E-mailbeveiliging: hoe spam en onveilige mail voorkomen?

Spam- en virusfilters

Ben je bekend met de termen PTR, SPF, DKIM en DMARC, weet je wat ze betekenen en waarvoor ze worden gebruikt? Binnen organisaties zijn deze termen vaak onduidelijk, hoewel ze erg belangrijk zijn. Door PTR, SPF, DKIM en DMARC binnen jouw organisatie toe te passen minimaliseer je de kans op (veel) spam en onveilige e-mail.

Vicus adviseert elke organisatie om deze vier anti-spam technieken in te regelen om niet het slachtoffer te worden van virussen, internetfraude of een andere vorm van cybercriminaliteit. Minimaliseer de kans op (miljoenen)schade!

In deze blog leggen wij uit wat de hiervoor genoemde begrippen betekenen, wat de relatie is tussen deze begrippen, hoe ze werken, waarom ze belangrijk zijn en hoe je ze kunt instellen binnen jouw organisatie.

PTR

Wat is een PTR? De uitleg van QDC (http:/www.qdc.nl) is duidelijk: Een PTR-record koppelt een IP-adres aan een hostnaam in plaats van een hostnaam aan een IP-adres zoals met een A-record.

Voorbeeld van een PTR: het vaste IP-adres (bijvoorbeeld 345.456.345.456) van jouw DSL-verbinding laat je verwijzen naar het record “thuis.jansen.nl”.

Wanneer jouw bedrijf over een eigen mailserver beschikt is het aan te bevelen ook een PTR-record aan te maken.

Waarom is een PTR-record aanmaken belangrijk?

Wat is het nut om een PTR-record aan te maken? Mailservers controleren soms of de uitgaande e-mail verzendende server zich wellicht voordoet als een andere server dan deze daadwerkelijk is. Door de aanwezigheid van een PTR-record kan de ontvangende server controleren of de uitgaande server inderdaad mail.mijndomein.nl is.: 188.333.58.323.in-addr.aroa 86400 IN PTR mail.mijndomein.nl. Een PRT record controleert dus op authenticiteit.

Hoe werkt PTR?

Het IP-adres wordt omgezet in een hostnaam. De mailserver groet elke server met een welkomsttaal EHLO (of HELO) mail.mijndomein.nl. Wanneer de ontvangende mailserver vervolgens controleert op de aanwezigheid van een PTR-record, vraagt deze het IP-adres van de hostnaam op. Daarna wordt gecontroleerd of het IP-adres van de hostnaam overeenkomt met het IP-adres waarmee verbinding wordt gemaakt. Tenslotte volgt een reverse lookup.

Reverse lookup

Een reverse lookup is een extra check die wordt uitgevoerd op het IP-adres om te kijken of ook daar de hostnaam weer terugkomt. Is dit niet het geval dan wordt het e-mailbericht geweigerd. Wanneer de hostnamen wel overeenkomen is het aannemelijk dat de ontvangen e-mail geen spam is. Echter, door anti-spam modules kan de betreffende mail nog wel steeds als spam worden gezien.

Aanvragen van een PTR-record

Hoe vraag je een PTR record aan voor jouw organisatie? Dat doe je bij jouw provider, zoals UPC of Ziggo, van wie het IP-adres is. Dit is alleen mogelijk als jouw organisatie beschikt over vast IP-adres. Het is niet mogelijk om een PTR-record aan te maken bij een DNS-provider. Als je de mailserver van een hosting omgeving gebruikt dien je een dedicated IP adres aan te vragen. Pas dan is het mogelijk om een PTR-record aan te maken.

Een PTR-record aanmaken is standaard op deze omgeving niet mogelijk. De provider kan dus enkel PTR records aanmaken voor IP adressen die in hun range zitten.

Het aanmaken van een PTR record gebeurt vaak door een e-mail te sturen naar de afdeling support van jouw provider. In de e-mail geef je de naam op die jouw mailserver gebruikt bij het versturen van e-mail (de SMTP server van jouw internet provider, bijvoorbeeld “uit.upcbusiness.nl) en jouw WAN IP adres (deze kun je vinden via start, run, typ “cmd”, typ het commando “ipconfig”, het adres naast “IP4 Address” is jouw WAN IP adres).

