Als je weet hoe e-mail een cruciale rol kan spelen bij het werven en behouden van klanten, dan heb je waarschijnlijk wel eens van SPF en DKIM gehoord.
Misschien weet je zelfs dat SPF en DKIM fundamentele onderdelen van e-mailverificatie zijn en e-mailverzenders en -ontvangers helpen beschermen tegen spam, spoofing en phishing. Maar wat betekenen deze termen eigenlijk en hoe houden ze verband met e-mail deliverability?
SPF en DKIM eenvoudig uitgelegd
In de begindagen van ‘moderne e-mail’ waren er beperkte mechanismen beschikbaar om afzenderverificatie te ondersteunen.
Bijna alle spam, scams en virussen die zich via e-mail verspreidden, maakten gebruik van vervalste afzenderinformatie – en sommige doen dat nog steeds. Verifiëren wie de afzenders van e-mail zijn, was en is nog steeds een moeilijk proces.
Neem het voorbeeld van een bezoek aan www.google.com en het indienen van een zoekopdracht. Je bent er over het algemeen vrij zeker van dat Google controle heeft over wat er voor je zoekopdracht wordt teruggestuurd en dat de zoekresultaten veilig zijn.
Dit komt doordat het DNS (Domain Name System) – een gedistribueerd netwerk van servers die fungeren als een telefoonboek – het domein verbindt met een aantal records, waaronder waar je het echte google.com kunt vinden.
E-mail gebruikt een latere aanpassing van ditzelfde systeem om afzenders te verifiëren, en dat is precies wat een Sender Policy Framework (SPF)-record is.
Hoe werkt SPF?
Op het meest basale niveau stelt SPF een methode in voor ontvangende mailservers om te verifiëren dat inkomende e-mail van een domein is verzonden vanaf een host die is geautoriseerd door de beheerders van dat domein. De volgende drie stappen geven aan hoe SPF werkt:
- Een domeinbeheerder publiceert het beleid dat mailservers definieert die gemachtigd zijn om e-mail van dat domein te verzenden. Dit beleid wordt een SPF record genoemd, en het wordt opgenomen als onderdeel van de algemene DNS records van het domein.
- Wanneer een inkomende mailserver een inkomende e-mail ontvangt, zoekt hij de regels voor het bounce (Return-Path) domein op in DNS. De inkomende server vergelijkt vervolgens het IP-adres van de afzender met de geautoriseerde IP-adressen die in het SPF-record zijn gedefinieerd.
- De ontvangende mailserver gebruikt dan de regels die in het SPF record van het verzendende domein gespecificeerd zijn om te beslissen of hij het e-mailbericht aanvaardt, verwerpt of op een andere manier markeert.
- Om de eerste stap te nemen om je eigen SPF record te inspecteren, kun je dit doen met SparkPost’s gratis tool – de SPF Inspector.
Hoe werkt DKIM?
DKIM werkt simpel gezegd door een digitale handtekening toe te voegen aan de headers van een e-mail bericht. Deze handtekening kan vervolgens worden vergeleken met een openbare cryptografische sleutel die in het DNS record van de organisatie staat.
- De domeineigenaar publiceert een cryptografische sleutel. Deze wordt specifiek geformatteerd als een TXT-record in het algemene DNS-record van het domein.
- Nadat een bericht door een uitgaande mailserver is verstuurd, genereert de server de unieke DKIM handtekening en voegt deze toe aan de header van het bericht.
- De DKIM sleutel wordt vervolgens door inkomende mailservers gebruikt om de handtekening van het bericht op te sporen, te ontcijferen en te vergelijken met een verse versie. Als de waarden overeenkomen, kan worden aangetoond dat het bericht authentiek is, en onderweg niet is gewijzigd, en dus niet is vervalst of veranderd.
Hoe werkt DSN?
DNS is een wereldwijd systeem voor het vertalen van IP-adressen naar door mensen leesbare domeinnamen. Wanneer een gebruiker een webadres als “example.com” probeert te bereiken, voert zijn webbrowser of -toepassing een DNS Query uit bij een DNS-server, waarbij de hostnaam wordt doorgegeven.
De DNS-server neemt de hostnaam en zet die om in een numeriek IP-adres, waarmee de webbrowser verbinding kan maken.
Een onderdeel, een DNS Resolver genaamd, is verantwoordelijk voor het controleren of de hostnaam beschikbaar is in de lokale cache, en zo niet, contacteert het een reeks DNS Name Servers, totdat het uiteindelijk het IP krijgt van de dienst die de gebruiker probeert te bereiken, en stuurt het terug naar de browser of applicatie.
Dit duurt meestal minder dan een seconde.