Aanbevolen procedures voor ondersteuning voor verificatie van afzenders in Azure Communication Services-e-mail

Dit artikel bevat de aanbevolen procedures voor het verzenden van e-mail voor DNS-records en het gebruik van de methoden voor afzenderverificatie die helpen voorkomen dat aanvallers berichten verzenden die eruitzien als ze afkomstig zijn van uw domein.

E-mailverificatie en DNS-installatie

Voor het verzenden van een e-mailbericht zijn verschillende stappen vereist, waaronder het verifiëren van de afzender van het e-mailbericht, het controleren van de domeinreputatie, virusscans, filteren op spam, phishingpogingen, malware, enzovoort. Het configureren van de juiste e-mailverificatie is een fundamenteel principe voor het tot stand brengen van vertrouwen in e-mail en het beveiligen van de reputatie van uw domein. Als een e-mail verificatiecontroles doorgeeft, kan het ontvangende domein beleid toepassen op die e-mail in overeenstemming met de reputatie die al is vastgesteld voor de identiteiten die aan deze verificatiecontroles zijn gekoppeld, en kan de ontvanger er zeker van zijn dat deze identiteiten geldig zijn.

MX-record (Mail Exchange)

MX-record (Mail Exchange) wordt gebruikt om e-mail naar de juiste server te routeren. Hiermee geeft u de e-mailserver op die verantwoordelijk is voor het accepteren van e-mailberichten namens uw domein. DNS moet worden bijgewerkt met de meest recente informatie over MX-records van uw e-maildomein, anders leidt dit tot een aantal bezorgingsfouten.

SPF (Sender Policy Framework)

SPF RFC 7208 is een mechanisme waarmee domeineigenaren namens hen e-mail kunnen publiceren en onderhouden via een standaard DNS TXT-record. Deze record wordt gebruikt om op te geven welke e-mailservers namens uw domein e-mail mogen verzenden. Het helpt bij het voorkomen van e-mailvervalsing en het verhogen van de e-mailverleverbaarheid.

DKIM (Domain Keys Identified Mail)

MET DKIM RFC 6376 kan een organisatie de verantwoordelijkheid claimen voor het verzenden van een bericht op een manier die door de ontvanger kan worden gevalideerd. Deze record wordt ook gebruikt om het domein te verifiëren waaruit de e-mail wordt verzonden en helpt voorkomen dat e-mailvervalsing wordt uitgevoerd en de e-mailverzending te vergroten.

DMARC (op domein gebaseerde berichtverificatie, rapportage en conformiteit)

DMARC RFC 7489 is een schaalbaar mechanisme waarmee een e-mailorganisatie beleidsregels en voorkeuren op domeinniveau kan uitdrukken voor berichtvalidatie, verwijdering en rapportage die een e-mail ontvangende organisatie kan gebruiken om de verwerking van e-mail te verbeteren. Het wordt ook gebruikt om op te geven hoe e-mailontvangers berichten moeten verwerken die mislukken bij SPF- en DKIM-controles. Dit verbetert de e-mailverleverbaarheid en helpt bij het voorkomen van e-mailvervalsing.

ARC (geverifieerde ontvangen keten)

Het ARC-protocol RFC 8617 biedt een geverifieerde bewakingsketen voor een bericht, zodat elke entiteit die het bericht verwerkt, kan identificeren welke entiteiten het eerder hebben verwerkt, evenals de verificatiebeoordeling van het bericht bij elke hop. ARC is nog geen internetstandaard, maar de acceptatie neemt toe.

Hoe e-mailverificatie werkt

E-mailverificatie controleert of e-mailberichten van een afzender (bijvoorbeeld notification@contoso.com) legitiem zijn en afkomstig zijn van verwachte bronnen voor dat e-maildomein (bijvoorbeeld contoso.com.) Een e-mailbericht kan meerdere afzender- of afzenderadressen bevatten. Deze adressen worden gebruikt voor verschillende doeleinden. Denk bijvoorbeeld aan de volgende adressen:

• E-mailadres identificeert de afzender en geeft aan waar retourberichten moeten worden verzonden als er problemen optreden met de bezorging van het bericht, zoals kennisgevingen over niet-uitgevoerde bezorging. Dit wordt weergegeven in het envelopgedeelte van een e-mailbericht en wordt niet weergegeven door uw e-mailtoepassing. Dit wordt ook wel het 5321.MailFrom-adres of het omgekeerde padadres genoemd.

