Mail in quarantaine

Introductie

Waarschijnlijk ben je op deze pagina terecht gekomen, omdat iemand van StartUp4Kids je hier een link van toestuurde. Een of meer mails van jouw organisatie belandde in onze quarantaine. Hoe dit komt en wat je er aan kunt doen vind je hier. Hulp van een ervaren IT specialist op dit vlak is aan te bevelen.

Hoe jouw e-mail in onze quarantaine belandde

In het kort: onze spamfilter (Google) heeft niet kunnen achterhalen of jouw e-mail echt van jou of SPAM (of erger) is. Er is niet direct vast te stellen dat de e-mails afkomstig zijn van jouw organisatie, omdat dit domein gegevens mist waar moderne maildiensten op controleren als ze een mail hebben ontvangen. Dit artikel helpt dit probleem op te lossen.

De mechaniek in begrijpelijke taal

Mails worden verstuurd en ontvangen door zogenaamde mailservers (computers met een programma dat e-mail aflevert). Er zijn mailservers die alleen e-mails versturen (vergelijkbaar met de straatbrievenbus) en er zijn mailservers die alleen e-mails ontvangen (vergelijkbaar met de woningbrievenbus). Een organisatie verstuurt een e-mail altijd via een of meerdere vaste mailserver(s). Deze lijst met mailservers die e-mails uit naam van het domein van jouw organisatie mag versturen publiceer je in de domein administratie (m.a.w. een DNS record met SPF gegevens; hieronder praktijkvoorbeelden). Uiteraard mag iedereen deze lijst vrij inzien.

De ontvangende mailserver opent de mail, kijkt in de afzender welk domein het gebruikt en raadpleegt de lijst bij dat domein of de zendende mailserver in de lijst staat. Is dat niet zo, dan wordt nogmaals het domein geraadpleegd of er een DNS record is met DMARC gegevens. Daarin staat wat er in dat geval met de mail moet gebeuren; bijvoorbeeld verwijderen of afleveren naar de mailbox, maar in de spamfolder.

1. SPF: is een whitelist, een lijst met mailservers die namens het domein mail mag versturen. DMARC zorgt voor het verwijderen van e-mails die niet op deze whitelist staan. Stel binnen de organisatie de vraag wie er namens jullie domein mails verstuurt. Denk aan nieuwsbrieven (Mailchimp, Laposta), boekhoudsysteem, etc.
   

2. DKIM: is een digitale handtekening die aan elk bericht wordt meegegeven zodra het de maildienst verlaat en het internet op wordt gestuurd. Met deze handtekening is het zeker dat een mail van jouw organisatie afkomstig is, al het andere dus niet. DKIM bestaat uit zowel een DNS record als een instelling in de mailsystemen. Een hostingprovider moet ook op de 'uitgaande' mailservers DKIM onderhouden. DKIM kun je ook laten meewegen in DMARC ("fo=1"), maar dat is standaard niet zo.
   

3. DMARC: is jouw domeinbeschermer. Maak een keuze wat er met mail moet gebeuren die niet voldoen aan SPF en/of DKIM:

   1. p=none oftewel, geen bescherming, iedereen mag namens jouw domein mails versturen.

   2. p=quarantine, zakelijk veiligere oplossing. Mocht het misgaan, dan kun je de ontvanger nog vragen of de mail in de spamfolder zit

   3. p=reject, je weet precies welk systeem namens jouw domein stuurt. Mail niet van jou? Zeg hiermee tegen de ontvangende mailserver dat het de mail verwijderd: het is zeer waarschijnlijk een SPAM, malware of Phishing mail.

DMARC invoeren

Als je zeker weet welke systemen namens de organisatie mails versturen begin je met "p=quarantine" zodat een mail in ieder geval in de spamfolder van de mailbox ontvanger te vinden is. Je kunt ook overwegen niet 100% ("pct=100") van de mails daar aan te laten voldoen, maar een lager percentage als 20% ("pct=20"). Hieronder vind je voorbeelden. Dit voer je langzaam, maar zeker op tot 100% en van "quarantine" naar "reject". Sturen alle maildiensten in de SPF lijst met DKIM; neem dan "fo=1" in de DMARC op (voorbeeld).

Kun je DKIM weglaten?

SPF en DMARC liggen altijd binnen handbereik, dat stel je immers in op de DNS (zie hieronder). DKIM is een dienst dat de hostingprovider zou moeten leveren op de mailsystemen. Als dat niet zo is, dan is het een goed idee om te kijken naar een maildienst die dit wel biedt. Waarom? SPF is een whitelist, maar je bent niet de enige op deze mailsystemen. Het wordt gedeeld met honderden, duizenden of meer klanten. Al deze mensen kunnen dus via deze systemen mails namens jouw domein sturen. Met DKIM is dat uitgesloten, mits je de optie "fo=1" in de DMARC meeneemt (voorbeeld).

Praktijk voorbeelden in DNS

Voor SPF ziet dat er bijvoorbeeld zo uit

In zo'n 'include' staat een IP nummer van een mailserver of een naam waaronder een heleboel IP nummers van mailservers vallen. Zoals _spf.google.com of spf.protection.outlook.com waar honderdduizenden mailservers in verborgen zijn.

+---------------+-------+---------+------------------------------------------------+
| Naam | TTL | Type | Waarde |
+---------------+-------+---------+------------------------------------------------+
| @ | 1 dag | TXT | v=spf1 include:_spf.google.com -all |
+---------------+-------+---------+------------------------------------------------+

Voor meer voorbeelden, kijk op deze pagina. Je kunt ook een eigen SPF record opbouwen met deze link.

Voor DMARC ziet dat er bijvoorbeeld zo uit:

Minimale opbouw:

+--------+-------+---------+-------------------------------------------------+
| Naam | TTL | Type | Waarde |
+--------+-------+---------+-------------------------------------------------+
| _dmarc | 1 dag | TXT | v=DMARC1; p=quarantine; sp=reject; pct=100 |
+--------+-------+---------+-------------------------------------------------+

Voor meer opties, kijk op deze pagina.

Tot slot

Heb je meer vragen over dit onderwerp? Lees de artikelen over 'domeinreputatie' op deze site. Heb je daarna nog steeds vragen? Stel ze gerust op ict@startup4kids.nl. Ik zal vooral doorverwijzen naar de hostingprovider, maar met handvatten. Hoe stel je zo'n binaire IT-er de juiste vragen. ;-)