Beveiligen van e-mail met SPF, DKIM, DMARC, DNSSEC en DANE

Gebruik van email veiliger maken

Email is een van de meest gebruikte communicatiemiddelen ter wereld. Het is een snel en gemakkelijke manier om met anderen in contact te komen. Helaas is email ook een kwetsbaar medium voor aanvallen. Spam, phishing en andere vormen van cybercrime worden vaak via e-mail verspreid. Om het gebruik van e-mail veiliger te maken kun je een aantal maatregelen nemen, zoals het gebruik van SPF, DKIM, DMARC, DNSSEC en DANE. In dit artikel leggen we deze technieken uit en beschrijven we hoe je deze kunt toepassingen binnen een Microsoft365 omgeving.

SPF (Sender Policy Framework) 

Dit is een techniek die het mogelijk maakt om te verifiëren of een e-mailbericht is verzonden door een geautoriseerde afzender. SPF werkt door een record in je DNS-zone te plaatsen dat de IP-adressen of domeinnamen bevat die mogen worden gebruikt om email namens je domein te verzenden. Wanneer een ontvanger een e-mailbericht ontvangt, kan hij dit record raadplegen om te controleren of het bericht is verzonden vanaf een van de geautoriseerde IP-adressen. Meer informatie over het configureren van SPF vind je in onze handreiking beveiligen e-mail.

DKIM (DomainKeys Identified Mail) 

Deze techniek maakt het mogelijk om de authenticiteit van een e-mailbericht te verifiëren. DKIM werkt door een digitale handtekening aan een e-mailbericht toe te voegen. Deze handtekening wordt opgemaakt met een sleutel die is gekoppeld aan je domein. Wanneer een ontvanger een e-mailbericht ontvangt, kan hij de handtekening controleren om te verifiëren of het bericht is verzonden vanaf het domein dat in de handtekening wordt vermeld. Meer informatie over het configureren van DKIM vind je in onze handreiking beveiligen e-mail.

DMARC (Domain-based Message Authentication, Reporting and Conformance) 

Dit is een techniek die het mogelijk maakt om de afleverbaarheid van e-mailberichten te verbeteren en de impact van phishingaanvallen te verminderen. DMARC werkt door een beleid te definiëren voor de manier waarop ontvangers moeten reageren op e-mailberichten die geen geldige SPF- of DKIM-handtekening hebben. Meer informatie over het configureren van DMARC vind je in onze handreiking beveiligen e-mail.

DNSSEC (Domain Name System Security Extensions)

Met behulp van deze techniek maak je het mogelijk om de integriteit van DNS-records te verifiëren. DNSSEC werkt door digitale handtekeningen aan DNS-records toe te voegen. Deze handtekeningen worden opgemaakt met een sleutel die is gekoppeld aan het DNS-domein. Wanneer een gebruiker een DNS-record opvraagt, kan hij de handtekening controleren om te verifiëren of het record is gewijzigd door een bevoegde partij. Meer informatie over het configureren van DNSSEC vind je in onze handreiking beveiligen e-mail.

DANE (TLSA DNS Authentication of Named Entities) 

Met DANE kun je de authenticiteit van TLS-certificaten verifiëren. DANE werkt door een record in je DNS-zone te plaatsen dat de TLS-certificaten bevat die gebruikt mogen worden om verbinding te maken met je servers. Wanneer een gebruiker een verbinding maakt met je servers, kan hij dit record raadplegen om te controleren of het TLS-certificaat is uitgegeven door een betrouwbare certificeringsautoriteit.

Door deze technieken te gebruiken, kun je de beveiliging van je e-mail verbeteren en je tegen aanvallen beschermen.