DKIM en DMARC voor Office 365 Print

  • 365, DKIM, DMARC, office 365
  • 0

Spam, Phishing, Spoofing

In dit artikel behandelen we SPF, DKIM en DMARC binnen Office 365.

 

SPF (Sender Policy Framework)

SPF wordt al een tijd gebruikt en is kort gezegd een soort reverse MX-record. De ontvanger kan hiermee controleren of een e-mail van een bekende / legitieme mailserver afkomt. Bij de standaard setup van Office 365 is dit overigens niet verplicht, maar je krijg wel een melding bij de DNS check als het SPF-record niet bestaat. Let er wel op dat je dus moet weten waar je mail vandaan komt.

Voor SPF voeg je een TXT record toe aan je DNS, bij mij is dit voor Office 365 als volgt: Domeinnaam TXT v=spf1 include:spf.protection.outlook.com -all

Er zijn nu ook twee nieuwere technieken die misbruik van je maildomein verder kunnen voorkomen. Deze worden beide ook ondersteund in Office 365.

 

DKIM (DomainKeys Identified Mail)

DKIM zorgt ervoor dat uitgaande berichten van een domeinnaam worden gesigneerd met een private key signature in de header. De ontvanger kan vervolgens met de public key verifiëren of die key klopt en het bericht dus daadwerkelijk van dat domein afkomstig is. (Let wel, men kán dit controleren, maar als men dat nalaat heeft DKIM dus geen effect…). Deze public key wordt opgevraagd via DNS.

Microsoft activeert DKIM standaard binnen de Office 365 ‘.onmicrosoft.com’ domeinnamen. Als eindklant hoef je het alleen maar te activeren voor je eigen domeinnamen en ik zou dat vooral ook doen, omdat het toch weer een extra mogelijkheid toevoegt om E-mail veiliger te maken.

Om DKIM te activeren moet je eerst een tweetal CNAME records toevoegen in DNS. Deze records laat je verwijzen naar je eigen domein. Omdat Microsoft de public key al voor je heeft gegenereerd verwijs je naar je onmicrosoft.com tenant naam.

selector1._domainkey.<Domeinnaam.tld> CNAME selector1-contoso-com._domainkey.<Domeinnaam>.onmicrosoft.com.
selector2._domainkey.<Domeinnaam.tld> CNAME selector2-contoso-com._domainkey.<Domeinnaam>.onmicrosoft.com.

LET OP: Afhankelijk van je DNS provider is een . aan het eind nodig, soms zie je ook dat je domeinnaan automatisch wordt toegevoegd. Je kunt DKIM in Office 365 pas aanzetten als je DNS records kloppen. Let wel, als je wat verandert, dan kan het een tijdje duren voordat dit overal bekend is. Probeer het dan een half uurtje later nog een keer.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC is bedoeld om spoofing en phishing tegen te gaan, het is een extra stap ten opzichte van DKIM en SPF. Je kunt ermee bepalen wat mailservers moeten doen als de SPF en/of DKIM check faalt. Bovendien checkt het zowel je MailFrom als je From header, hetgeen phishing tegengaat. Let wel: je moet eerst SPF en DKIM voor jouw domein geconfigureerd hebben alvorens je DMARC activeert. (DKIM en SPF staan standaard aan op je .onmicrosoft.com domein, maar er ontstaat dan een mismatch met je From en MailFrom veld).

Om DMARC te activeren voeg je een DNS TXT record toe met daarin de benodigde informatie. Voor DerkIT.nl ziet dat er als volgt uit:

_dmarc.domeinnaam.tld TXT v=DMARC1; p=none;

Via http://mxtoolbox.com/ kun je weer controleren of DMARC goed staat ingesteld.

 


Was dit antwoord nuttig?

« Terug