We krijgen soms vragen over ondersteuning en implementeren van DKIM. Ergens is het idee ontstaan dat dit werkt tegen spam. Alleen is dit geenszins het geval. Daarom verkopen we altijd ´nee´. Dit klinkt misschien onlogisch met de informatie die jij hierover hebt gehoord. Daarom leggen we graag uit waarom we jou geen DKIM willen verkopen.
DKIM lijkt populair, omdat het in allerlei online checklists van security bedrijven naar voren komt. Het nut van DKIM staat of valt echter bij de juiste implementatie. En een spamfilterplatform in de Cloud is dus een typisch voorbeeld van op de verkeerde plek implementeren van deze veiligheidsfeature.
Waarom implementeren wij geen DKIM?
We implementeren geen DKIM. Simpelweg omdat het nul bescherming tegen spam geeft. Het is zeker een nuttige techniek, maar niet bij spamfiltering. DKIM kan de veiligheid van je e-mailcommunicatie verhogen mits op de juiste plek geïmplementeerd. Als je het niet op de juiste manier doet is het leuk om de feature voor de bühne te kunnen afvinken maar het werkt schijnveiligheid in de hand. Om te snappen waarom dit is moeten we begrijpen waar DKIM precies voor dient.
Waar dient DKIM voor?
DKIM is een techniek waarin je je e-mail voorziet van een cryptografische handtekening waardoor de ontvangende partij kan zien dat (delen van) de e-mail ‘onderweg’ niet is gewijzigd. Net als een normale handtekening moet je die dus eigenlijk zetten voordat je de enveloppe dicht plakt en mee geeft aan de postbode. Het beste doe je dat dus zo dicht mogelijk bij de verzender.
DKIM is dus eigenlijk een techniek die je toepast op de verzendende mail server waar de mail als eerste wordt aangeboden. Wanneer een mail aankomt bij onze spamfilterdienst is het dus eigenlijk al te laat; het bericht kan onderweg al door een kwaadwillende zijn gewijzigd! Het gevolg is dat de ontvanger van het bericht onterecht het idee heeft dat het bericht veilig is.
Het omgekeerde is ook waar. Als Onlinespamfilter een DKIM-handtekening controleert ontslaat dit de ontvanger er niet van dat alsnog zelf te doen. Wat zou er bijvoorbeeld gebeuren als Onlinespamfilter gehackt zou worden? Of er op een tussenliggende server na ons spamfilter een ‘bad-actor’ actief is? De DKIM-handtekening wordt het beste gecheckt op de e-mail client van de ontvanger. Hiervoor is meestal add-on software nodig.
DKIM onbruikbaar in spambestrijding
In spambestrijding is een DKIM-handtekening eigenlijk onbruikbaar: Spammers en scammers die met een DKIM-handtekening sturen doen dat altijd vanaf een gehackt account waardoor ze weten dat de DKIM-handtekening klopt. En zo niet, dan sturen ze zonder deze handtekening waardoor er niets valt te controleren. Alleen een ongeldige DKIM-handtekening betekent dat er onderweg ‘iets’ aan het bericht is gewijzigd.
Onlinespamfilter kan hier op verzoek naar kijken. Deze check staat standaard uit, omdat in de praktijk blijkt dat veel legitieme partijen fouten maken bij het ondertekenen van hun e-mail en het dus vaak leidt tot onterecht afgekeurde e-mail.
SPF is wel nuttig voor bescherming tegen spam
SPF is daarentegen een zeer nuttig protocol bij de bestrijding van spam. Het is als het ware een lijst met servers waar vandaan jouw e-mails verzonden mogen worden. De meeste spammers weten dat ook. Het is dus voor spammer eigenlijk onmogelijk om vanuit jouw domein een e-mail te sturen, tenzij je natuurlijk je server laat hacken. Lees ook ons blog over SPF.