Onlinespamfilter gebruiker documentatie

100% score op internet.nl en andere sites die internet standaarden checken

Inleiding

Voor sommige organisaties is het belangrijk aan minimum voorwaarden te voldoen waar het gaat om e-mail veiligheid. Deze veiligheid kan vaak worden gecontroleerd middels sites als http://internet.nl . Met wat inspanning is het mogelijk een 100% score te halen op deze laatste site. Deze handleiding geeft het minimum aan van wat gedaan moet worden om deze score te halen.

We raden met klem aan om alleen deze instellingen te maken wanneer dit van uw organisatie wordt geeist, mede gezien de onderstaande twee waarschuwingen:

De hieronder genoemde methode introduceert IPv6 omdat dit wordt geeist door sommige organisaties. Onlinespamfilter vertrouwt hiermee op een dual-stack implementatie. Een aantal e-mail servers blijkt een gebrekkige dual-stack implementatie( https://en.wikipedia.org/wiki/IPv6#Dual-stack_IP_implementation ) te hebben. Deze partijen zijn meestal in overtreding van de richtlijnen in https://datatracker.ietf.org/doc/html/rfc3974#section-3. Deze partijen leveren middels deze methode vertraagd of zelfs helemaal geen mail af bij Onlinespamfilter. Het aantal is zeer beperkt en zal in de toekomst waarschijnlijk afnemen maar voorlopig niet te verwaarlozen!

Een klein aantal mail servers in de wereld is nog niet in staat om e-mail te kunnen afleveren met de geeiste veiligheidsmaatregelen op gebied van TLS en encryptie standaarden. Van deze mail servers kan dus geen mail meer worden ontvangen. Dit is de reden waarom deze instellingen bij ons niet standaard zijn. U dient zich te realiseren dat er een klein risico is dat u e-mail gaat missen met deze instellingen. De kans daarop is echter niet erg groot.

Eisen op gebied van IPv6, TLS versie, ciphers en Dane

Om aan deze eisen te voldoen stelt u de volgende MX records in:

Hostname

Type

Prio

Hostname

Type

Prio

secure.onlinespamfilter.nl

MX

10

secure.onlinespamfilter.com

MX

10

Deze records bevatten verwijzigingen naar speciale security-hardened servers van Onlinespamfilter die aan alle eisen voldoen. Tevens zijn er passende Dane records in de DNS aanwezig voor de genoemde servers.

SPF records

Dit is niet anders dan anders. De standaard SPF instelling voor Onlinespamfilter klanten die hun mail alleen via ons versturen is:

Type

Content

Type

Content

TXT

v=spf1 include:_spf.onlinespamfilter.nl -all

Voor uitgebreidere informatie over SPF kunt u onze documentatie ( Uitgaande e-mail | SPF instellingen uitgaande SMTP ) raadplegen.

DKIM en DMARC

DKIM

Dit is een instelling die alleen door de klant zelf kan worden gemaakt. Een handleiding voor Microsoft Office 365 is https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/use-dkim-to-validate-outbound-email . Een handleiding voor meer algemene toepassing is hier te vinden How to create a DKIM record with OpenSSL - Mailhardener knowledge base.

Na instelling van dit record hoeft uw mail niet perse ook met DKIM te worden verstuurd om toch een 100% score te halen. U kunt het verzenden met DKIM dus ook later (of zelfs niet) implementeren. U moet dan wel het DMARC record goed instellen.

DMARC

Een simpel DMARC record is genoeg om aan de test te voldoen. Het kan zo simpel zijn als:

Hostname

Type

Content

Hostname

Type

Content

_dmarc

TXT

v=DMARC1; p=reject;

Dit DMARC record zal niet afkeuren op een ontbrekende DKIM maar alleen op een niet kloppende SPF. Met deze instelling wordt de klant ook niet lastig gevallen met allerlei rapporten.

Extra instellingen voor Whitelabel resellers

Whitelabel resellers kunnen desgewenst hun eigen hostnames instellen in de DNS. Deze hostnames moeten dan als volgt worden ingesteld (vul op de plek <reseller.nl> de domeinnaam van de reseller in):

Hostname

Type

Content

Hostname

Type

Content

filter1.<reseller.nl>

A

217.21.240.159

filter2.<reseller.nl>

A

90.145.205.91

filter1.<reseller.nl>

AAAA

2a05:d014:6c6:0:eab1:709c:c1d7:e197

filter2.<reseller.nl>

AAAA

2a05:d014:6c6:0:aab2:d713:60ff:2434

Als extra stap dient middels eigen DNS records de DANE verwijzing op orde te worden gebracht. Dat moet via een CNAME omdat anders wanneer er bij Onlinespamfilter een certificaat wordt vernieuwd de DANE records van de reseller ongeldig worden. Onlinespamfilter geeft geen waarschuwingen over het wijzigen van certificaten en DANE records. Met deze CNAME records gebeurt de roll-over volledig automatisch:

Hostname

Type

Content

Hostname

Type

Content

_25._tcp.filter1.<reseller.nl>

CNAME

_25._tcp._dane.onlinespamfilter.nl

_25._tcp.filter2.<reseller.nl>

CNAME

_25._tcp._dane.onlinespamfilter.com

Â