SPF, DKIM en DMARC zijn drie DNS-gebaseerde e-mailauthenticatiestandaarden die samen voorkomen dat kwaadwillenden jouw domein gebruiken om nep-e-mails te versturen. Zonder deze instellingen is jouw domein kwetsbaar voor e-mailspoofing en phishingaanvallen waarbij aanvallers zich voordoen als jouw organisatie. In dit artikel beantwoorden we de meest gestelde vragen over hoe deze standaarden werken, hoe je ze instelt en wat ze betekenen voor NIS2-compliance.
Wat gebeurt er als SPF, DKIM en DMARC niet zijn ingesteld?
Als SPF, DKIM en DMARC niet zijn ingesteld op jouw domein, kunnen aanvallers e-mails versturen die er precies uitzien alsof ze van jouw organisatie afkomstig zijn. Ontvangende mailservers hebben dan geen manier om te controleren of een bericht legitiem is, waardoor phishing- en spoofingaanvallen vrij spel hebben.
De gevolgen zijn concreet en ernstig. Medewerkers, klanten of partners kunnen frauduleuze e-mails ontvangen die ogenschijnlijk van jouw domein komen, met als doel inloggegevens te stelen, malware te verspreiden of betalingen te manipuleren. Naast de directe schade lijdt ook de reputatie van jouw domein: als jouw domein regelmatig wordt misbruikt voor spam, kunnen e-mailproviders berichten van jouw legitieme adres als verdacht markeren of weigeren.
Een ander risico is dat je als organisatie geen enkel inzicht hebt in dit misbruik. Zonder DMARC-rapportages weet je simpelweg niet dat jouw domeinnaam elders wordt ingezet voor aanvallen. Tools zoals internet.nl kunnen controleren of jouw domein de juiste e-mailauthenticatiestandaarden ondersteunt, wat een goed startpunt is om de huidige situatie in kaart te brengen.
Hoe werkt SPF en wat stelt het precies in?
SPF, voluit Sender Policy Framework, is een DNS-record dat vastlegt welke mailservers gemachtigd zijn om e-mail te versturen namens jouw domein. Wanneer een ontvangende mailserver een bericht ontvangt, controleert hij of het IP-adres van de verzendende server voorkomt in het SPF-record van het afzenderdomein. Staat het IP er niet in, dan faalt de SPF-controle.
Een SPF-record wordt toegevoegd als een TXT-record in de DNS-instellingen van jouw domein. Een eenvoudig voorbeeld ziet er zo uit:
- v=spf1 geeft aan dat het om een SPF-record gaat
- include:mailprovider.com staat toe dat de servers van jouw mailprovider e-mail mogen versturen
- ip4:203.0.113.5 staat een specifiek IP-adres toe
- -all wijst alle andere verzenders af (de strengste instelling)
Een belangrijk aandachtspunt: SPF valideert alleen het technische verzendadres (het zogenaamde envelope-from adres), niet het zichtbare “Van:”-adres dat de ontvanger ziet. Dat is precies waarom SPF alleen nooit voldoende is en altijd gecombineerd moet worden met DKIM en DMARC.
Wat is het verschil tussen DKIM en SPF?
Het kernverschil is dat SPF controleert vanaf welke server een e-mail verstuurd wordt, terwijl DKIM verifieert of de inhoud van het bericht onderweg niet is aangepast. DKIM staat voor DomainKeys Identified Mail en werkt met een cryptografische handtekening die aan het bericht wordt toegevoegd.
Bij DKIM plaatst de verzendende mailserver een digitale handtekening in de header van het e-mailbericht. Deze handtekening is gemaakt met een privésleutel die alleen jouw server kent. De bijbehorende publieke sleutel staat gepubliceerd in jouw DNS. De ontvangende server haalt die publieke sleutel op en controleert daarmee of de handtekening klopt en of de berichtinhoud niet is gewijzigd.
Samengevat:
- SPF beantwoordt de vraag: mag deze server e-mail sturen namens dit domein?
- DKIM beantwoordt de vraag: is dit bericht afkomstig van de echte eigenaar van het domein en ongewijzigd aangekomen?
Een praktisch voordeel van DKIM boven SPF is dat de handtekening ook bewaard blijft als een bericht wordt doorgestuurd. SPF-verificatie faalt namelijk regelmatig bij doorgestuurde berichten, omdat het IP-adres van de doorsturende server niet in het originele SPF-record staat. DKIM is in dat opzicht robuuster, maar ook DKIM heeft beperkingen als het gaat om het zichtbare afzenderadres. Dat is waar DMARC om de hoek komt kijken.
Wat doet DMARC en hoe gebruikt het SPF en DKIM?
DMARC, wat staat voor Domain-based Message Authentication, Reporting and Conformance, is de overkoepelende laag die SPF en DKIM aan elkaar koppelt en een beleid bepaalt voor wat er moet gebeuren met berichten die de controles niet doorstaan. DMARC voegt bovendien rapportagemogelijkheden toe, zodat je inzicht krijgt in hoe jouw domein wordt gebruikt.
DMARC werkt door te eisen dat óf SPF óf DKIM slaagt én dat het gevalideerde domein overeenkomt met het zichtbare “Van:”-adres in het bericht. Dit laatste heet “alignment” en is de cruciale stap die e-mailspoofing effectief tegengaat. Een aanvaller die een technisch geldig SPF-record gebruikt vanuit een ander domein, slaagt dus niet voor de DMARC-alignment-controle.
