Toon posts:

DMARC/DKIM instellen of niet?

Pagina: 1
Acties:

Vraag

zondag 17 april 2022 22:34

Acties:
  • 0 Henk 'm!
  • Melvin.P
  • Registratie: December 2015
  • Laatst online: 14-08 09:59

Melvin.P

Topicstarter
Ik heb een eigen domein voor e-mail en maak gebruik van Microsoft Exchange Online. Gisteren heb ik mijn domeinnaam verhuisd. Ik heb voldoende basiskennis om het MX-, CNAME- en TXT-record voor SPF aan te maken.

Bij de nieuwe registrator was standaard ook een TXT-record voor DMARC aanwezig; v=DMARC1; p=reject. De online informatie over DMARC en DKIM gaat mijn pet te boven. Ik begrijp dat je met DKIM berichten digitaal ondertekent.

Vraag 1: klopt het dat DMARC altijd hand in hand gaat met SPF en DKIM?

Vraag 2: is gebruik van DMARC en/of DKIM wel relevant, voor particuliere e-mail?

Vraag 3: ik ervaar geen problemen, voor zover ik weet, maar deugt het huidige DMARC-record wel, of kan dit tot problemen leiden?

Vraag 4: Online las ik dat ik met v=DMARC1; p=none expliciet kan aangeven dat DMARC niet gebruikt wordt, en dat dat beter is dan het weglaten van een DMARC-record. Klopt dat?

Alle reacties

zondag 17 april 2022 22:55

Acties:
  • +4 Henk 'm!
  • Ch3vr0n
  • Registratie: Januari 2019
  • Laatst online: 24-07 00:35

Ch3vr0n

Oprichter 3dprintforum.eu

1. Yup, DMARC gaat hand in hand met dkim/spf maar dkim is niet vereist op DMARC te gebruikenOm het simpel te houden:

DKIM ondertekent je e-mails met een digitale handtekening maar ENKEL als je vie de mailserver van je domein verstuurd (dus SMTP). Stel je DKIM en en gebruik je je eigen ISP uitgaande mailserver (vb ziggo in NL of telenet in belgië) dan worden je e-mails die je verstuurd vanaf een domeinnaam mailbox NIET ondertekent! DKIM instellen is dus nutteloos als je niet via je domein's eigen mailserver gaat versturen

SPF: stelt een bepaald beleid voor e-mails (zoals welke server hostnames, IP's geauthoriseerd zijn om via vanaf een bepaald domein te versturen) en het voorkomt grotendeels spoofen van mails indien correct ingesteld

DMARC: laat toe om dit beleid te automatiseren. Het controleert digitale handtekeningen en afhankelijk van het ingestelde spf beleid kan inkomende e-mails accepteren, weigeren of in quarantaine zetten als vb niet aan het ingestelde beleid van de afzender wordt voldaan, of de DKIM handtekening is ongeldig

2. Yup, correct gebruik van alle 3 kan zorgt ervoor dat de kans dat je e-mails ongewild gemarkeerd worden als spam (of het IP van je domein/mailserver) en op wereldwijde mail blacklists beland (en dus aflevering bij de bestemmeling verhinderd)

3. Foutief ingesteld kan het inderdaad voor problemen zorgen (vb onterecht weigeren van e-mails, controle die niet wordt uitgevoerd etc)

4. correct en niet correct. Het wordt wel gebruikt maar de "none" geeft aan dat er geen specifiek beleid is ingesteld met e-mails die niet de juiste correcte digitale handtekening hebben en/of niet voldoen aan de afzender spf record. https://www.ncsc.gov.uk/c...nt-a-dmarc-policy-of-none

Of alles correct staat ingesteld en je score kan je testen door simpelweg een mailtje te sturen naar een mailbox gegenereerd door https://www.mail-tester.com/ met die mailbox in de "Aan:" balk. cc of bcc werkt niet. De mijne halen bvb een dikke 10/10

In de headers haal ik juist bij X-Spam-Status: -0.2! en das juist goed! Hoe hoger die score nl, hoe groter de kans dat je mails als spam worden aanzien.

https://www.3dprintforum.eu | De nieuwe thuishaven voor Belgische en Nederlandse 3d printen geïnteresseerden, hobbyisten en professionelen

zondag 17 april 2022 23:03

Acties:
  • +1 Henk 'm!
  • RobbyTown
  • Registratie: April 2007
  • Niet online

RobbyTown

Godlike

@Ch3vr0n Goede uitleg.

Lang verhaal kort. Ja ook voor je particuliere domein gewoon netjes instellen om gedoe met spam te voorkomen.

Er zijn meer providers die het automatisch invullen Antagonist doet het ook
https://www.antagonist.nl/blog/dkim/

Maar aangezien je Microsoft Exchange gebruikt dien je die records te gebruiken en niet die standaard ingevulde van de provider.

Succes met de inrichting en zeker de tools gebruiken om te checken bij foute inrichting komt het als nog in de spam.

