Verbeter je mailserver met SPF, DKIM en DMARC. - Mijnglasvezelverbinding

Gehost op Synology NAS met XS4ALL glasvezel

Verbeter je mailserver met SPF, DKIM en DMARC.

SPF record

Een SPF (Sender Policy Framework) record wordt door mailservers gebruikt om spam te detecteren. Het is een manier om vast te stellen of de verzender van een email gerechtigd is om een email te verzenden namens de afzender
Wanneer je een eigen mailserver hebt dan wil je ook een SPF record voor jouw server.

Een SPF record kun je zelf veranderen in je DNS instellingen. In dat record wordt vermeld welke mailservers email mogen verzenden namens dat domein.

Het is een DNS record van het type TXT, waarbij naam “jouw domeinnaam” en waarde “v=spf1 mx a ~all”

spfrecord

DKIM

DKIM staat voor DomainKeys Identified Mail en is een techniek om je emails te ondertekenen met een digitale handtekening. In je DNS instellingen plaatst je een bijbehorende publieke sleutel die ontvangende mailservers kunnen gebruiken om jouw digitale handtekening te valideren.

Wanneer je de mailserver van Synology gebruikt dan kun je de DKIM instellingen vinden in het tabblad Security van de mailserver. DKIM bestaat uit een willekeurige prefix, en een publieke sleutel Wanneer je op Generate Public Key klikt dan maakt Synology een prive sleutel aan waarmee de emails ondertekend worden. Daarnaast toont hij de publieke sleutel waarmee ontvangende emailserver de ondertekening kunnen valideren. De waarde die hier getoond wordt dien je op te nemen in de DNS.

Mailserver_DKIM

 

Bovenstaande publieke sleutel moet je opnemen als TXT DNS record.

Naam: [prefix]._domainkey.[domein]

Type: TXT

Waarde: v=DKIM1; p=[publieke sleutel]; t=s

DNS_DKIM

Deze key wordt gebruikt voor alle domeinen die je host op je Synology NAS.

 

DMARC

DMARC staat voor “Domain-based Message Authentication, Reporting & Conformance”. Het is een techniek die ontvangende emailservers een keuze geeft wat te doen met emails die namens jouw verzonden zijn en niet voldoen een SPF en DKIM. De beslissing kunnen ze maken door jouw DNS record in te lezen. In dat record geeft je aan wat er gedaan moet worden. Daarnaast sturen ze jou een rapportje, zodat je kunt zien wanneer er emails namens jou verzonden worden.

Onderstaande gegevens stel je in als DNS record voor jouw domein.

Naam: _dmarc.[domein]

Type: TXT

Waarde: v=DMARC1; p=none; pct=100; rua=mailto:[jouw email]

Uitleg:

v: DMARC versie

p: policy. Je hebt hier dus keuze tussen none, quarantine (zet in spam folder) of reject (blokkeer)

pct: percentage van emails die de ontvangende mailserver zou moeten controleren.

mailserver_DMARC

Je geeft hiermee aan wat een ontvangende mailserver moet doen met email die namens jouw domein zijn verzonden. Deze mail kan dus ook verzonden zijn door een andere mail server zijn die doet alsof hij door jou is verzonden.

Ontvangende emailserver sturen naar het opgegeven emailadres een rapport met metadata van de ontvangende emails. Wanneer onbekende emailserver namens jou emails verzenden krijg je dit dus te weten wanneer je deze rapporten leest!

Testen

Je wilt natuurlijk goed testen of je mailserver betrouwbaar is, en hoe andere emailservers reageren op emails die verzonden door jouw mailserver. In dit artikel leg ik uit hoe je dat doet, en waar je op moet letten.

 


3 Comments

  • Hey roel ik zit zelf bij mijndomein, klopt het dat bij jou DSN instellingen en dan ”naam” het opgegeven domein is plus eventueel een subdomein als voorvoegsel ?
    Als ik bijvoorbeeld mail.mijndomein.nl gebruik voor mijn mail moet ik dit dan ook gebruiken voor de ”txt” DNS-regel ?

    En bij DKIM zie ik dat je in dit voorbeeld roel._domainkey gebruikt, is dit het subdomein ?

    Bij mijndomein is het namelijk gescheiden in:

    Type (a/mx): Subdomein: Domeinnaam: Inhoud: Prioriteit:

    En als laatste bij DMARC:
    Waarde: v=DMARC1; p=none; pct=100; rua=mailto:[jouw email]
    Wat bedoel je precies met ”jou email” ?

    Gr pieter

Post a Comment

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

  • Categorieën

  • Tag cloud