E-mail verificatie begrijpen

Wat je leert

Leer meer over e-mailverificatieprotocollen die worden gebruikt om je afzenderreputatie op te bouwen, te valideren dat e-mails afkomstig zijn van een legitieme afzender en te beschermen tegen e-mailmisbruik.

Over e-mail verificatie

"Email verificatie" verwijst naar de technische standaarden waarmee de identiteit van een e-mailafzender kan worden geverifieerd. De meest gebruikte e-mailverificatiestandaarden zijn SPF, DKIM en DMARC. Mailservers gebruiken deze verificatieprotocollen om te controleren of inkomende e-mail afkomstig is van legitieme afzenders, waardoor je merk en je klant worden beschermd tegen kwaadwillende actoren. Naast het voorkomen van pogingen tot phishing en spoofing kan het implementeren van deze protocollen de bezorgbaarheid verbeteren, omdat de mailboxaanbieder de identiteit van de afzender kan bevestigen. 

SPF

Sender Policy Framework (SPF) is een e-mailverificatiemethode die is ontworpen om vervalste afzenderadressen te detecteren tijdens de bezorgdheid van de e-mail. SPF stelt de ontvangende mailserver in staat om te verifiëren dat e-mail afkomstig van een specifiek domein is verzonden via een IP-adres dat is geautoriseerd door de beheerders van dat domein.

Als een e-mail wordt verstuurd vanaf een IP-adres dat niet is toegestaan via SPF, kan de ontvangende mailserver de e-mail weigeren of afleiden van de primaire inbox. Zonder SPF-records kon je IP's die je verzenddomein gebruikten niet verifiëren, waardoor kwaadwillenden zich gemakkelijk als je merk konden voordoen. 

DKIM 

DomainKeys Identified Mail (DKIM) werkt als een digitale handtekening die wordt toegevoegd aan de header van een e-mail om de identiteit van de afzender verder te verifiëren. Ontvangende e-mailservers controleren of de DKIM handtekening overeenkomt met die van het bijbehorende verzenddomein. Omdat de DKIM handtekening in de header van een e-mail staat, blijft deze ook staan als een e-mail wordt doorgestuurd, in tegenstelling tot SPF verificatie.

DMARC

DMARC staat voor domain-based message verificatie, rapportage en conformance. Het is een protocol dat SPF en DKIM gebruikt om de authenticiteit van een e-mail te bepalen, waardoor domeineigenaren hun domein kunnen beschermen tegen ongeautoriseerd gebruik.

DMARC geeft instructies aan ontvangende servers over hoe ze inkomende mail moeten afhandelen. Om afgeleverd te worden, moeten berichten de DKIM en SPF afstemmingscontroles doorstaan volgens de eisen van het DMARC beleid. Berichten die niet door de DMARC-controles komen, kunnen worden toegestaan, geweigerd of in de spammap worden geplaatst.

Het implementeren van een DMARC-beleid op je domein kan je helpen beschermen tegen spoofing, waardoor je merk en de ontvangers minder worden blootgesteld aan mogelijk frauduleuze en schadelijke berichten. 

Voorbeeld DMARC beleid 

Hieronder zie je een voorbeeld van hoe een eenvoudig DMARC-record eruit kan zien, en hoe verschillende records van invloed zijn op e-mail bezorgd. 

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourbrand.com

Hoewel DMARC-beleidsregels een aantal tags met verschillende functies kunnen hebben, zijn de p en sp beleidsregels de belangrijkste als het gaat om Klaviyo en je e-mailmarketing. 

De waarden van deze twee tags vertellen de inbox aanbieder hoe hij moet reageren als de uitlijningscontroles mislukken. Bij gebruik in from-e-mailadressen is de p tag van toepassing op het hoofddomein (bijv. @yourbrand.com) terwijl de tag sp van toepassing is op de subdomeinen(e.g.,@shop.yourbrand.com). 

Ondertussen bepaalt de rua tag in het voorbeeld naar welke inbox DMARC rapporten worden gemaild. Deze tag wordt aanbevolen, maar is niet verplicht. 

Hoe p en sp tag het verzenden beïnvloeden op Klaviyo 

Bij verzending op een gedeeld verzenddomein zal e-mail altijd een verkeerde uitlijning hebben tussen je van-adres (bijv. marketing@yourbrand.com) en het werkelijke verzenddomein van de e-mail (bijv. ksdn.klaviyomail.com). Klaviyo's eigen gedeelde verzenddomein heeft een DMARC policy ingesteld op p=none, zodat je e-mail ondanks de scheve afstemming toch in klant-inboxen terechtkomt.

