat de gebruiker ziet in de client (het 'vriendelijke' adres). Dit is het adres dat DMARC valideert.
DKIM-signature: De cryptografische handtekening van de verzender (indien van toepassing).

Het spoofing probleem: De kern van de beveiligingsuitdaging is dat het From:-adres (dat de gebruiker ziet) eenvoudig kan verschillen van het MAIL FROM:-adres (dat door de servers wordt gebruikt). Dit maakt het mogelijk voor spammers om zich voor te doen als een legitieme afzender.

🛡️ De drie pilaren van e-mail authenticatie: SPF, DKIM en DMARC

Om het bovengenoemde spoofing-probleem op te lossen, zijn de volgende authenticatiemechanismen ontwikkeld. Klik op de titels voor meer details.

1. SPF (Sender Policy Framework)

SPF is het oudste en meest fundamentele mechanisme. Het richt zich op het **IP-adres van de verzendende server**.

Functie: Autoriseren van ip-adressen.
Implementatie: Een DNS TXT-record in het domein van de afzender.
Beperking: SPF faalt als de e-mail wordt doorgestuurd (forwarded), omdat het oorspronkelijke verzendende ip dan verandert.

2. DKIM (DomainKeys Identified Mail)

DKIM voegt een cryptografische laag toe en valideert dat de e-mail **niet is gewijzigd** sinds deze het originele domein verliet.

Functie: Verifiëren van integriteit en domein-eigenaarschap.
Implementatie: De verzendende server voegt een cryptografische **digitale handtekening** toe aan de headers. De bijbehorende **publieke sleutel** staat in een DNS TXT-record.
Voordeel: In tegenstelling tot SPF overleeft DKIM het doorsturen van e-mails.

3. DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC is de orchestrator. Het bouwt voort op SPF en DKIM en geeft de domeineigenaar controle over het **beleid** en de **rapportage**.

Functie: Beleid bepalen voor falende authenticatie en rapportage.
Alignment: DMARC vereist dat de domeinnaam in de From:-header overeenkomt (aligns) met de geverifieerde domeinnaam.
Rapportage: Essentieel voor het opsporen van misbruik van uw domein.

Alignment en validatie

Protocol	Valideert	Type adres/identiteit	DMARC-aligns met
SPF	IP-adres van de verzender	`MAIL FROM` (return-path)	Domein in `MAIL FROM`
DKIM	Digitale handtekening	Domein in de `DKIM-signature`	Domein in `DKIM-signature`

🚨 Gevaren en Juridische Risico's: De Prijs van Onoplettendheid

Het configureren van een e-mailstroom is een technische én juridische verantwoordelijkheid. Onjuiste of onvolledige configuratie kan leiden tot aanzienlijke operationele storingen en zelfs wettelijke problemen, zoals geïllustreerd door de automatische e-mails die naar een niet-bestaand adres zoals geen@geldigemail.nl worden gestuurd.

1. Operationele Gevaren van Onoplettendheid

Wanneer uw e-mailconfiguratie (zoals het MAIL FROM of Return-Path) onjuist is, kan dit leiden tot:

Blacklisting: Als uw servers massaal berichten naar niet-bestaande adressen blijven sturen, kunnen de servers van grote providers (Gmail, Outlook) uw domein of IP-adres als spammer markeren. Dit resulteert in het weigeren van alle legitieme e-mails, zoals facturen en klantenserviceberichten.
Reputatieschade: Een slechte e-mailreputatie beïnvloedt uw afleverbaarheid direct en leidt tot verlies van vertrouwen bij uw klanten.
DMARC-faalkansen: Als DMARC wordt ingeschakeld met een strikt beleid (p=reject), maar uw legitieme mailbronnen (bijv. een CRM of marketingtool) niet in SPF/DKIM zijn opgenomen, worden uw eigen e-mails door de ontvangende partij geweigerd.

2. Juridische Risico's en Dataveiligheid

Het verkeerd omgaan met e-mailstromen raakt direct aan de regelgeving rondom dataveiligheid en privacy (AVG/GDPR).

Data Disclosure via DMARC-rapporten: DMARC-rapporten (rua) bevatten geaggregeerde IP-adressen en domeinnamen van e-mailstromen. Als deze rapporten in handen vallen van onbevoegden (bijvoorbeeld door een beveiligingslek in het rapportage-e-mailadres), kan dit een dataleak vormen.
Falen bij Opt-out/Uitschrijving: Het onjuist instellen van de MAIL FROM (return-path) kan betekenen dat u automatisch gegenereerde uitschrijfverzoeken of klachten (Feedback Loop Reports) mist. Dit is in strijd met de AVG/GDPR-vereisten om gebruikers in staat te stellen zich gemakkelijk uit te schrijven.
Aansprakelijkheid bij Phishing: Als uw domein niet beschermd is met een strikt DMARC-beleid (p=reject), is het kwetsbaar voor spoofing. Wanneer criminelen zich namens u voordoen en dit leidt tot financiële schade bij uw klanten, kan dit leiden tot aansprakelijkheid en hoge juridische kosten vanwege nalatigheid in beveiliging.