• Van adres is het adres dat wordt weergegeven als het Van-adres door uw e-mailtoepassing. Dit adres identificeert de auteur van het e-mailbericht. Dat wil gezegd, het postvak van de persoon of het systeem dat verantwoordelijk is voor het schrijven van het bericht. Dit wordt ook wel het 5322.From-adres genoemd.

• Sender Policy Framework (SPF) helpt bij het valideren van uitgaande e-mail die is verzonden vanuit uw e-mail van het domein (is afkomstig van wie het is).

• DomainKeys Identified Mail (DKIM) helpt ervoor te zorgen dat doel-e-mailsystemen uitgaande berichten van uw e-mail van uw domein vertrouwen.

• Op een domein gebaseerde berichtverificatie, rapportage en conformiteit (DMARC) werkt met SPF (Sender Policy Framework) en DomainKeys Identified Mail (DKIM) om afzenders van e-mail te verifiëren en ervoor te zorgen dat doel-e-mailsystemen berichten vertrouwen die zijn verzonden vanuit uw domein.

DMARC implementeren

Het implementeren van DMARC met SPF en DKIM biedt uitgebreide bescherming tegen adresvervalsing en phishing-e-mail. SPF gebruikt een DNS TXT-record om een lijst met geautoriseerde IP-adressen voor een bepaald domein op te geven. Normaal gesproken worden SPF-controles alleen uitgevoerd op het adres 5321.MailFrom. Dit betekent dat het 5322.From-adres niet wordt geverifieerd wanneer u SPF zelf gebruikt. Dit maakt een scenario mogelijk waarbij een gebruiker een bericht kan ontvangen, dat een SPF-controle doorgeeft, maar een vervalst 5322.Van afzenderadres heeft.

Net als de DNS-records voor SPF is de record voor DMARC een TXT-record (DNS-tekst) waarmee adresvervalsing en phishing worden voorkomen. U publiceert DMARC TXT-records in DNS. DMARC TXT-records valideren de oorsprong van e-mailberichten door het IP-adres van de auteur van een e-mail te verifiëren tegen de vermeende eigenaar van het verzendende domein. De DMARC TXT-record identificeert geautoriseerde uitgaande e-mailservers. Doel-e-mailsystemen kunnen vervolgens controleren of berichten die ze ontvangen afkomstig zijn van geautoriseerde uitgaande e-mailservers. Dit dwingt een onjuiste overeenkomst tussen de 5321.MailFrom en de 5322.From-adressen in alle e-mailadressen die vanuit uw domein worden verzonden en DMARC mislukt voor die e-mail. Om dit te voorkomen, moet u DKIM instellen voor uw domein.

Met een DMARC-beleidsrecord kan een domein aankondigen dat hun e-mail gebruikmaakt van verificatie; verstrekt een e-mailadres voor het verzamelen van feedback over het gebruik van hun domein; en geeft een aangevraagd beleid op voor de verwerking van berichten die geen verificatiecontroles doorgeven. We raden u aan dat

• Beleidsinstructiesdomeinen die DMARC-records publiceren, zijn waar mogelijk "p=reject", "p=quarantine" anders.
• De beleidsverklaring "p=none", "sp=none" en pct<100 mogen alleen worden gezien als overgangstoestanden, met als doel ze zo snel mogelijk te verwijderen.
• Alle gepubliceerde DMARC-beleidsrecords moeten minimaal een tag 'beveiligingslabel' bevatten die verwijst naar een postvak voor het ontvangen van statistische DMARC-rapporten en moet geen antwoorden verzenden bij het ontvangen van rapporten vanwege privacyproblemen.

Volgende stappen

• Aanbevolen procedures voor het implementeren van DMARC

• Problemen met uw DMARC-implementatie oplossen

• E-maildomeinen en afzenderverificatie voor Azure Communication Services

• Aan de slag met het maken en beheren van e-mailcommunicatieservice in Azure Communication Service

• Aan de slag door e-mailcommunicatieservice te verbinden met een Azure Communication Service-resource

De volgende documenten zijn mogelijk interessant voor u:

• Vertrouwd raken met de e-mailclientbibliotheek
• Hoe e-mailberichten verzenden met aangepaste geverifieerde domeinen? Aangepaste domeinen toevoegen
• E-mailberichten verzenden met Azure Managed Domains Beheerde Azure-domeinen toevoegen