Als je gebruik maakt van een e-maildomein van een merk, een domein dat eigendom is van je merk, dan wordt het van-adres domein afgestemd op het verzenddomein. Hierdoor zullen DMARC-controles slagen.

rua tag en DMARC rapportage

De rua tag in een DMARC record zorgt ervoor dat het gekoppelde e-mailadres DMARC rapporten in .xml kan ontvangen. formaat. Deze rapporten zijn moeilijk en vervelend om te interpreteren, dus Klaviyo raadt aan om met een DMARC service aanbieder te werken als je een abonnement neemt om de rua tag te gebruiken voor DMARC rapportage. Deze aanbieders helpen bij het verwerken van de .xml DMARC-rapporten en presenteer ze zodat je merk gemakkelijker inzichten kan verzamelen. 

Enkele voorbeelden van DMARC-aanbiedingen Klaviyo zijn:

• Valimail
• EasyDMARC
• Dmarcian

E-mail verificatie configureren

Als je e-mail verstuurt met Klaviyo, hoef je geen eigen SPF- en DKIM-records toe te voegen. Als je verzendt via Klaviyo's gedeelde verzenddomein, zijn de benodigde records al ingesteld om verificatie te passeren. Met een e-maildomein van een merk (ook bekend als een dedicated verzenddomein), worden met de Klaviyo NS of CNAME records die tijdens de setup zijn toegevoegd automatisch DKIM en SPF verificatie ingeschakeld.

Het instellen van DMARC is echter een extern proces dat wordt uitgevoerd buiten Klaviyo met je DNS aanbieder. Het DMARC beleid dat je instelt bepaalt hoe om te gaan met berichten die SPF en DKIM verificatie niet doorstaan. DMARC-beleidsregels kunnen niet-geverifieerde e-mail in quarantaine plaatsen en naar de spamfolder van de ontvangers sturen, toestaan dat ze in inboxen terechtkomen ondanks de verkeerde afstemming, of ze helemaal afwijzen en de bezorgdheid naar de ontvangers blokkeren. 

Als je merk momenteel geen DMARC beleid heeft, is het configureren van p=none een goede eerste stap om te voldoen aan de eisen van Gmail en Yahoo. Klaviyo raadt echter ten zeerste aan om samen te werken met je IT-team of een externe professional als je een strenger DMARC-beleid wilt configureren dat spoofing voorkomt en rapportage over uitlijningsfouten mogelijk maakt.

DMARC instellen in je DNS

Het instellen van DMARC is een proces dat wordt uitgevoerd buiten Klaviyo in je DNS aanbieder. Er zijn een groot aantal verschillende DNS aanbieders, maar de onderstaande stappen beschrijven hoe DMARC over het algemeen wordt geïmplementeerd.

Om DMARC in te stellen, moet je netwerkbeheerder voor het domein inloggen bij de DNS-instellingen van het domein om een DMARC-record toe te voegen, zoals hieronder. Eenmaal ingelogd in je DNS aanbieder, maak je een nieuw record aan met de volgende informatie. 

• Type: TXT
• Gastheer: _dmarc
• Waarde: v=DMARC1; p=none

De namen van velden, interfaces en processen om een nieuw record aan te maken kunnen per DNS aanbieder verschillen. Enkele voorbeelden van DNS aanbieders zijn GoDaddy en Namecheap, maar er zijn er nog veel meer. 

Voor verdere instructies over het instellen van DMARC voor je domein raden we de volgende bronnen en services aan, of neem contact op met je DNS aanbieder.

• Begrijpen hoe DMARC je domeinreputatie beschermt 
• MXToolBox: DMARC instellen
• DMARCian: Aan de slag met DMARC
• Valimail 

Je Klaviyo e-mail DMARC-compatibel maken

Om DMARC compliant te zijn, moet je een e-maildomein van een merk koppelen aan je account dat overeenkomt met het hoofddomein in je friendly-from e-mailadres (d.w.z. je from-adres). Als je bijvoorbeeld een e-mail verstuurt met sales@yourbrand.com als from-adres en yourbrand.com wordt beschermd door DMARC, dan moet je account een e-maildomein van een merk als send.yourbrand.com gebruiken om aan de DMARC-eisen te voldoen.