SPF en DKIM

Wat zijn SPF en DKIM? Dit zijn twee e-mail herkenningstechnieken. Tegenwoordig is het heel eenvoudig om een bericht namens een ander e-mailadres te versturen. Hierdoor kan het lijken dat het e-mailbericht echt is terwijl het spam of een gevaarlijk bericht betreft.

Twee effectieve manier om je e-mail te beschermen tegen spoofing, phishing of identiteitsvervalsing zijn SPF en DKIM. De spamfilters van de ontvanger controleren bij deze methoden automatisch het afzenderdomein om te zien of de ondertekeningen niet nagemaakt zijn.

Wat is een SPF record en waartoe dient het?

SPF staat als benaming voor Sender Policy Framework. In een SPF record kan je omschrijven welke servers namens de domeinnaam e-mail mogen verzenden. Door SPF-records in te bouwen controleert de server of degene die de e-mail verzendt dat namens dat domein mag doen. Een ontvangende server kan onder meer op basis van het SPF record besluiten om een e-mail door te laten, te markeren als onveilig of helemaal te weigeren.

PF record online aanmaken en zelf bouwen

Er zijn verschillende websites waarmee je een SPF-record kunt genereren, bijvoorbeeld www.spfwizard.net. Door een aantal gegevens in te stellen genereer je een correct SPF record.

SPF-record in de DNS zetten

Zodra je een SPF-record hebt gemaakt moet je deze in de DNS zetten. Daarvoor maak je in het DNS-overzicht van de domeinnaam een nieuw TXT-record aan. Je vult in het invulveld links de tekst in die je met b.v. de dienst www.spfwizard.net hebt aangemaakt.

DKIM: Geneer de domeinsleutel

DomainKeys Identified Mail (DKIM) is een techniek waarbij jouw organisatie zelf de verantwoordelijkheid neemt voor het versturen van een e-mailbericht. DKIM is geen technologie tegen spam, maar biedt een basis voor authenticatie.

Waarom is DKIM belangrijk?

Door DKIM te gebruiken bestrijd je spam. Ontvangende mailservers controleren de authenticiteit van een e-mail en kunnen deze op basis van een DKIM test blokkeren.

Daarnaast is een domein dat wordt beschermd met een DKIM minder interessant voor spammers. De kans dat berichten van spammers de inbox van de ontvanger bereiken is minimaal. Bijkomend voordeel is dan ook dat domeinen met een DKIM minder vaak misbruikt zullen worden. Bovendien biedt DKIM een middel om de juistheid van e-mails aan te tonen inclusief bijlagen.

Hoe werkt DKIM?

Je helpt spam voorkomen door aan berichtkoppen (zowel headers als body van de e-mail) van uitgaande berichten een digitale handtekening toe te voegen volgens de DKIM-standaard. DKIM voegt het veld ‘DKIM-Signature’ toe aan de header van een e-mail. Dit veld bevat de digitale handtekening.

Er wordt een sleutel toegevoegd aan de berichtenkop. De ontvangende SMTP-server kan deze sleutel ophalen. Deze sleutel wordt vervolgens gebruikt  voor authenticatie. Zo wordt gecontroleerd of het binnenkomende bericht inderdaad afkomstig is van jouw domein en er zich tijdens het transport zich geen wijzigingen hebben voorgedaan.

DKIM blokkeert ‘vervalste’ email niet, maar markeert het alleen als ongeldig. Hierna kun je zelf beslissen wat je met deze e-mail wilt doen.

DMARC

DMARC, wat is het? DMARC staat voor Domainbased Message Authentication, Reporting & Conformance. Het is een e-mail verificatie protocol dat voortbouwt op de veel gebruikte SPF en DKIM protocollen. DMARC past SPF en DKIM toe op binnenkomende mail.

DMARC heeft een rapportage functie ingebouwd in dat zenders en ontvangers toestaat de beveiliging van het (e-mail) domein aan te scherpen en te monitoren op frauduleuze e-mail (nepmail/spam).

Als een e-mail wordt gestuurd door een niet-gemachtigde zender (bijvoorbeeld door een ‘kwaadaardig’ persoon of een fake afdeling binnen een bedrijf dat eigenaar is van het domein) kan DMARC worden gebruikt om deze activiteit op te sporen en, als dit zo geconfigureerd is, verzoeken dat dit bericht direct wordt geblokkeerd of verwijderd.

