100% score op internet.nl en andere sites die internet standaarden checken
Inleiding
Voor sommige organisaties is het belangrijk aan minimum voorwaarden te voldoen waar het gaat om e-mail veiligheid. Deze veiligheid kan vaak worden gecontroleerd middels sites als http://internet.nl . Met wat inspanning is het mogelijk een 100% score te halen op deze laatste site. Deze handleiding geeft het minimum aan van wat gedaan moet worden om deze score te halen.
We raden met klem aan om alleen deze instellingen te maken wanneer dit van uw organisatie wordt geeist, mede gezien de onderstaande twee waarschuwingen:
De hieronder genoemde methode introduceert IPv6 omdat dit wordt geeist door sommige organisaties. Onlinespamfilter vertrouwt hiermee op een dual-stack implementatie. Een aantal e-mail servers blijkt een gebrekkige dual-stack implementatie( https://en.wikipedia.org/wiki/IPv6#Dual-stack_IP_implementation ) te hebben. Deze partijen zijn meestal in overtreding van de richtlijnen in https://datatracker.ietf.org/doc/html/rfc3974#section-3. Deze partijen leveren middels deze methode vertraagd of zelfs helemaal geen mail af bij Onlinespamfilter. Het aantal is zeer beperkt en zal in de toekomst waarschijnlijk afnemen maar voorlopig niet te verwaarlozen!
Een klein aantal mail servers in de wereld is nog niet in staat om e-mail te kunnen afleveren met de geeiste veiligheidsmaatregelen op gebied van TLS en encryptie standaarden. Van deze mail servers kan dus geen mail meer worden ontvangen. Dit is de reden waarom deze instellingen bij ons niet standaard zijn. U dient zich te realiseren dat er een klein risico is dat u e-mail gaat missen met deze instellingen. De kans daarop is echter niet erg groot.
Eisen op gebied van IPv6, TLS versie, ciphers en Dane
Om aan deze eisen te voldoen stelt u de volgende MX records in:
Hostname | Type | Prio |
---|---|---|
secure.onlinespamfilter.nl | MX | 10 |
secure.onlinespamfilter.com | MX | 10 |
Deze records bevatten verwijzigingen naar speciale security-hardened servers van Onlinespamfilter die aan alle eisen voldoen. Tevens zijn er passende Dane records in de DNS aanwezig voor de genoemde servers.
SPF records
Dit is niet anders dan anders. De standaard SPF instelling voor Onlinespamfilter klanten die hun mail alleen via ons versturen is:
Type | Content |
---|---|
TXT | v=spf1 include:_spf.onlinespamfilter.nl -all |
Voor uitgebreidere informatie over SPF kunt u onze documentatie ( Uitgaande e-mail | SPF instellingen uitgaande SMTP ) raadplegen.
DKIM en DMARC
DKIM
Dit is een instelling die alleen door de klant zelf kan worden gemaakt. Een handleiding voor Microsoft Office 365 is https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/use-dkim-to-validate-outbound-email . Een handleiding voor meer algemene toepassing is hier te vinden https://www.mailhardener.com/kb/how-to-create-a-dkim-record-with-openssl.
Na instelling van dit record hoeft uw mail niet perse ook met DKIM te worden verstuurd om toch een 100% score te halen. U kunt het verzenden met DKIM dus ook later (of zelfs niet) implementeren. U moet dan wel het DMARC record goed instellen.
DMARC
Een simpel DMARC record is genoeg om aan de test te voldoen. Het kan zo simpel zijn als:
Hostname | Type | Content |
---|---|---|
_dmarc | TXT | v=DMARC1; p=reject; |
Dit DMARC record zal niet afkeuren op een ontbrekende DKIM maar alleen op een niet kloppende SPF. Met deze instelling wordt de klant ook niet lastig gevallen met allerlei rapporten.
Extra instellingen voor Whitelabel resellers
Whitelabel resellers kunnen desgewenst hun eigen hostnames instellen in de DNS. Deze hostnames moeten dan als volgt worden ingesteld (vul op de plek <reseller.nl> de domeinnaam van de reseller in):
Hostname | Type | Content |
---|---|---|
filter1.<reseller.nl> | A | 217.21.240.159 |
filter2.<reseller.nl> | A | 90.145.205.91 |
filter1.<reseller.nl> | AAAA | 2a05:d014:6c6:0:eab1:709c:c1d7:e197 |
filter2.<reseller.nl> | AAAA | 2a05:d014:6c6:0:aab2:d713:60ff:2434 |
Als extra stap dient middels eigen DNS records de DANE verwijzing op orde te worden gebracht. Dat moet via een CNAME omdat anders wanneer er bij Onlinespamfilter een certificaat wordt vernieuwd de DANE records van de reseller ongeldig worden. Onlinespamfilter geeft geen waarschuwingen over het wijzigen van certificaten en DANE records. Met deze CNAME records gebeurt de roll-over volledig automatisch:
Hostname | Type | Content |
---|---|---|
_25._tcp.filter1.<reseller.nl> | CNAME | _25._tcp._dane.onlinespamfilter.nl |
_25._tcp.filter2.<reseller.nl> | CNAME | _25._tcp._dane.onlinespamfilter.com |
Â