Beveilig je domeinnaam met SPF, DKIM en DMARC

Published by Rijk Prosman on

Het toepassen van hardening op domeinnamen is van belang om er voor te zorgen dat domeinnamen niet misbruikt worden. Zo voorkom je door het correct instellen van SPF, DKIM en DMARC misbruik zoals phishing en spoofing. Dit geldt niet alleen voor domeinnamen die actief worden gebruikt, maar ook voor domeinnamen die enkel zijn geregistreerd en niet worden gebruikt voor de hosting van een website of het gebruik van e-mail. Zonder deze beveiliging kunnen dergelijke domeinen namelijk eenvoudig worden misbruikt voor phishing.

SPF – Sender Policy Framework,

SPF controleert of een e-mail echt van de afzender komt door na te gaan of de server die de e-mail verzendt, is geautoriseerd om namens het betreffende domein van de afzender te mogen mailen. Het juiste gebruik van SPF helpt om te voorkomen dat uw domeinnaam wordt misbruikt door hackers voor phishingdoeleinden.

Tips SPF:

  • Gebruik altijd een hardfail: -all
    (Softfail ~all alleen tijdelijk tijdens implementatie.)
  • Controleer periodiek het SPF-record en verwijder systemen/services die niet langer worden gebruikt.

Voor een domeinnaam die niet wordt gebruikt voor e-mail doeleinden, gebruik dan de volgende configuratie:
v=spf1 -all (geen enkel systeem mag mailen namens dat domein)

DKIM – Domain Keys Identified Mail

DKIM zorgt er voor dat e-mailberichten worden voorzien van een digitale handtekening, die de ontvanger kan controleren. Zoals ook het geval is bij SPF, helpt DKIM om te voorkomen dat uw domeinnaam wordt misbruikt door hackers voor phishingdoeleinden.

Tips DKIM:

  • DKIM altijd activeren in de mailomgeving (Microsoft 365, Google Workspace, etc.)
  • Elke mailstroom (bijv. M365 + marketingtool) moet eigen DKIM-signing gebruiken
  • Keylengte minimaal 2048 bits (1024 bits is achterhaald en kwetsbaar)

Voor een domeinnaam die niet wordt gebruikt voor e-mail doeleinden, hoef je geen DKIM-records in te stellen.

DMARC – Domain-based Message Authentication, Reporting & Conformance.

Via DMARC is het mogelijk om in te stellen hoe strak het beleid van SPF en DKIM
moet worden opgevolgd door ontvangers. Net zoals bij SPF en DKIM helpt DMARC om te
voorkomen dat uw domeinnaam wordt misbruikt door hackers voor phishingdoeleinden.

Tips DMARC:

  • Begin minimaal met p=quarantine, maar werk toe naar p=reject (aanbevolen)
  • Gebruik rua-adres voor rapportages
  • Controleer periodiek DMARC-rapporten om misbruik vroeg te zien

Voor een domeinnaam die niet wordt gebruikt voor e-mail doeleinden, gebruik dan de volgende configuratie:
v=DMARC1; p=reject; sp=reject

Let op! Voor een streng DMARC-beleid moeten alle systemen die e-mail versturen namens uw
domein correct zijn ingesteld met SPF of DKIM. Als dat niet zo is, kunnen ook legitieme e-mails
worden geweigerd.

Meer lezen:

Categories: Cybersecurity

Related Posts

Cybersecurity

Phishing: je kunt het niet voorkomen, wél beperken

Iedere organisatie krijgt ermee te maken: phishing. Van kleine MKB-bedrijven tot grote instellingen, niemand ontkomt eraan. En laten we eerlijk zijn: hoe goed je medewerkers ook traint, er komt altijd een moment waarop iemand wél ..... Lees meer

Cybersecurity

Dáág wachtwoorden! Wachtwoordloos inloggen in Microsoft 365

Hoe fijn zou het zijn dat je geen wachtwoorden meer nodig zou hebben en dat hiermee het inloggen in systemen nog makkelijker en sneller zou kunnen gaan? In mijn eerdere blog “Wachtwoorden, wachtwoorden en nog ..... Lees meer

Cybersecurity

Lessen voor het MKB uit de hack-aanval op gemeente Buren

Ongetwijfeld heeft u gehoord van de hackaanval op de gemeente Buren welke op 1 april 2022 plaatsvond. De onderzoekers van Hunt & Hackett hebben in overleg met de gemeente Buren een openbaar rapport gepubliceerd over ..... Lees meer

Copyright © Compleon - Privacyverklaring - Algemene voorwaarden