Wat zijn SPF, DMARC en DKIM ?

Spf, dkim, dmarc en bimi zijn e-mailauthenticatie- en beveiligingsstandaarden. Deze standaarden zorgen ervoor dat e-mails aantoonbaar vanaf jouw domein worden verzonden en verkleinen de kans dat je domeinnaam wordt misbruikt voor spam of phishing.

Deze technieken werken samen en worden ingesteld via dns-records van je domein. Ontvangende mailservers gebruiken deze informatie om te bepalen of een e-mail betrouwbaar is en of deze wordt afgeleverd in de inbox, de spamfolder of volledig wordt geweigerd.

Spf staat voor sender policy framework. Met spf geef je aan welke mailservers namens jouw domein e-mails mogen versturen. Dit voorkomt dat onbevoegde servers zich kunnen voordoen als jouw domein.

Wanneer een ontvangende mailserver een e-mail ontvangt, controleert deze het spf-record van het domein. Als de verzendende server niet in dit record staat, kan de e-mail worden afgekeurd of als spam worden gemarkeerd.

Type: txt
Host: @
Waarde:
​v=spf1 ip4:192.0.2.10 include:_spf.google.com include:sendgrid.net ~all

In dit voorbeeld is e-mail toegestaan vanaf één vast ip-adres, Google Workspace en SendGrid. Met ~all geef je aan dat andere servers niet zijn toegestaan, maar nog niet direct hard worden geblokkeerd.

Dkim staat voor domainkeys identified mail. Dkim voegt een digitale handtekening toe aan uitgaande e-mails. Deze handtekening wordt aangemaakt met een privésleutel en gecontroleerd met een publieke sleutel die in dns is opgenomen.

De ontvangende mailserver controleert of de inhoud van de e-mail onderweg niet is aangepast. Als de handtekening geldig is, weet de ontvanger dat het bericht authentiek is en daadwerkelijk van jouw domein afkomstig is.

Type: txt
Host: selector1._domainkey
Waarde:
​v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...

De selector wordt bepaald door de mailserver of e-maildienst. De lange p= waarde bevat de publieke sleutel.

Dmarc staat voor domain-based message authentication, reporting and conformance. Dmarc bouwt voort op spf en dkim en bepaalt wat er moet gebeuren als een e-mail niet door één of beide controles komt.

Type: txt
Host: _dmarc
Waarde:
​v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Met dit record worden e-mails die niet aan de controles voldoen in quarantaine geplaatst. Daarnaast ontvang je rapportages over mislukte afleveringen op het opgegeven e-mailadres.

Bimi staat voor brand indicators for message identification. Bimi maakt het mogelijk om je logo zichtbaar te tonen in de inbox van de ontvanger, bijvoorbeeld bij Gmail of Yahoo.

Type: txt
Host: default._bimi
Waarde:
​v=BIMI1; l=https://jouwdomein.nl/logo.svg; a=https://jouwdomein.nl/vmc.pem

De l= verwijst naar een svg-logo dat voldoet aan de bimi-richtlijnen. De a= verwijst naar een verified mark certificate (vmc), wat door sommige e-mailproviders verplicht wordt gesteld.

Spf controleert vanaf welke mailservers e-mail mag worden verzonden. Dkim controleert of de inhoud van de e-mail onderweg niet is gewijzigd. Dmarc bepaalt wat er gebeurt wanneer een van deze controles faalt. Bimi gebruikt deze betrouwbaarheid om je merk zichtbaar te maken in de inbox.

Door alle vier de standaarden correct in te stellen: