Hoe e-maildoorsturen authenticatie breekt — en wat u eraan kunt doen
· DMARC Analyzer Pro
E-maildoorsturen is een van de grootste uitdagingen voor SPF en DMARC. Ontdek waarom het authenticatie breekt en hoe ARC en DKIM kunnen helpen.
U heeft alles goed gedaan — SPF is geconfigureerd, DKIM ondertekent, DMARC wordt afgedwongen — en toch falen sommige van uw legitieme e-mails nog steeds de authenticatie. De boosdoener is bijna altijd e-maildoorsturen.
Waarom doorsturen SPF breekt
Wanneer een bericht wordt doorgestuurd van de ene server naar de andere, vervangt het IP-adres van de doorstuurserver dat van de oorspronkelijke server in de SMTP-envelop. Aangezien SPF het IP van de verbindende server valideert tegen het SPF-record van de afzender, zal het doorgestuurde bericht SPF niet doorstaan omdat de doorstuurserver niet is geautoriseerd om namens u te verzenden.
Dit is een fundamentele beperking van SPF door ontwerp. Het authenticeert de server, niet het bericht — en doorsturen verandert de server.
Mailinglijsten maken het erger
Mailinglijsten herschrijven doorgaans de envelopafzender, wijzigen onderwerpregels en voegen voetteksten toe. Elk van deze wijzigingen kan zowel SPF als DKIM breken. De wijziging van de onderwerpregel alleen is al voldoende om een DKIM-handtekening ongeldig te maken als de Subject-header was opgenomen in de ondertekende headers.
ARC — Authenticated Received Chain
ARC (RFC 8617) is specifiek ontwikkeld om het doorstuurprobleem aan te pakken. Wanneer een tussenliggende server (zoals een doorstuurservice of mailinglijst) een bericht ontvangt, kan deze de oorspronkelijke authenticatieresultaten vastleggen in een set ARC-headers voordat er wijzigingen worden aangebracht.
Downstream-ontvangers kunnen dan deze ARC-headers bekijken om te zien wat de authenticatiestatus was vóór het doorsturen. Als ze de tussenpartij vertrouwen, kunnen ze de ARC-resultaten gebruiken om een beter geïnformeerde bezorgingsbeslissing te nemen, zelfs wanneer SPF en DKIM technisch gezien hebben gefaald.
De adoptie van ARC groeit gestaag. Google, Microsoft en andere grote providers valideren al ARC-headers, en veel tussenpersonen voegen ARC-ondertekening toe aan hun doorstuurinfrastructuur.
Praktische aanbevelingen
Zorg ervoor dat DKIM altijd aanwezig is — het is uw beste verdediging tegen doorstuur-gerelateerde fouten. Configureer uw DKIM-handtekeningen om headers op te nemen die waarschijnlijk niet worden gewijzigd door tussenpersonen.
Monitor uw DMARC-rapporten op patronen van doorstuur-gerelateerde fouten. Veelvoorkomende indicatoren zijn fouten van bekende doorstuurservices, universitaire mailsystemen en mailinglijstverwerkers. Deze zijn meestal onschuldig en hoeven u niet te alarmeren, maar ze zijn het waard om te volgen.
Als u zelf een doorstuurservice runt, implementeer dan ARC-ondertekening om authenticatie te bewaren voor berichten die u doorstuurt. Dit komt het hele e-mailecosysteem ten goede en verbetert de bezorging van berichten die via uw systemen passeren.