Veilige e-mailstandaarden voor optimale deliverability

E-mail is een van de meest gebruikte communicatiemiddelen, vooral binnen ondernemingen en organisaties; zakelijk gebruik dus. Naar verwachting groeit het aantal e-mailgebruikers wereldwijd verder tot 4,6 miljard gebruikers in 2025 (Statista, 2022). E-mail is ontwikkeld in de beginjaren van het internet en het concept is gebaseerd op de traditionele brievenpost. Daardoor kent e-mail verschillende kwetsbaarheden en is het voor cybercriminelen de belangrijkste manier om toegang te krijgen tot systemen en gegevens. Zij gebruiken vervalste e-mailadressen in combinatie met phishing, malware en spoofing om persoonsgegevens of andere informatie te achterhalen en geld afhandig te maken van personen of bedrijven. Om de gevolgen van online fraude en kwaadaardige software te voorkomen, is het belangrijk dat je zorgvuldig omgaat met e-mail en jouw e-mailverkeer goed beveiligt. Dat kan door veilige en moderne e-mailstandaarden te implementeren.

In deze blogpost gaan we dieper in op deze e-mailstandaarden. We leggen uit dat deze standaarden zijn, waarom ze zo belangrijk zijn en we laten zien hoe je deze standaarden kunt implementeren of controleren.

Veilige en moderne e-mailstandaarden

Zo’n 96% van de Nederlandse bedrijven heeft het e-maildomein onvoldoende beveiligd (ABN Amro en MWM2, 2022). We vinden dat een zorgelijke ontwikkeling, want cyberaanvallen komen gewoonweg regelmatig voor. Om e-mail te beveiligen zijn er diverse standaarden beschikbaar.

Zo gaan e-mailstandaarden als SPF, DKIM, DMARC en DANE phishing, spam en malware tegen. Deze standaarden worden vaak samen ingezet en voorkomen dat een e-mail zomaar namens een andere partij wordt verstuurd. Hierbij worden diverse nieuwe records (DNS-gegevens) in de DNS-informatie opgenomen. Daarnaast gaat STARTTLS in combinatie met DANE het afluisteren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers met TLS te beveiligen op basis van certificaten. Met DANE kunnen e-mailservers het gebruik van TLS afdwingen. De vertrouwelijkheid van de berichtenuitwisseling wordt hiermee beveiligd.

SPF, DKIM, DMARC en DANE kun je los van elkaar en op willekeurige volgorde implementeren. Wel is het belangrijk dat je DANE altijd in combinatie met DNSSEC gebruikt. Voor de andere e-mailstandaarden is DNSSEC niet verplicht, maar wel aanbevolen. De afgelopen jaren is de inzet van DANE sterk gegroeid. Een mogelijke reden hiervoor is dat deze beveiligingsstandaard wordt ondersteund in de grote e-mailserverpakketten.

SPF (Sender Policy Framework)

SPF is een effectief hulpmiddel tegen spoofing (het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen) en phishing doordat het ontvangers in staat stelt te controleren of de verzendende server gemachtigd is om namens de verzendende domeinnaam e-mails te versturen. Het toevoegen van een SPF-record aan je DNS-configuratie vertelt e-mailproviders welke servers legitiem zijn voor het verzenden van e-mails vanaf jouw domeinnaam. Het op een juiste manier toevoegen van een SPF-record zorgt er voor dat de kans op vervalsing verminderd wordt.

Lees meer over het gebruik van een SPF record.

DKIM (DomainKeys Identified Mail)

DKIM voegt een digitale handtekening toe aan uitgaande e-mails. Ontvangers kunnen op deze manier verifiëren of het bericht daadwerkelijk afkomstig is van de beweerde afzender en niet is gewijzigd tijdens de overdracht. Door een DKIM-handtekening toe te voegen, vergroot je de betrouwbaarheid van je e-mails en verbeter je de kans dat ze worden afgeleverd in de inbox van de ontvanger.

Lees meer over het gebruik van een DKIM record.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC biedt een extra laag van e-mailvalidatie door SPF- en DKIM-authenticatie te combineren en specifieke beleidsregels vast te stellen voor de afhandeling van e-mails die niet aan deze authenticatiemethodes voldoen. Door DMARC te implementeren, kun je de controle behouden over hoe jouw domeinnaam wordt beschermd tegen misbruik en de reputatie van je e-mailverzending verbeteren.

Lees meer over het gebruik van een DMARC record.

DANE (DNS-based Authentication of Named Entities)

DANE is een methode om de authenticiteit van digitale certificaten te verifiëren door middel van DNSSEC (Domain Name System Security Extensions). Het stelt e-mailproviders in staat om de geldigheid van SSL/TLS-certificaten te controleren die worden gebruikt voor het versleutelen van e-mailcommunicatie. Door DANE te implementeren, verhoog je de beveiliging van je e-mailinfrastructuur en verbeter je de vertrouwelijkheid van je e-mailverkeer.

Lees meer over het instellen van DNSSEC.

STARTTLS

STARTTLS is een uitbreiding van het SMTP-protocol (Simple Mail Transfer Protocol) die de mogelijkheid biedt om e-mailcommunicatie te versleutelen met behulp van SSL/TLS tijdens de overdracht tussen e-mailservers. Door STARTTLS te gebruiken, voorkom je dat gevoelige informatie wordt onderschept en gelezen door onbevoegde partijen.

Het toepassen van veilige e-mailstandaarden is belangrijk. Als ondernemingen en bedrijven veilige e-mailstandaarden op grote schaal implementeren, ontstaat er een uniforme aanpak van e-mailbeveiliging. Zo kunnen bedrijven en systemen beter onderling samenwerken en gemakkelijker veilig online communiceren. Daarnaast zorgt het massaal toepassen van deze standaarden ervoor dat het voor cybercriminelen moeilijker is om kwetsbaarheden te vinden. Wil je direct starten met de implementatie van veilige e-mailstandaarden? Check dan eerst hoe het gesteld is met jouw e-mailconfiguratie. Dit kan via de tooling van mail-tester. Vervolgens kun je de volgende checklist e-mailstandaarden (aangeboden door SIDN) doorlopen.