Waarom is DMARC belangrijk?

Gelijktijdig met de enorme groei van social media en e-commerce platforms is het aantal spammers en internetfraudeurs de afgelopen jaren enorm toegenomen.

Deze groep ziet veel kans op financieel gewin door gebruikersaccounts te hacken om zo onder meer wachtwoorden te stelen en bank- en creditcardgegevens te achterhalen. Door te rommelen in e-mails die zij versturen kunnen deze criminelen gemakkelijk mensen (e-mailontvangers) misleiden en hun vertrouwen winnen. Vaak doen zij dit door gebruik te maken van bekende merken. Bijvoorbeeld door een bekend logo te plaatsen kan een ‘nep’ e-mail al door de ontvanger moeilijk van echt worden onderscheiden.

Daarnaast hebben providers van grote e-mailboxen het vaak moeilijk en maken ze regelmatig verkeerde keuzes bij de berichten die zij wel en niet doorlaten. De verzenders van ‘juiste’ e-mails zijn vaak niet op de hoogte van deze problemen en hun authentificatieproces zowel bij het ontvangen als versturen van berichten. Zij weten vaak niet waar ze met hun vragen en problemen terechtkunnen.

DMARC als aanvulling op SPF en DKIM

Bedrijven proberen SPF en DKIM wel in te zetten, maar passen deze erg langzaam en voorzichtig toe. Oorzaak hiervan is dat ze niet weten hoe ze moeten monitoren en hoe ze bugs kunnen verhelpen.

DMARC helpt hierbij door deze issues te signaleren om vervolgens e-mail zenders en ontvangers samen te laten werken om e-mails beter te beveiligen, gebruikersrechten te beschermen en misbruik van merk – en bedrijfsnamen te voorkomen.

DMARC zorgt voor een complete authenticatie van e-mail. Het biedt ook eigenaren van een specifiek Internetdomein de mogelijkheid een verzoek in te dienen dat onwenselijke berichten –spam- direct in the spamfolder worden geplaatst of worden geblokt. DMARC minimaliseert de spamproblematiek binnen bedrijven. Echter, alleen tegen directe domeinaanvallen.

Hoe werkt DMARC

Een DMARC beleid binnen jouw bedrijf geeft de verzender indicatie dat e-mailberichten zijn beschermd door SPF en / of DKIM. Tevens vertelt het de ontvanger wat hij/zij kan doen als het bericht niet de ‘toegangspoort’ doorkomt- en aangemerkt wordt als spam of de boodschap wordt tegenhouden. DMARC zorgt ervoor dat de medewerkers binnen jouw organisatie niet meer hoeven te gokken hoe zij moeten omgaan met deze berichten. Deze opheldering zorgt ervoor dat medewerkers veel minder worden blootgesteld aan potentieel frauduleuze en schadelijke boodschappen. DMARC biedt ook de ontvanger de mogelijkheid een bericht terug te sturen naar de afzender. In een dergelijk bericht kan de ontvanger aangeven waarom het bericht niet door de DMARC evaluatie is gekomen.

Communicatieverbetering

Door het inregelen van PTR, SPF, DKIM en DMARC verklein je de kans dat jouw organisatie slachtoffer wordt van internetfraude of hacking door e-mail. Minder spam, minder zorgen. Tevens voorkom je zo dat jouw uitgaande e-mail niet wordt verstuurd, e-mail campagnes blijven hangen op verzendstatus ‘in progress’ of email onbestelbaar wordt teruggestuurd. Dit verbetert de communicatie van jouw organisatie met (potentiële) klanten, partners en leveranciers.

Meer lezen? Schrijf je in op de e-mailberichten van Vicus!



Gerelateerde berichten

About Luuk Roovers

Luuk is oprichter en directeur marketing en verkoop bij Vicus en het brein achter het VOSBA integratie framework, de WebVisitAnalyser en het prijswinnende JourneyFunnel Model. Sinds juni 2009 is Luuk Roovers als expert betrokken bij het blad Computable voor de topics Open Source en Internet.
Veilig online Bookmark de permalink