CHK-COMBO: E-mail DNS Instellingen

Om de betrouwbaarheid van e-mailverkeer te verhogen, zijn in de loop der jaren verschillende afspraken gemaakt: protocollen. Het doel van deze afspraken is om de ontvanger van een e-mail de gelegenheid te geven om te controleren of de verzender legitiem is.

Wanneer u de betreffende protocollen correct implementeert, wordt het voor een kwaadwillende een stuk moeilijker, zo niet onmogelijk, om zich als u voor te doen. Maar ZONDER deze instellingen, wat de uitgangspositie is voor elk e-maildomein, is het dus ook in feite voor iedereen mogelijk om e-mail namens uw e-mailadres te sturen. Dat kan een basis zijn voor fraude en merkreputatieschade, dus zeer onwenselijk.

Attic controleert daarom voor uw e-maildomeinen of de betreffende protocollen (DKIM, SPF en DMARC) goed zijn geconfigureerd. 

Verschillende DNS Controles in Checks

Attic inventariseert welke e-maildomeinen zijn gekoppeld aan uw Microsoft tenant. Vervolgens wordt per domein gecontroleerde of de 3 protocollen goed zijn geconfigureerd. De volgende checks zijn van toepassing.

CHK-1029 – DKIM

Staat voor “DomainKeys Identified Mail”. Werkt met 2 sleutels. Een privé-sleutel wordt door uw e-mailserver gebruikt om een versleutelde handtekening aan het (niet direct zichtbare) briefhoofd van elke uitgaande e-mail toe te voegen. Deze handtekening kan worden ontsleuteld met de publieke sleutel, die wordt geplaatst in de DNS server van uw e-maildomein en zo voor alle ontvangers beschikbaar is.

Zie ook CHK-1029

CHK-1033 – SPF

Staat voor “Sender Policy Framework”. Hiermee bepaalt u welke e-mailservers namens uw domein e-mails mogen verzenden. Dat kan 1 IP-adres zijn, een reeks IP-adressen, een domein of er kan verwezen worden naar de SPF instellingen van een ander domein, zoals dat van Microsoft.

Zie ook CHK-1033

CHK-1030 – DMARC

Staat voor “Domain-based Message Authentication, Reporting & Conformance”. Met DMARC bepaalt u als eigenaar van uw e-maildomein wat er moet gebeuren met e-mails die niet voldoen aan uw DKIM en/of SPF instellingen. Als iemand een e-mail ontvangt vanaf uw domein, maar dat bevat geen DKIM sleutel of komt vanaf een server die niet in uw SPF instellingen voorkomt, moet de e-mail dan worden weggegooid? Zonder DMARC maakt de ontvanger zelf deze afweging, maar met DMARC kunt u daarmee helpen. Het is bijvoorbeeld een algemeen advies om – wanneer u DMARC voor het eerst inschakelt – nog even ‘soepel’ om te gaan met e-mails die niet voldoen. Dit om te vermijden dat er nog ergens een stroom aan e-mails bestaat die plotseling geblokkeerd wordt omdat u die over het hoofd had gezien. 

Zie ook CHK-1030

Fix – Handmatig

Het correct instellen van DNS is – op het moment – niet iets waar wij u met een automatische fix bij kunnen helpen. Dit heeft ermee te maken dat iedere afnemer van Attic een eigen DNS server gebruikt bij willekeurige dienstverleners. En het is ondoenlijk om voor al die dienstverleners  een automatische fix te bouwen.

We werken wel aan een manier om uw DNS te verhuizen naar een betrouwbare dienstverlener waarmee wij goed kunnen koppelen zodat we toch een fix kunnen aanbieden. 

Tot die tijd raden wij u aan uw IT beheerder opdracht te geven om DKIM, SPF en DMARC goed in te stellen. Daarbij kunnen zij gebruik maken van de instructies in dit artikel:
DKIM gebruiken voor e-mail in uw aangepaste domein – Office 365 | Microsoft Docs
SPF instellen om adresvervalsing te helpen voorkomen – Office 365 | Microsoft Docs 
DMARC gebruiken om e-mail te valideren – Office 365 | Microsoft Docs

Natuurlijk zijn we beschikbaar voor nadere uitleg waar mogelijk.

Schrijf je in voor Attic Alerts

Ontvang direct 5 tips om veilig online te ondernemen