Interne ontvangers

Wanneer je een gedeeld domein gebruikt om e-mail naar interne ontvangers te sturen, kan inbox aanbieder een waarschuwing weergeven en e-mail in spam plaatsen wanneer het e-mailadres van de ontvanger overeenkomt met het from adres domein.

Bijvoorbeeld op Gmail: 

Hoewel dit alleen gevolgen heeft voor gebruikers met e-mailadressen die overeenkomen met je eigen van-adres-domein, kun je een e-maildomein van een merk instellen om dit te voorkomen.

Als je deze waarschuwing ziet voor een persoonlijke, niet-bedrijfs-inbox, is dit waarschijnlijk het gevolg van het falen van DMARC. Om DMARC compliant te zijn, moet je een e-maildomein van een merk koppelen aan je account dat overeenkomt met het domein in je afzender e-mailadres (d.w.z. je van-adres).

Je e-mailverificatieconfiguratie controleren

Om te controleren of het record succesvol is gepubliceerd, kun je je domein invoeren in de DMARC checker van EasyDMARC. Met deze tool voldoet een status van Waarschuwing of Geldig aan de eisen die Gmail en Yahoo stellen aan afzenders.

Je kunt ook controleren of je e-mailverificatie correct is ingesteld aan de hand van de header van een e-mail die door je merk is verzonden.

Een e-mail header bevat metadata over een e-mail en het netwerkpad dat het heeft afgelegd. Dit omvat informatie zoals het van-adres, de onderwerpregel, ontvangers en belangrijke verificatiegegevens zoals of SPF, DKIM en DMARC worden doorgegeven.

Overstappen op een veiliger DMARC-beleid 

Hoewel een DMARC-beleid van p=none voldoende is om te voldoen aan de oorspronkelijke afzendervereisten die zijn ingesteld door Gmail en Yahoo, kan het overstappen op een veiliger beleid je bedrijf beter beschermen tegen kwaadwillende actoren. 

Voordelen van veiliger beleid 

Het belangrijkste voordeel van het gebruik van p=quarantine of p=reject is dat ze zullen voorkomen dat verkeerd afgestelde e-mail (d.w.z. e-mail verzonden vanaf een verzenddomein dat niet overeenkomt met het hoofddomein van je merk) in de hoofd-inbox van een ontvanger terechtkomt. P=none heeft geen invloed op de plaatsing in de inbox in gevallen waarin een e-mail wordt verzonden vanaf een verkeerd uitgelijnd domein, dus ontvangers kunnen nog steeds e-mail ontvangen van een kwaadwillende acteur die probeert zich voor te doen als jouw merk. Als een gebruiker uiteindelijk een gespoofde e-mail te zien krijgt die afkomstig lijkt te zijn van jouw merk, kan dit het vertrouwen dat een klant heeft in de e-mail van jouw merk onder druk zetten. 

Ondertussen, als je een beleid gebruikt van p=quarantaine of p=verwerpen, zal verkeerd afgestelde e-mail worden geblokkeerd of naar de spammap worden gestuurd voor ontvangers. Inbox-aanbieders weten dat ze de e-mail niet moeten tonen aan ontvangers, en gespoofde e-mail komt niet in de primaire inbox terecht. 

Andere overwegingen 

Het is belangrijk om te weten dat DMARC van toepassing is op alle e-mails die vanuit je merk worden verzonden, ook als ze buiten Klaviyo worden verzonden. Met een beleid van p=none worden je verzendingen niet beïnvloed, omdat de e-mail nog steeds in de primaire inbox terecht komt. Het strengere DMARC-beleid kan er echter voor zorgen dat e-mail niet wordt afgeleverd als je domeinen niet zijn afgestemd op de gehele infrastructuur en gebruikssituaties voor het verzenden van e-mail binnen je bedrijf.

Daarom raadt Klaviyo aan om samen te werken met je IT-team of een DMARC-serviceaanbieder om een beleid te implementeren dat het beste past bij de behoeften van je merk. 

Extra hulpbronnen 

Een e-maildomein van een merk instellen 

Bezorgbaarheid van e-mails begrijpen

De domeinen begrijpen die een rol spelen bij e-mail bezorgbaarheid