In het DMARC-record stel je een van drie beleidsopties in:
- none: alleen monitoring, berichten worden niet geblokkeerd
- quarantine: verdachte berichten belanden in de spammap
- reject: verdachte berichten worden volledig geweigerd
Daarnaast kun je in het DMARC-record een e-mailadres opgeven waarop je rapportages ontvangt. Deze rapporten geven je inzicht in welke servers e-mail versturen namens jouw domein, inclusief eventueel misbruik. Voor organisaties die willen voldoen aan moderne beveiligingsnormen is een DMARC-beleid van minimaal quarantine of reject de aanbevolen standaard.
Hoe stel je SPF, DKIM en DMARC correct in?
De correcte instelling van SPF, DKIM en DMARC verloopt stapsgewijs via de DNS-instellingen van jouw domein. Begin altijd met SPF en DKIM voordat je DMARC activeert, want DMARC bouwt voort op de resultaten van beide andere controles.
Stap 1: SPF instellen
Voeg een TXT-record toe aan je DNS met daarin alle mailservers die namens jouw domein mogen verzenden. Gebruik -all aan het einde voor de strengste afwijzing van onbevoegde servers. Controleer of alle legitieme verzendende systemen (zoals CRM-tools, nieuwsbriefplatformen en externe mailproviders) zijn opgenomen, anders worden jouw eigen berichten geblokkeerd.
Stap 2: DKIM instellen
Genereer een DKIM-sleutelpaar via jouw mailprovider of mailserver. Publiceer de publieke sleutel als TXT-record in je DNS onder een selector-subdomein (bijvoorbeeld mail._domainkey.jouwdomein.nl). Zorg dat jouw mailserver de privésleutel gebruikt om uitgaande berichten te ondertekenen.
Stap 3: DMARC instellen en monitoren
Begin met een DMARC-beleid van none en een rapportage-e-mailadres. Analyseer de rapporten die je ontvangt om te begrijpen welke bronnen e-mail versturen namens jouw domein. Zodra je zeker weet dat alle legitieme verzenders correct zijn geconfigureerd, schakel je over naar quarantine en uiteindelijk naar reject.
Een veelgemaakte fout is te snel overstappen naar een streng DMARC-beleid zonder eerst de rapportages te analyseren. Dit kan ertoe leiden dat legitieme e-mail wordt geblokkeerd. Neem de tijd voor de monitoringsfase, zeker als je organisatie meerdere systemen gebruikt die e-mail versturen.
Voldoet mijn organisatie aan NIS2 met alleen e-mailauthenticatie?
Nee, e-mailauthenticatie via SPF, DKIM en DMARC is een noodzakelijke maar niet voldoende maatregel voor NIS2-compliance. De NIS2-richtlijn vereist een breed pakket aan technische en organisatorische maatregelen, waarvan e-mailbeveiliging slechts één onderdeel is.
Onder de NIS2-zorgplicht moeten organisaties aantoonbaar passende maatregelen nemen op onder meer de volgende gebieden:
- Risicoanalyse en beveiligingsbeleid voor informatiesystemen
- Toegangsbeveiliging en multi-factorauthenticatie
- Cryptografie en encryptie
- Beveiliging van de toeleveringsketen
- Bedrijfscontinuïteit en incidentbeheer
- Meldplicht bij significante cyberincidenten
E-mailauthenticatie draagt bij aan de technische basisbeveiliging en vermindert het risico op phishing, wat relevant is voor de NIS2-eis rondom beveiligingsmaatregelen voor personeel en toegangsbeveiliging. Maar het is geen vervanging voor een volledig cybersecurityprogramma. Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht een risicogebaseerde aanpak te hanteren en dit aantoonbaar te maken richting toezichthouders. Een pentest of vulnerability scan kan helpen om inzicht te krijgen in de bredere kwetsbaarheden naast e-mailbeveiliging.
Hoe Q-Cyber helpt met e-mailbeveiliging en NIS2
Bij Q-Cyber helpen we organisaties niet alleen met het technisch correct instellen van SPF, DKIM en DMARC, maar ook met het inbedden van e-mailbeveiliging in een bredere cybersecuritystrategie. Onze aanpak is pragmatisch, onafhankelijk en gericht op wat jouw organisatie echt nodig heeft.
Wat we concreet voor je kunnen doen:
- Technische audit: we controleren de huidige staat van jouw e-mailauthenticatie en signaleren kwetsbaarheden in SPF, DKIM en DMARC-configuraties
- Implementatiebegeleiding: we begeleiden de correcte instelling van alle drie de standaarden, inclusief de monitoringsfase
- NIS2 gap-analyse: we brengen in kaart waar jouw organisatie staat ten opzichte van de NIS2-verplichtingen, inclusief e-mailbeveiliging als onderdeel van het totaalplaatje
- Beleidsvorming: we schrijven beleid op maat dat aansluit op jouw risicoprofiel en voldoet aan de eisen van de Cyberbeveiligingswet
- Trainingen: we verzorgen bewustwordingstrainingen voor medewerkers en bestuurders over phishing en e-mailrisico’s
- Virtuele CISO: via Continuous-Q® bieden we doorlopende begeleiding door een team van specialisten
Wil je weten hoe jouw organisatie er nu voor staat op het gebied van e-mailbeveiliging en NIS2-compliance? Neem contact met ons op voor een vrijblijvend gesprek.