Veilige E-mail
De beste website zorgt voor veilige e-mail en verstuurt die via een beveiligde verbinding. En beschermt de e-mail met anti-spam maatregelen. Verstuurt uw server veilige e-mail?
Veilige E-mail versturen
Verzamelt u via formulieren op uw website gegevens van bezoekers? Bezoeken zij uw website via een beveiligde https verbinding? Hoe verstuurt uw website de notificaties naar uw e-mail adres? Worden die ook via een beveiligde e-mail verbinding verstuurd?
En hoe zorgt u ervoor dat u uzelf authenticeert als verzender van uw e-mail? En dat e-mail notificaties vanaf uw website door de server van de ontvanger niet als spam worden aangemerkt?
Veilige E-mail via beveiligde verbinding
Een e-mail leest en schrijft u vanuit een e-mail client (Outlook, Mail, Thunderbird, Gmail website, etc). Bij het versturen van een e-mail maakt uw e-mail client contact met een Mail Transfer Agent (MTA). Dat is een mailserver die zorgt voor de e-mail afhandeling en ervoor zorgt dat de mail bij de geaddresseerde ontvanger aankomt.
De communicatie tussen uw e-mail client en de mail server (MTA) gaat via het SMTP protocol. Dat is een afspraak hoe de e-mail client en MTA onderling communiceren om de mail over te dragen.
Een server kan verschillende SMTP protocollen ondersteunen en die worden op verschillende poorten aangeboden:
- SMTP (Poort 25) - onbeveiligde platte tekst
- STARTTLS (Poort 587) - indien mogelijk wordt de mail beveiligd verzonden (wordt ook wel "Opportunistic TLS" genoemd)
- SSL/TLS (Poort 465) - de e-mail wordt via een beveiligde verbinding aan de MTA aangeboden, beveiligd via "SMTP secure".
U kunt alleen het eerste gedeelte van de e-mail communicatie beveiligen. Dus van uw e-mail client naar de MTA, of van uw website die een e-mail notificatie verstuurd naar de MTA. Bij de communicatie van de MTA naar de uiteindelijke ontvanger heeft u geen controle over de veiligheid van de verbinding.
Veilige E-mail door anti-spam maatregelen
Meer de helft van alle wereldwijd verstuurde e-mail bestaat uit spam. Om die grote hoeveelheid spam in te dammen, gebruiken steeds meer e-mail providers anti-spam software. Indien uw legitieme e-mail berichten niet meer bij de ontvangers aankomen, wordt uw e-mail mogelijk aangemerkt als spam.
E-mail providers proberen die grote stroom spam in te dammen. Allereerst kost spam resources. En als hun klanten spam versturen, dan kan het IP adres van de mailserver van de e-mail provider op een blacklist komen. E-mail die wordt verstuurd via dergelijke mailservers, wordt vaak door ontvangende mailservers geblocked. De klanten van een e-mail provider die op zo'n blacklist staan kunnen dan geen mail sturen naar ontvangers waarvan de mailservers zo'n blacklist gebruiken.
De maatregelen die e-mail providers nemen:
- U kunt alleen mail versturen nadat u zich heeft authenticeert bij de SMTP server met inlognaam en wachtwoord (standaard ingesteld in uw e-mail client)
- Rate limit - de hoeveelheid e-mail berichten die u mag sturen wordt beperkt, bijvoorbeeld 250 per uur
- Uitgaande e-mail wordt gescand op spam
- Uw IP adres wordt meegestuurd als "X-Originating-IP".
Bij e-mail is het vrij gemakkelijk om de afzender te veranderen. Vergelijk het met een envelop waarop u aan de achterkant een willekeurige afzender kunt schrijven. Alleen de poststempel geeft aan waar de brief ongeveer vandaan komt. Een spammer kan uw e-mail adres gebruiken als afzender van hun spam berichten. Alleen het IP adres van de MTA zal dan anders zijn dan bij uw e-mails.
Er zijn enkele anti-spam maatregelen waarmee u uw eigen e-mail kunt authenticeren. Sommige mailservers laten niet geauthenticeerde e-mail later door omdat die extra op spam worden gecontroleerd.
Sender Policy Framework (SPF)
Bij dit protocol bepaalt de DNS van de domeinnaam wie er e-mail mag versturen. Een Domain Name System server koppelt domeinnamen aan diensten en IP adressen.
Als u gebruik wilt maken van SPF, dan dient u een "TXT record" aan de DNS toe te voegen. Daar definieert u welke servers uw e-mail mogen versturen. Stel dat u de domeinnaam example.com heeft. U verstuurt e-mail via een e-mail client en via uw website. Dan neemt u in de DNS een record op als: v=spf1 a mx ip4:1.2.3.4 a:example.com -all
Een ontvangende mailserver controleert bij uw DNS wie mail voor u mag versturen. De mailserver vergelijkt dat met de IP adres in het de e-mail header. Als de gegevens niet kloppen, dan kan de ontvangende mailserver de mail tegenhouden of een spam waarschuwing invoegen.
DomainKeys Identified Mail (DKIM)
DKIM werkt met een digitale handtekening. Als u gebruik wilt maken van DKIM, dan dient u een "TXT record" aan de DNS toe te voegen. In dat record plaats u een digitale handtekening. Bij het verzenden wordt er in elke e-mail die u verstuurt automatisch een digitale handtekening in de header geplaatst.
Een ontvangende mailserver controleert of de digitale handtekening in de header van uw e-mail hoort bij de digitale handtekening in de DNS van uw domeinnaam. Als de gegevens niet kloppen, dan kan de ontvangende mailserver de mail tegenhouden of een spam waarschuwing invoegen.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Bij DMARC communiceert u uw anti-spam beleid via de DNS van uw domeinnaam.
Een ontvangende mailserver controleert het SPF record, het DKIM record en vraagt uw DMARC record op om te zien wat er met mogelijke spam dient te gebeuren. Als de gegevens niet kloppen, dan kan de ontvangende mailserver de mail markeren met een een spam waarschuwing, in quarantaine (in spam folder) of geheel tegenhouden. En eventueel kan de ontvangende mailserver worden opgedragen om een e-mail notificatie aan de verstuurder sturen zodat zij maatregelen kunnen nemen.
Terug naar: Een veilige website
Meer weten?
- Artikel: statista.com: Global spam volume
- Website: Sender Policy Framework (SPF)
- Website: DomainKeys Identified Mail (DKIM)
- Website: DMARC (Domain-based Message Authentication, Reporting and Conformance)
- Online Tool: SPF Wizard
- Online Tool: SPF and DKIM keys checker
- Online Tool: DKIM Record Check
- Online Tool: SPF/DKIM/DMARC/DomainKey/RBL Test