Mocht je mailtester gebruiken wel onderwerp en wat tekst in de mail gooien. Zojuist bij mij getest
Wow! Perfect, verzenden maar
Score :
9.5/10

[ Voor 14% gewijzigd door RobbyTown op 17-04-2022 23:21 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

maandag 18 april 2022 08:24

Acties:
  • +2 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 21:49

nelizmastr

Goed wies kapot

Microsoft heeft prima documentatie over hoe je DKIM instelt.
Na het toevoegen van 2 CNAME records kun je in je 365 tenant DKIM aanzetten voor je domein en ben je klaar :)

https://docs.microsoft.co...email?view=o365-worldwide

I reject your reality and substitute my own

vrijdag 29 april 2022 06:47

Acties:
  • +1 Henk 'm!
  • Melvin.P
  • Registratie: December 2015
  • Laatst online: 14-08 09:59

Melvin.P

Topicstarter
Ik kom hier nog even op terug. Snap het nog niet helemaal, maar nog geen tijd voor kunnen nemen. Laatste link moet ik nog lezen. Bedankt allemaal!

vrijdag 29 april 2022 12:11

Acties:
  • 0 Henk 'm!
  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 03-10 09:47

valkenier

Ik zou het zeker instellen. Het is niet moeilijk. Microsoft zal het voor je klaar hebben gezet, dus is het een kwestie van de sleutel toevoegen aan je DNS records. Je voorkomt dat je mail van je particuliere domein als spam wordt gezien.

zaterdag 14 mei 2022 11:12

Acties:
  • 0 Henk 'm!
  • Melvin.P
  • Registratie: December 2015
  • Laatst online: 14-08 09:59

Melvin.P

Topicstarter
Nogmaals dank allemaal. Ik heb inmiddels e.e.a. gelezen, waaronder de link van @nelizmastr; DKIM gebruiken om uitgaande e-mail te valideren die wordt verzonden vanuit uw aangepaste domein.

Het gaat mijn pet toch nog iets te boven en ik wil vooral voorkomen dat ik problemen creëer. Ik denk te begrijpen, dat DKIM nodig is om DMARC te doen werken. Wil iemand me even begeleiden? Dan zal het kwartje wel vallen.

Mijn huidige SPF-record is eenvoudig;
v=spf1 include:spf.protection.outlook.com -all

En het standaard DMARC-record van mijn DNS-provider staat er nog in;
v=DMARC1; p=reject

Volgens mij staat daar dat verdachte items afgeslagen moeten worden, maar er zijn geen voorwaarden in het record opgenomen. Vooralsnog heb ik niet het idee dat iemand mijn e-mails niet gehad heeft, sinds het DMARC-record bestaat (sinds verhuizing van domein, vandaag 4 weken geleden).

[ Voor 8% gewijzigd door Melvin.P op 14-05-2022 11:14 ]

zaterdag 14 mei 2022 12:28

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 03-10 16:15

jurroen

Security en privacy geek

Melvin.P schreef op zaterdag 14 mei 2022 @ 11:12:
Volgens mij staat daar dat verdachte items afgeslagen moeten worden, maar er zijn geen voorwaarden in het record opgenomen.
Ja, wel :9 De reject in DMARC slaat erop dat 'ie 'm afwijst als een mail de SPF check niet passed in jouw geval. Idealiter voeg je daar ook DKIM aan toe - in dat geval slaat de DMARC op zowel SPF als DKIM.

Gebruik je Office 365?

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

zaterdag 14 mei 2022 12:55

Acties:
  • 0 Henk 'm!
  • Melvin.P
  • Registratie: December 2015
  • Laatst online: 14-08 09:59

Melvin.P

Topicstarter
Dat is alvast verhelderend, nu snap ik de 'driehoek' beter. Ja, het gaat om Microsoft 365.

Nu snap ik dat het huidige DMARC-record voor een harde afwijzing zorgt als niet aan de SPF voldaan wordt. Zou je het instellen van DKIM inderdaad aanbevelen?

zaterdag 14 mei 2022 13:18

Acties:
  • 0 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 03-10 16:15

jurroen

Security en privacy geek

Ik gebruik zelf al jaren DKIM, dus ja :)

Hoe je 'm toevoegt staat in de link van @nelizmastr beschreven :)

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

maandag 16 mei 2022 18:34

Acties:
  • 0 Henk 'm!
  • Melvin.P
  • Registratie: December 2015
  • Laatst online: 14-08 09:59

Melvin.P

Topicstarter
DKIM aanzetten is gelukt, dat stelde inderdaad weinig voor. Ik zocht vooral eerst bevestiging, dat ik het nu kon aanzetten zonder iets kapot te maken. Tot zover, is het nu duidelijk.

Over DKIM (in Microsoft 365) heb ik nog deze vragen;
- Ik zie dat mijn onmicrosoft.com-domein het 'standaarddomein voor ondertekening' is. Is dat van belang, kan/moet ik het veranderen?
- Ik heb twee domeinen, en één postvak. Met het secundaire domein heb ik een alias aan mijn postvak toegevoegd. Ik heb ook ingeschakeld dat ik namens de alias e-mail mag verzenden. Het zou kunnen dat ik hiervoor eens een gedeelde mailbox maak, in plaats van deze setup. Moet ik me in dit verband nog iets aantrekken van de informatie over 5321.MailFrom- en 5322.From-adressen (zie DMARC gebruiken om e-mail te valideren), of is dat automatisch geregeld?

Begrijp ik goed, dat de DKIM-validatie nu automatisch zijn werk doet, omdát ik een DMARC-record heb, en omdat SPF is ingesteld? En volstaat mijn huidige DMARC-record dan?

dinsdag 17 mei 2022 09:35

Acties:
  • 0 Henk 'm!
  • Ruben279
  • Registratie: Augustus 2018
  • Laatst online: 03-10 16:37

Ruben279

Melvin.P schreef op maandag 16 mei 2022 @ 18:34:
- Ik zie dat mijn onmicrosoft.com-domein het 'standaarddomein voor ondertekening' is. Is dat van belang, kan/moet ik het veranderen?
Mijn .onmicrosoft.com is ook standaanddomein voor ondertekening.
Maar heb destijds nieuwe keys gemaakt en ingesteld, werkt prima.

Keys kan je instellen via https://security.microsoft.com/dkimv2 , maar dat had je vast al gevonden ;)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq