Actuele status e-mailauthenticatie: steeds strenger

TRENDS - In augustus 2023 publiceerde de redactie dat het verzenden en ontvangen van e-mail al strenger was geworden door aanvullende beveiligingsmaatregelen als DMARC, SPF en DKIM. Sindsdien hebben zowel techniek als beleid niet stilgestaan. Grote e-mailproviders scherpen hun eisen aan en steeds meer bedrijven en instellingen verhogen de lat. De stand van zaken in 2025.

• Leestijd ca. 5 minuten
• 'Waarschuwing': Laat dit artikel vooral door uw systeembeheerder lezen
• Lees ook artikel uit 2023

Steeds vaker krijgen ook printmedia bedrijven te maken met mail die niet aankomt bij ontvangers. Zeker bij ontvangers die hun mail laten verlopen via 'grotere diensten' als Microsoft, Google GMail of andere grote Internet Service Providers. In 2024 werd al aangekondigd dat de eisen in de loop van 2025 zouden worden aangescherpt. Het verdient aandacht voor zowel strategische marketing communicatie richting doelgroepen, maar ook operationeel mailverkeer met opdrachtgevers.

In de eerste helft van 2025 is e-mailauthenticatie meer dan ooit een centraal thema. Standaarden als SPF, DKIM en DMARC – bedoeld om phishing en spoofing tegen te gaan – worden wereldwijd nog strenger dan voorheen gehandhaafd en breder toegepast.

Nog even de betekenis van de drie genoemde afkortingen:

• DMARC: Domain-based Message Authentication, Reporting, and Conformance. Simpel gezegd is het een manier om je eigen uitgaande e-mailberichten te authenticeren.
• SPF: Sender Policy Framework. Bij correct gebruik kunnen internetserviceproviders verifiëren of een mailserver gemachtigd is om e-mails te verzenden namens een domein.
• DKIM: DomainKeys Identified Mail, werkt - simpel uitgelegd - als de digitale handtekening van je e-mail.

E-mailauthenticatie is in 2025 definitief van 'nice-to-have' naar 'need-to-have' gegaan.

Mailchimp sinds deze week ook strenger

Iedereen die het populaire Mailchimp gebruikt om mails te versturen naar abonnees op nieuwsbrieven heeft het deze week al gemerkt. De online applicatie vraagt om het verzendadres te authenticeren. Via je account gegevens krijg je dan een reeks instructies om records toe te voegen aan je zogenaamde DNS instellingen. En dat ziet er meteen al complex uit voor de gemiddeld beheerder van mailinglijsten, die de verzending verzorgt.

Ook printmedianieuws kreeg dinsdag haar wekelijkse mailing niet op de 'deurmat' bij al haar abonnees. Pas na authneticatie via de DNS records lukte het wonsdag wel.

Via je Mailchimp account moet je met 'domains' je e-mail adres authenticeren. Doe je dat niet, dan wordt je campagne niet verstuurd. Deze wordt dan in status 'terug gezet' op draft totdat je de noodzakelijke handelingen hebt verricht. Doorgaans een taak die de beheerder van je website/e-mail adressen verzorgt, dus meestal de externe hosting provider.

Kortom, SPF, DKIM en DMARC zorgen ervoor dat uw uitgaande mails een soort keurmerk van echtheid hebben. Ze bevestigen aan de ontvangende mailserver: "Deze mail is echt verzonden door mijn bedrijf en niet door een oplichter." Dat verhoogt het vertrouwen en verbetert de bezorging. Andersom beschermen ze ook uw merk: zonder deze maatregelen kan uw domeinnaam eenvoudiger worden misbruikt door spammers en phishers, met alle reputatieschade van dien.

Alle grote spelers

De redactie schreef al in een eerder artikel: E-mails die niet voldoen aan de SPF-, DKIM- en DMARC-controles lopen groot risico om te worden gemarkeerd als ongewenst of helemaal geweerd. Steeds meer ontvangende mailservers hanteren namelijk een streng beleid. Zo checkt Gmail of Outlook 365 standaard of het verzendende domein correcte SPF, DKIM en DMARC-records heeft. Ontbreken die of staan ze onveilig/onjuist ingesteld, dan komt de mail vrijwel zeker in de spam terecht, of hij wordt volledig geweigerd. Je krijgt dan in dat geval vaak een bounce-bericht terug met een foutmelding dat de mail niet voldoet aan de policy van de ontvanger (bijvoorbeeld Google’s beruchte 550-5.7.26 error voor mails zonder of een incorrecte authenticatie).

SIDN (Stichting Internet Domeinregistratie Nederland) schrijft hierover: 'Waarom reageren providers hier zo streng op? Zonder deze verificaties is e-mail makkelijk te vervalsen. Het SMTP-protocol waarmee e-mail werkt, is oud en kent van zichzelf geen afzendercontroles – iemand kan relatief eenvoudig een vals afzenderadres gebruiken'. SPF, DKIM en DMARC dichten dat gat.

De hele basis van het netwerkprotocol TCP/IP is oud te noemen. In de loop der jaren is overal 'wat tegenaan geplakt' om aanvallen en misbruik te voorkomen.

Uw domein testen

Wat bedrijven in ieder geval zelf kunnen doen, is het controleren of de drie genoemde records juist staan ingsteld, dat kan via PowerDmarc. Je kunt daar zonder gebruik maken van de SPF record checker, DKIM record checker en DMARC record checker om direct te zien of je DNS deze records bevat en correct zijn ingesteld.

Globaal alles in één keer bekijken kan via DMARC Advisor.

Overzicht van een aantal testresultaten

In de praktijk blijken veel partijen binnen de printmediabranche hun SPF en DKIM records wel (redelijk) in orde te hebben, maar DMARC instellingen zijn vaak onjuist (oranje). Een enkeling heeft de drie DNS records op juiste wijze ingesteld (groen). Maar er zijn ook nog genoeg domeinen die te weinig hebben gedaan om hun mailverkeer te beschermen (rood). Zie onderstaande galerij in willekeurige volgorde.

Conclusie

Ondanks de toegenomen aandacht blijft de globale DMARC-adoptie relatief laag wanneer we alle domeinen in ogenschouw nemen. Volgens een analyse (februari 2025) heeft slechts ongeveer 9,7% van de onderzochte domeinen überhaupt een DMARC-record (meestal beginnend met een milde p=none policy). Slechts 5,2% van alle domeinen heeft de strengste DMARC-stand (policy p=reject) ingesteld. Met andere woorden, meer dan 90% van de domeinen wereldwijd laat e-mail nog onbeveiligd tegen spoofing.