E-mailverificatie en domeinspoofing begrijpen: SPF, DKIM en DMARC

Uw bedrijf is een doelwit voor phishing- en spoofingaanvallen. Als uw e-mail niet is geverifieerd, kunnen aanvallers eenvoudig uw domein nabootsen. Zonder verificatie kan iedereen op het internet een e-mail verzenden en zich voordoen als u.

Probeer Proton Mail 14 dagen gratis Vraag en demo aan

Wat betekent e-mailverificatie?

E-mailverificatie is een reeks technische standaarden die controleren of de afzender van een e-mail werkelijk is wie deze beweert te zijn. Het is ontwikkeld omdat het oorspronkelijke e-mailprotocol (Simple Mail Transfer Protocol, of SMTP) geen ingebouwde functie heeft om een vervalst afzenderadres te voorkomen.

Om verificatie te begrijpen, is het handig om te weten dat een e-mail twee afzenderadressen heeft:

1. De envelopafzender (RFC 5321)

Ook wel bekend als het MAIL FROM-adres, de P1-afzender of het retourpad; dit is het technische adres dat achter de schermen door e-mailservers wordt gebruikt voor routering en bezorging.

Doel: Het vertelt de ontvangende server waar automatische berichten, zoals bounce-meldingen of non-delivery reports (NDR's), naartoe moeten worden verzonden.
Zichtbaarheid: Ontvangers zien dit adres doorgaans nooit in hun e-mailclient; het maakt deel uit van de verborgen "envelop" van het bericht.
Beveiligingsfunctie: Dit is het adres dat door SPF wordt geverifieerd.

2. De header-afzender (RFC 5322)

Dit is het zichtbare adres in uw inbox, ook wel bekend als het Van:-adres of de P2-afzender (bijv. Van: uw-bank@voorbeeld.com).

Doel: Dit is het "vriendelijke" adres dat is ontworpen voor menselijke interactie, waarmee de ontvanger wordt geïnformeerd van wie het bericht afkomstig lijkt te zijn.
Zichtbaarheid: Dit is het enige adres dat de meeste gebruikers zien wanneer ze hun inbox openen.
Beveiligingsfunctie: Dit adres is het adres dat het meest door aanvallers wordt gespooft, en het is de primaire focus van DMARC-uitlijningscontroles.

Dit ontwerp maakt e-mailspoofing (het vervalsen van het Van:-adres) eenvoudig. Een aanvaller kan een geldige envelop-afzender gebruiken die deze beheert om basiscontroles van de server te doorstaan, terwijl een frauduleuze header-afzender wordt gebruikt om de ontvanger te misleiden. E-mailverificatieprotocollen zoals DMARC lossen dit op door te vereisen dat de domeinen van deze twee afzenders met elkaar overeenstemmen.

Waarom is e-mailverificatie essentieel voor bedrijven?

Voor bedrijven is het implementeren van e-mailverificatie een onmisbare verdediging. Het:

Stopt spoofing en phishing: Voorkomt dat aanvallers frauduleuze e-mails verzenden vanaf uw domein.

Beschermt uw merkreputatie: Voorkomt dat uw merk wordt geassocieerd met spam en phishing-oplichting.

Verbetert de bezorgbaarheid van e-mail: Geeft andere e-mailproviders een signaal dat u een legitieme afzender bent, waardoor uw e-mails uit de spammap blijven.

De 3 kernmethoden voor e-mailverificatie

Een sterke verdediging is gebaseerd op drie standaarden die samenwerken: SPF, DKIM en DMARC. Elk daarvan bouwt voort op de vorige om een meerlaagse verdediging te creëren.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) is een openbare lijst van alle servers (op IP-adres) die e-mail mogen verzenden voor uw domein.

Hoe het werkt

U publiceert de lijst als een DNS TXT-record voor uw domein. Wanneer een ontvangende e-mailserver een bericht ontvangt, controleert deze het IP-adres van de verzendende server aan de hand van die lijst. Als het IP-adres op de lijst staat, slaagt het bericht voor de SPF-controle; zo niet, dan mislukt deze.

Het zwakke punt

SPF verifieert alleen het technische verzendadres dat door e-mailservers wordt gebruikt, niet het zichtbare Van:-adres dat mensen in hun inbox zien. Door deze leemte kunnen spoofers SPF-controles doorstaan. Omdat SPF een padgebaseerd protocol is, mislukt het vaak ook wanneer een e-mail wordt doorgestuurd via een adressenlijst of partnerserver. Omdat de doorsturende server niet op uw geautoriseerde lijst staat, mislukt de controle.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) voegt een unieke, fraudebestendige digitale handtekening toe aan de inhoud van het bericht, inclusief de Van:-header.

Hoe het werkt

Deze handtekening is gemaakt met behulp van een geheime sleutel die alleen uw server kent. De bijbehorende openbare sleutel is gepubliceerd in uw DNS. Ontvangende servers gebruiken deze openbare sleutel om de handtekening te verifiëren. Als deze geldig is, bewijst dit dat de e-mail afkomstig is van uw domein en dat de inhoud ervan tijdens het transport niet is gewijzigd.

Het zwakke punt

Net als SPF houdt DKIM spoofen niet inherent tegen. De handtekening bewijst dat het bericht authentiek is voor het domein dat het heeft verzonden, niet noodzakelijkerwijs voor het domein dat wordt getoond in het Van:-adres.

3. Domain-based Message Authentication, Reporting, and Conformance (DMARC)

Domain-based Message Authentication, Reporting, and Conformance (DMARC) is het beleid dat SPF en DKIM met elkaar verbindt. DMARC is de regel die e-mailservers instrueert om e-mails alleen te vertrouwen als het Van:-adres dat u ziet overeenkomt met de verificatiecontroles achter de schermen. Het dicht de maas in de wet die aanvallers met enkel SPF of DKIM misbruiken.

Hoe het werkt

DMARC vereist dat het domein in het zichtbare Van:-adres overeenkomt met het domein dat wordt gebruikt in de geslaagde SPF- of DKIM-controle. Deze cruciale stap verbindt het zichtbare adres van de afzender met de technische verificatie.

Het vertelt servers ook wat ze moeten doen: uw DMARC-beleid (p) instrueert ontvangende servers hoe ze fouten moeten afhandelen:

p=none (Monitoren): Onderneem geen actie. Stuur alleen rapporten naar u terug over wie er e-mail verzendt vanaf uw domein.
p=quarantine (Quarantaine): Verzend mislukte e-mails naar de spammap.
p=reject (Weigeren): Blokkeer de mislukte e-mails volledig.

Beveilig uw bedrijf tegen phishing en domeinspoofing

Meer dan 90% van alle datalekken begint met een phishing- of spoofingaanval. Het implementeren van SPF, DKIM en DMARC is uw eerste verdedigingslinie, maar dit moet worden gecombineerd met een e-mailprovider die standaard veilig is.

Proton Mail for Business is ontworpen om deze bedreigingen te blokkeren voordat ze uw team bereiken. Onze geavanceerde anti-spoofingdetectie, PhishGuard-technologie en end-to-end versleuteling bieden een uitgebreide verdediging die eenvoudig te beheren is.

Probeer Proton Mail 14 dagen gratis Vraag en demo aan

Hoe u e-mailverificatie instelt (stap voor stap)

Het beveiligen van uw domein omvat het toevoegen van een aantal records aan uw Domain Name System (DNS)-instellingen, die worden beheerd door uw domeinregistrar (zoals GoDaddy, Namecheap of Cloudflare).

Stap 1

Maak uw SPF-record aan

Identificeer eerst alle diensten die u gebruikt om e-mail te verzenden (bijv. uw e-mailprovider, een nieuwsbriefdienst zoals Mailchimp, een CRM). Uw SPF-record moet ze allemaal bevatten. Het SPF-record van Proton Mail is bijvoorbeeld v=spf1 include:_spf.proton.me mx ~all. U voegt dit toe als een TXT-record in uw DNS-instellingen.

Stap 2

Configureer uw DKIM-handtekening

Navigeer in het beheerderspaneel van uw Proton Mail (of dat van een andere provider) naar de domeininstellingen. Het systeem genereert een unieke DKIM-sleutel voor u. Het setup-proces voor DKIM in Microsoft 365, Google Workspace of Proton is vergelijkbaar: u kopieert de gegenereerde sleutel en maakt volgens de instructies een nieuw TXT-record aan in uw DNS.

Stap 3

Implementeer uw DMARC-beleid

Het toevoegen van het DMARC-beleid (p) is de laatste stap. Het moet in fasen worden uitgerold om te voorkomen dat uw eigen legitieme e-mails worden geblokkeerd:

Begin met p=none: Maak een DMARC-record aan met een beleid van p=none. Met deze monitoringmodus kunt u rapporten ontvangen over e-mailfouten zonder dat dit invloed heeft op uw e-mailbezorging.
Analyseer rapporten: Gebruik de DMARC-rapporten om legitieme diensten te vinden die de controles niet doorstaan en voeg deze toe aan uw SPF- en DKIM-records.
Stap over op p=quarantine: Zodra u er zeker van bent, wijzigt u uw beleid naar p=quarantine. Hiermee worden mislukte e-mails naar de spammap verzonden.
Stap over op p=reject: Stap na verdere monitoring over op p=reject om de bezorging van alle frauduleuze e-mails te blokkeren.

Voor gedetailleerde setup-instructies, inclusief schermafbeeldingen en recordwaarden, raadpleegt u de ondersteuningsgids van Proton.

Meer dan de basis: ARC en BIMI

Zodra uw SPF, DKIM en DMARC zijn ingesteld, zijn er twee optionele standaarden die extra waarde kunnen toevoegen:

Authenticated Received Chain (ARC)

Houdt uw verificatieresultaten intact wanneer e-mails worden doorgestuurd (zoals via adressenlijsten), wat SPF of DKIM vaak verbreekt.

Brand Indicators for Message Identification (BIMI)

Zorgt ervoor dat uw officiële bedrijfslogo naast uw e-mails wordt getoond in ondersteunde inboxen. Zie het als een “geverifieerd vinkje” voor e-mail. Om in aanmerking te komen, heeft u een sterk DMARC-beleid (quarantine of reject) nodig.

Hoe Proton Mail uw zakelijke e-mail beveiligt

Het instellen van e-mailverificatie is essentieel, maar het is slechts één onderdeel van een volledige beveiligingsstrategie. Proton Mail voegt extra beschermingslagen toe om uw bedrijf te beschermen tegen geavanceerde bedreigingen.

Geavanceerde anti-spoofingdetectie

Proton Mail controleert automatisch SPF, DKIM en DMARC op alle inkomende berichten. E-mails die niet door deze controles komen, worden duidelijk gemarkeerd, wat het risico op identiteitsfraude vermindert.

PhishGuard

PhishGuard identificeert verdachte koppelingen, patronen en andere waarschuwingssignalen die basisfilters vaak missen, wat helpt om phishingpogingen te blokkeren voordat ze werknemers bereiken.

End-to-end- en zero-access-versleuteling

E-mails tussen Proton-gebruikers worden automatisch end-to-end versleuteld. Al uw gegevens zijn opgeslagen met zero-access-versleuteling, wat betekent dat zelfs wij uw e-mails niet kunnen lezen.

Koppelingsbevestiging

Wanneer gebruikers op een koppeling in een e-mail klikken, geeft Proton Mail een volledig voorbeeld van de bestemmings-URL weer, wat helpt om onbedoelde klikken op kwaadaardige websites te voorkomen.

Probeer Proton Mail 14 dagen gratis Vraag en demo aan

Beveilig uw zakelijke communicatie

Bescherm uw bedrijf tegen phishing, spoofen en gegevensschendingen met de e-maildienst die veiligheid en privacy vooropstelt. Implementeer sterke e-mailverificatie en profiteer van end-to-end versleuteling en geavanceerde phishingbescherming, alles in één eenvoudige, veilige oplossing.

Probeer Proton Mail for Business Vraag en demo aan

Veelgestelde vragen

Wat is het verschil tussen SPF and DKIM?: SPF controleert wie e-mail mag verzenden voor uw domein door de verzendende server te verifiëren.
DKIM controleert met behulp van een digitale handtekening of het bericht zelf niet onrechtmatig bewerkt is.
Ze lossen verschillende problemen op, dus u heeft beide (en DMARC) daarbovenop nodig voor een volledige verdediging.
Hoe controleren e-mailservers verificatie?: Wanneer een e-mailserver een bericht ontvangt, zoekt deze de SPF-, DKIM- en DMARC-records van de afzender op. Het registreert de resultaten (zoals spf=pass of dkim=fail) in een verborgen header genaamd Authentication-Results. Uw e-mailprovider gebruikt die informatie vervolgens, samen met vele andere signalen, om te beslissen of het bericht in uw inbox moet worden afgeleverd, als spam moet worden gemarkeerd of moet worden geblokkeerd.
Hoe lang duurt het voordat DMARC werkt?: Het DNS-record is meestal binnen enkele uren actief. Maar het veilig uitrollen van DMARC kost tijd: u begint met een beleid dat alleen gericht is op monitoren (p=none), analyseert de rapporten, herstelt legitieme afzenders die niet door de controle komen, en stapt dan geleidelijk over op een strenger beleid (p=quarantine of p=reject). Dit proces duurt vaak enkele weken of maanden.
Wat als oplichters mijn e-mail spoofen?: DMARC bevat een rapportagefunctie die u vertelt of iemand probeert uw domein na te bootsen. Als u dit ontdekt, moet u uw personeel waarschuwen, uw klanten informeren en de oplichting melden bij wetshandhavingsinstanties en anti-phishingorganisaties zoals de FTC of de Anti-Phishing Working Group.
Kan dit alle phishingaanvallen stoppen?: Geen enkele tool stopt alles. SPF, DKIM en DMARC zijn uitstekend in het blokkeren van het direct spoofen van domeinen. Maar aanvallers gebruiken ook trucs zoals look-alike-domeinen of gecompromitteerde accounts. Daarom moet verificatie deel uitmaken van een gelaagde verdediging, naast gebruikerstraining en geavanceerde beschermingsfuncties zoals PhishGuard van Proton.