E-mailbeveiliging: SPF, DKIM en DMARC uitgelegd

Waarom e-mail zo makkelijk te vervalsen is

E-mail is ontworpen in de jaren zeventig, toen beveiliging nauwelijks een overweging was. Het protocol (SMTP) controleert standaard niet of de afzender werkelijk is wie hij beweert te zijn. Dat betekent dat een crimineel een mail kan versturen die eruitziet alsof die komt van 'facturen@uwbedrijf.nl', terwijl zijn server in Oost-Europa staat.

Dit fenomeen heet 'spoofing'. Criminelen gebruiken het voor CEO-fraude (een nep-mail van de directeur die een spoedbetaling vraagt) of om medewerkers van uw klanten te misleiden met een valse factuur. Zonder de drie standaarden hieronder is uw domein volledig kwetsbaar voor dit soort misbruik.

SPF: wie mag er mailen namens uw domein?

SPF (Sender Policy Framework) is een DNS-record waarin u vastlegt welke mailservers gemachtigd zijn om e-mail te versturen namens uw domeinnaam. Ontvangende mailservers controleren dit record: klopt het IP-adres van de verzendende server met de lijst in uw SPF-record? Zo niet, dan is de kans groot dat de mail nep is.

Een typisch SPF-record ziet eruit als: 'v=spf1 include:spf.protection.outlook.com ~all'. Dit geeft aan dat alleen Microsoft 365-servers mogen mailen namens uw domein. De '~all' aan het einde betekent: alle andere servers zijn verdacht. U stelt dit in via uw domeinbeheerder (bijv. TransIP, Antagonist of Mijndomein).

DKIM: een digitale handtekening onder elke mail

DKIM (DomainKeys Identified Mail) plaatst een onzichtbare digitale handtekening onder elke mail die u verstuurt. De ontvangende server kan deze handtekening controleren aan de hand van een publieke sleutel in uw DNS. Als de handtekening niet klopt — omdat de mail onderweg is aangepast of van een nep-server komt — weet de ontvanger dat er iets niet klopt.

DKIM beschermt ook tegen 'man-in-the-middle'-aanvallen waarbij een mail onderweg wordt onderschept en aangepast. Uw e-mailprovider (Microsoft 365, Google Workspace) kan DKIM voor u activeren; het is vaak een kwestie van een DNS-record toevoegen en een schakelaar omzetten.

DMARC: de regel die alles bij elkaar brengt

DMARC (Domain-based Message Authentication, Reporting and Conformance) bouwt voort op SPF en DKIM. U stelt er in wat er moet gebeuren met mails die de SPF- of DKIM-controle niet doorstaan: niets doen (p=none, voor monitoring), in de spammap plaatsen (p=quarantine), of volledig weigeren (p=reject).

Begin altijd met p=none om te monitoren zonder risico op verloren legitieme mail. DMARC stuurt u ook rapporten: u ziet precies welke servers er mailen namens uw domein. Na een paar weken analyseren kunt u stapsgewijs opschalen naar p=quarantine en uiteindelijk p=reject — het strengste niveau.

• Stap 1: controleer of uw mailprovider al SPF en DKIM aanbiedt (meestal wel)
• Stap 2: voeg een SPF-record toe aan uw DNS
• Stap 3: activeer DKIM via uw mailprovider en voeg de publieke sleutel toe aan DNS
• Stap 4: maak een DMARC-record aan met p=none en een rapportage-adres
• Stap 5: analyseer de rapporten en schakel na 2-4 weken op naar p=quarantine
• Stap 6: na succesvolle quarantine-fase, overstap naar p=reject

Wat levert het u op?

Goed geconfigureerde SPF, DKIM en DMARC-records zorgen ervoor dat criminelen uw domeinnaam niet kunnen misbruiken voor phishing. Dat beschermt niet alleen uw medewerkers, maar ook uw klanten en zakenpartners die anders nep-mails namens u zouden ontvangen. Bovendien verbetert het uw e-mail-reputatie: uw legitieme mails komen minder snel in de spammap terecht.