SPF, DKIM en DMARC e-mail  verificatie en authenticatie beschermt tegen aanvallen waarbij de identiteit van vertrouwde afzenders wordt vervalst (spoofing en phishing).

De SPF-, DKIM- en DMARC-protocollen beschermen vooral tegen spoofing en phishing. Tegelijkertijd wordt u door het gebruik van deze protocollen voor e-mailverificatie herkend als een veilige afzender. De authenticatie van uw uitgaande e-mail bevestigt aan een Internet Service Provider (ISP) dat een bericht daadwerkelijk afkomstig is van uw bedrijf of namens u is verzonden door een geautoriseerde derde partij.

Om er zeker van te zijn dat de afzender van een e-mail geen identiteit van een derde partij vervalst, verifiëren steeds meer providers van e-mailinboxen de afzender in de eerste stap. Hiervoor worden de verzendende mailserver en de afzender- en antwoordadressen geanalyseerd. De identiteit van de afzender wordt gecontroleerd met behulp van verschillende verificatieprocedures. Momenteel worden de protocollen SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting, and Conformance) gebruikt voor unieke identificatie.

Zoals je hier kunt zien, heeft het alleen zin als alle drie de authenticatiemethoden, d.w.z. SPF-, DKIM- en DMARC-vermeldingen, worden ingevoerd in het domeinnaamsysteem (DNS).

Is het gebruik van SPF, DKIM en DMARC verplicht?

Ja, het gebruik van verificatieprocedures bij het verzenden van e-mails is verplicht volgens de AVG!
Art. 25 lid 1 van de AVG – Gegevensbescherming door technologisch ontwerp en gegevensbeschermingsvriendelijke standaardinstellingen:

Welke authenticatiemethode moet worden gebruikt?

De SPF- en DKIM-protocollen worden beide gebruikt om te beschermen tegen ongeautoriseerd gebruik. Ze werken onafhankelijk van elkaar.

Elke ontvanger kan anders omgaan met een mislukt bericht. De ontvanger kan het bericht bijvoorbeeld direct doorsturen naar de map met ongewenste berichten of extra tests uitvoeren. Als verzender weet je altijd niet of je e-mail is geaccepteerd.

Door een DMARC entry toe te voegen aan de DNS, kun je bepaalde regels definiëren voor inkomende e-mails:

• quarantaine,
• afwijzen,
• doorlaten

Je kunt het DMARC-protocol ook gebruiken om een melding te krijgen als de e-mail die je hebt verzonden niet wordt geaccepteerd.

Veel providers van e-mailpostbussen gebruiken alle drie de authenticatiemethoden, d.w.z. SPF, DKIM en DMARC-vermeldingen in de DNS. Dit is een reden temeer om alle drie de authenticatiemethoden toevoegen aan je domeinnaamsysteem (DNS).

 

 

Protocollen voor e-mail-verificatie en -autentificatie

SPF, DKIM en DMARC e-mailverificatie en authentificatie – wat is wat?

 

SPF (Sender Policy Framework):

SPF is een e-mailverificatieprotocol dat wordt gebruikt om de afzenderadressen van e-mails te verifiëren. Het stelt de ontvanger in staat om te controleren of een e-mail afkomstig is van een geautoriseerde server. SPF werkt door regels te definiëren in de DNS-records van de domeineigenaar die specificeren welke servers geautoriseerd zijn om e-mails te versturen namens het domein. Als een e-mail wordt verzonden vanaf een server die niet in de SPF-records van het domein staat, kan de ontvanger dit herkennen en de e-mail mogelijk als spam of frauduleus markeren.

DKIM (DomainKeys Identified Mail):

DKIM is een andere methode voor e-mailverificatie. Het werkt door het toevoegen van een digitale handtekening aan elk uitgaand e-mailbericht. Deze handtekening wordt gemaakt met een privésleutel die alleen de afzender kent en kan door de ontvanger worden geverifieerd met een publieke sleutel die is opgeslagen in het DNS-record van het domein van de afzender. DKIM helpt bij het controleren van de integriteit van de e-mail en zorgt ervoor dat de e-mail daadwerkelijk afkomstig is van het opgegeven domein en onderweg niet is gewijzigd.

DMARC (Domain-based Message Authentication, Reporting, and Conformance):

DMARC is een andere e-mailverificatie die voortbouwt op SPF en DKIM en wordt gebruikt om de authenticiteit van e-mails verder te verbeteren. DMARC stelt domeineigenaren in staat om precieze instructies te definiëren over hoe e-mailsystemen moeten omgaan met e-mails die niet voldoen aan de SPF- en DKIM-vereisten. Ook kunnen e-mails die in strijd met het DMARC-beleid zijn verzonden, worden gerapporteerd. DMARC helpt spoofing-aanvallen en phishing-pogingen te verminderen door het moeilijker te maken gespoofde e-mails namens een bepaald domein te verzenden.

 

Waar kan ik controleren of ik de verificatieprocedure al gebruik?

Controleren hier of de verificatieprocedure al wordt gebruikt.
Let er ook op of alle drie de methoden op de juiste wijze geconfigureerd zijn.

 

Is het gebruik van SPF, DKIM en DMARC protocollen gratis?

Ja, in principe is het gebruik gratis, maar je hebt wel enige technische expertise nodig om de DNS-server in te stellen en te beheren.

Er zijn echter ook bedrijven die u kunnen helpen bij het implementeren van de protocollen in het domeinnaamsysteem (DNS) dat aan uw domein is gekoppeld. Vaak zijn deze diensten niet gratis en meestal is er een abonnement aan verbonden.

En hoe zit het met BIMI?

Brand Indicators for Message Identification, kortweg BIMI, is een nieuwe standaard waarmee organisaties hun geregistreerde merklogo’s kunnen weergeven in uitgaande e-mails in overeenstemming met de BIMI-richtlijnen.

Deze standaard is momenteel (03.2024) nog niet “state of the art” en valt daarom niet onder Art. 25 lid 1 van de AVG – gegevensbescherming door ontwerp en standaard. Aangezien BIMI meer een vertrouwenwekkende maatregel is – d.w.z. op het gebied van marketing – is het mogelijk dat er in de toekomst geen verplichting is om deze te gebruiken.

 

Conclusie:

SPF, DKIM en DMARC e-mail authenticatie zijn mechanismen die betrekking hebben op de authenticatie van e-mail afzenders en dienen om de beveiliging van e-mails te verbeteren door de authenticiteit ervan te verifiëren.

Het gebruik van deze protocollen is verplicht volgens art. 25 lid 1 van de AVG!