Authenticatie: SPF, SenderID en DKIM
door Jenny Peters , , Michael Heering , Clayton van Oostwaard , Jeffrey Bertoen
Authenticatie van e-mail is het controleerbaar maken van de afzender en content van berichten voor ontvangende mailservers. Authenticatie wordt door veel spamfilters toegepast als eerste check bij inkomende berichten. Als de authenticatie niet op orde is, wordt de e-mail geweigerd of extra strak onder de loep genomen. Daarom is het authenticeren van je eigen verzendsysteem, die van je tussenpartij en die van eventuele derde partijen die uit jouw naam versturen, een belangrijke stap om je e-mails in de inbox van de ontvanger te krijgen.
SPF, SenderID en DKIM zijn allemaal manieren om authenticiteit te waarborgen, alleen werken ze op verschillende manieren. Dit artikel legt voor de (niet-programmerende) marketeer (versimpeld) uit volgens welke principes deze technieken werken.
DNS: digitaal postcodeboek
Om authenticatie uit te leggen, leggen we eerst iets uit over domeinnamen. Elke domeinnaam (bijv. 'www.copernica.com') is gekoppeld aan een IP adres. Het IP adres is het unieke herkenningsadres van een netwerk (bijv. 217.67.229.100). Hiermee kan elke computer aangesloten op internet de betreffende website vinden. De koppeling tussen domeinnaam en IP adres heet het Domain Name System (DNS).
Om te onthouden welk domein welk IP adres heeft, zijn er speciale DNS-servers. Een soort digitale postcodeboeken met DNS gegevens. Elke keer dat iemand een website aanroept, wordt razendsnel contact met een DNS-server gemaakt om het juiste IP adres te vinden en de website te kunnen tonen.
Het verzenden van e-mail verloopt ook via een IP adres. Bij de DNS gegevens staat daarom ook geregistreerd, welke IP adressen toestemming hebben om e-mail te versturen vanuit die domeinnaam. Maar als je systemen niet op orde zijn of je verzendt via een derde partij of marketing software, kan het zijn dat je verzend IP afwijkt van de geregistreerde adressen. De authenticatie klopt dus niet meer. De ontvangende e-mailserver zal dit ook zien, zodat je e-mail geweigerd wordt, of extra kritisch wordt bejegend door spamfilters. De kans op inboxbezorging wordt aanzienlijk kleiner!
SPF: controle aan de voordeur
Een SPF record is een bestand binnen de DNS gegevens van een domein. Daarin staat welke IP adressen e-mail mogen verzenden vanuit de domeinnaam. Dus als iemand e-mail wil versturen vanuit ...@copernica.com, moet in de DNS gegevens van copernica.com staan dat zijn IP adres dat mag. De ontvangende mailserver controleert de SPF zodra de e-mail wordt aangeboden. Als het IP adres niet in het SPF record voorkomt, wordt de inhoud van de e-mail niet eens binnengehaald.
Met Copernica controleren we je instellingen bij elke mailing en waarschuwen als je SPF record niet op orde is. Maar dat doet niet elke verzendpartij en bovendien moet je zelf de DNS gegevens (laten) aanpassen. Als eigenaar van een domeinnaam kun je een SPF record toe (laten) voegen aan je DNS gegevens. Daarmee geef je dan aan dat het IP adres van externe partij X toestemming heeft om mailings uit jouw naam te verzenden. Of dat IP adressen Z en Y ook bij jouw organisatie horen.
SenderID: checkt je header
Bij een SenderID controle wordt, net als bij SPF authenticatie, het verzendadres gecontroleerd. Het werkt ook via de DNS gegevens en gebruikt dezelfde taal als SPF. Maar SenderID kijkt naar andere waarden om je authenticiteit te bepalen. Voor een SenderID controle wordt een e-mail eerst binnengehaald, om dan te kijken naar de headers. Headers zijn bijvoorbeeld Van, Aan en Onderwerp, maar elke e-mail bevat ook headers die je als gebruiker niet ziet.
