Hoe werkt e-mail beveiliging tegen phishing met DMARC DKIM en SPF

Phishingbeveiliging

Aanvallers gebruiken phishing om e-mails te vervalsen en ze betrouwbaar te laten lijken, terwijl ze dat niet zijn. SPF-, DKIM- en DMARC-standaarden worden gebruikt om de integriteit van de e-mail te garanderen (authenticiteitskenmerken, e-mailauthenticatie) zodat de ontvanger kan controleren of de e-mail inderdaad van de vermeende afzender is. Hierdoor kunnen phishingmails van aanvallers beter worden opgespoord en de kans op misbruik worden verkleind.

SPF, DKIM en DMARC werken op domeinnaamniveau en gebruiken DNS als een mechanisme om bepaalde informatie met het hele internet te delen. Hoewel deze standaarden het gebruik van DNSSEC niet vereisen, wordt het sterk aanbevolen. Omdat DNSSEC de authenticiteit en integriteit van DNS-responsberichten kan waarborgen, kan het worden gebruikt als onderliggende beveiligingslaag voor andere beveiligingsstandaarden zoals SPF, DKIM en DMARC.

Wat betekend DMARC?

DMARC staat voor op domein gebaseerde berichtverificatie, rapportage en consistentie. Met behulp van deze standaard kunnen e-mailproviders andere (ontvangende) mailservers instrueren hoe om te gaan met SPF- en/of DKIM-controleresultaten van ontvangen e-mails. Dit wordt gedaan door het DMARC-beleid te publiceren in de DNS-records van het domein. In vereenvoudigde vorm stelt dit beleid bijvoorbeeld: “Als de DKIM-handtekening onjuist is of ontbreekt, of als de verzendende mailserver niet op de lijst met geautoriseerde mailservers staat, wordt deze e-mail als spam beschouwd.”

Dit betekent dat domeinbeheerders ervoor moeten zorgen dat DKIM en SPF normaal blijven functioneren, aangezien fouten er ook toe kunnen leiden dat legitieme e-mails als spam worden beschouwd.

Wat betekend DKIM?

DKIM staat voor Domain Key Identification Mail. Gebruik DKIM om e-mailberichten te verifiëren. Op deze manier kan de ontvanger van de e-mail controleren of het e-mailbericht echt van de afzender komt en of het bericht tijdens de verzending ongewijzigd blijft. DKIM zelf blokkeert geen spam, maar gebruikt DKIM-handtekeningen om legitieme e-mails als geldig te markeren. Vervolgens kan de ontvangende mailserver op basis van de publieke sleutel in het DNS-record controleren of de DKIM-handtekening correct is. De spamfilter kan de e-mail dan als spam behandelen op basis van onjuiste of ontbrekende DKIM-handtekeningen. Het gebruik van DKIM helpt echt om spam te bestrijden.

Wat betekend SPF?

Het Sender Policy Framework (SPF)-protocol is ontworpen om spam te verminderen. SPF controleert of de verzendende mailserver die namens het domein e-mails wil versturen, daartoe inderdaad bevoegd is. SPF voegt extra informatievelden toe aan de DNS-records van het domein. Dit record geeft aan welke mailservers namens dit domein e-mails mogen versturen op basis van het IP-adres en/of de hostnaam (machtigingenlijst). Als de mailserver niet in dit record staat, maar toch een e-mail verzendt met het betreffende domein als afzender, wordt de e-mail als spam beschouwd.

Plaats een reactie