Conclusie: Onoplettendheid, zoals het sturen van systeemmails naar een onbewaakt adres, is een signaal dat de totale controle over de mailflow ontbreekt. Dit risico moet worden geminimaliseerd door stapsgewijze en gecontroleerde implementatie van de DMARC-protocollen.

⚙️ Stappenplan: implementatie van SPF, DKIM en DMARC

Het implementeren van deze protocollen gebeurt via het DNS (domain name system) van uw domein. Gebruik de knoppen om de code direct te kopiëren.

Inventariseer alle verzendende bronnen (SPF)
Publiceer één (en slechts één!) DNS TXT-record met de SPF-regel. De -all op het einde betekent dat andere servers moeten worden geweigerd (hard fail).

Record Type: TXT Naam/Host: @ of uwdomein.nl Waarde: v=spf1 include:spf.protection.outlook.com include:_spf.google.com ip4:1.2.3.4 -all
Genereer en implementeer DKIM-sleutels
Dit proces is meestal gekoppeld aan uw e-mailprovider. Zij genereren de cryptografische sleutelparen voor u.

Actie: Publiceer de door uw provider gegenereerde **publieke sleutel** in een nieuw DNS TXT-record. De naam van dit record bevat de zogenaamde 'selector' (bijv. selector1._domainkey).
Start DMARC in monitoring-modus (`p=none`)
Begin altijd met DMARC in de monitoring-modus. U moet een e-mailadres hebben om de rapporten te ontvangen (RUA).

Record Type: TXT Naam/Host: _dmarc Waarde: v=DMARC1; p=none; rua=mailto:dmarc-rapporten@uwdomein.nl; pct=100
Analyseer de DMARC-rapporten en corrigeer fouten
Na een paar weken ontvangt u rapporten. Analyseer deze om te zien welke bronnen e-mails versturen en waarom sommige falen.
Verhoog de handhaving (quarantine/reject)
Pas het DMARC-beleid geleidelijk aan van p=none naar p=quarantine (spammap) en uiteindelijk naar p=reject (volledige weigering) zodra u zeker weet dat al uw legitieme e-mailstromen correct zijn geauthenticeerd.

Uitleg DMARC-tags in het record

De DMARC-tag bestaat uit verschillende verplichte en optionele parameters. De belangrijkste zijn:

v=DMARC1: De verplichte versie-identifier.
p=none: Het beleid dat wordt toegepast op falende e-mails. **none** betekent monitoren (rapporten ontvangen, maar geen actie ondernemen). Kan later worden gewijzigd in `p=quarantine` of `p=reject`.
rua=mailto:...: Het e-mailadres voor **Aggregate Reports**. Dit zijn XML-rapporten die periodiek (meestal dagelijks) een overzicht geven van de e-mailstroom en validatieresultaten.
pct=100: Het percentage e-mails waarop het beleid (`p=`) wordt toegepast. In de monitoring-fase altijd 100%.

Om de werking van deze protocollen te visualiseren, kan een diagram zeer nuttig zijn:

🕰️ De geschiedenis van e-mailveiligheid

De e-mailprotocollen zijn ontstaan in een tijd waarin veiligheid geen topprioriteit was. Dit heeft geleid tot de huidige uitdagingen.

De vroege jaren (jaren '70 - '80): vertrouwen boven beveiliging

Toen SMTP (simple mail transfer protocol) in de jaren '80 werd gestandaardiseerd, was het internet nog een relatief kleine, academische en onderzoeksomgeving. Het protocol was gebouwd op een fundamenteel niveau van vertrouwen. Dit is de reden waarom e-mail in zijn pure vorm zo kwetsbaar is voor spoofing.

De noodzaak van DMARC (vanaf 2012)

In 2012 werd DMARC gezamenlijk ontwikkeld door techreuzen als google, microsoft en yahoo. Het sloot de kloof door het afdwingen van de alignment tussen het technische en het zichtbare adres en door het bieden van een beleidsmechanisme en rapportage.

🔗 Nuttige tools en links voor validatie

Gebruik deze externe tools om de geldigheid en correcte implementatie van uw e-mailbeveiliging te controleren.

Internet.nl (e-mail & web)
Een nederlandse overheidsinitiatief dat een volledige en gedetailleerde test uitvoert op de e-mailbeveiliging van uw domein, inclusief SPF, DKIM, DMARC en meer.
DMARCIAN DMARC inspector
Controleer snel of uw DMARC-record correct is gepubliceerd en of de syntax klopt.
MX toolbox SPF lookup
Valideer uw SPF-record en controleer op fouten, zoals het overschrijden van de maximumaantal dns-lookups.
LearnDMARC
Een geweldige bron voor iedereen die de complexe details en het rapportagesysteem van DMARC wil begrijpen.

📧 De essentie van e-mail geldigheid en authenticatie