SenderID is zo'n onzichtbare header die kan worden toegevoegd door de verzender. In het SenderID staat dan wie de 'echte' afzender van de e-mail is, zodat dit geverifieerd kan worden tegen de DNS gegevens. Ook in dit geval moet in het SPF record staan welke IP adressen toestemming hebben om e-mail te versturen. Het moet er alleen op een andere manier instaan. Zowel SPF als SenderID controle zijn 'populair' bij spamfilters. Het is dus het beste om beiden in te (laten) regelen in je DNS gegevens.
DKIM: digitale handtekening
Terwijl SPF en SenderID de afzender controleren, wordt bij DKIM gekeken naar de authenticiteit van het bericht zelf. DKIM (DomainKeys Identified Mail) voegt een onzichtbare header toe aan een e-mail met daarin een digitale handtekening.
Als je een e-mailbericht, met alle content en headers erbij, als enen en nullen beschouwt, dan kun je daar een optelsom van maken. Die som wordt gecodeerd opgenomen in de digitale handtekening. De ontvangende server haalt een sleutel (public key) op bij de DNS gegevens om de code te ontcijferen. Tegelijk berekent de ontvangende server zelf ook de optelsom van de e-mail. Als de som in de DKIM header gelijk is aan de som die de ontvanger berekent, is het bericht dus authentiek.
DKIM is niet standaard ingesteld voor domeinnamen en verzendservers. Zoals gezegd is er een sleutel voor nodig die je toevoegt aan de DNS gegevens. Deze moet je (laten) genereren en zelf instellen voor DKIM authenticatie. De DKIM authenticatie mag ook toegevoegd worden door een geautoriseerde derde partij of verzendserver. Zo heeft Copernica een eenvoudige sleutelgenerator in zijn applicatie opgenomen en kan de DKIM makkelijk worden ingesteld voor al je mailings in een keer.
Authenticatie: anti-spam
Authenticatie wordt door ontvangende servers als eerste controle toegepast om een goede reden. Dit doen ze omdat spamverzenders typisch niet authentiek zijn. Ze gebruiken valse verzendnamen, valse afzendadressen en vervalste content van andere e-mails. Bij e-mailmarketing ben je wél authentiek, maar dit moet je kunnen bewijzen. Een ontvangende server ziet niet dat jij opt-in hebt, die kijkt naar je bericht en je authenticatie. Als je e-mail authenticatie niet op orde is, dan zullen je mailings veel strakker onder de loep worden genomen door de spamfilters en/of vaker worden geweigerd en/of direct naar de spamfolder verwezen worden.
Overzicht van termen:
Headers
Deel van een e-mail waarin de eigenschappen staan omschreven zoals 'Van', 'Aan' en 'Onderwerp'. Elke e-mail bevat ook headers die niet standaard te zien zijn, over de afgelegde route bijvoorbeeld.
IP-adres
Internet Protocol Address. Een uniek numeriek adres waarmee computers die op een netwerk zijn aangesloten, elkaar kunnen herkennen en vinden. Bijv. 217.67.229.100
DNS
Domain Name System. Koppelt domeinnamen aan IP adressen. Bijv. www.copernica.com hoort bij 217.67.229.100
SPF
Sender Policy Framework. Onderdeel van DNS gegevens met informatie over welke IP adressen gerechtigd zijn om namens een bepaald domein e-mail te verzenden.
SenderID
E-mail authenticatiesysteem dat via DNS gegevens de afzender van een e-mail controleert.
DKIM
DomainKeys Identified Mail. Systeem van e-mail authenticatie waarbij een digitale handtekening wordt toegevoegd aan een e-mailbericht.
Nuttige links
Voor meer volledige en meer technische informatie over authenticatie raden wij de volgende artikelen aan:
http://en.wikipedia.org/wiki/E-mail_authentication
http://en.wikipedia.org/wiki/Sender_Policy_Framework
http://en.wikipedia.org/wiki/SenderID
http://www.openspf.org/SPF_vs_Sender_ID
http://en.wikipedia.org/wiki/DKIM
http://www.dkim.org/
http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx
Dit artikel werd eerder gepubliceerd bij Marketingfacts.