Authenticatie bij e-mailmarketing: SPF, SenderID en DKIM

Authenticatie van e-mail is het controleerbaar maken van de afzender en content van berichten voor ontvangende mailservers. Authenticatie wordt door veel spamfilters toegepast als eerste check bij inkomende berichten. Als de authenticatie niet op orde is, wordt de e-mail geweigerd of extra strak onder de loep genomen. Daarom is het authenticeren van je eigen verzendsysteem, die van je tussenpartij en die van eventuele derde partijen die uit jouw naam versturen, een belangrijke stap om je e-mails in de inbox van de ontvanger te krijgen.

SPF, SenderID en DKIM zijn allemaal manieren om authenticiteit te waarborgen, alleen werken ze op verschillende manieren. Dit artikel legt voor de (niet-programmerende) marketeer (versimpeld) uit volgens welke principes deze technieken werken.

DNS: Digitaal postcodeboek

Om authenticatie uit te leggen, leggen we eerst iets uit over domeinnamen. Elke domeinnaam (bijv. ‘www.copernica.com’) is gekoppeld aan een IP adres. Het IP adres is het unieke herkenningsadres van een netwerk (bijv. 217.67.229.100). Hiermee kan elke computer aangesloten op internet de betreffende website vinden. De koppeling tussen domeinnaam en IP adres heet het Domain Name System (DNS).

Om te onthouden welk domein welk IP adres heeft, zijn er speciale DNS-servers. Een soort digitale postcodeboeken met DNS gegevens. Elke keer dat iemand een website aanroept, wordt razendsnel contact met een DNS-server gemaakt om het juiste IP adres te vinden en de website te kunnen tonen.

Het verzenden van e-mail verloopt ook via een IP-adres. Bij de DNS gegevens staat daarom ook geregistreerd, welke IP adressen toestemming hebben om e-mail te versturen vanuit die domeinnaam. Maar als je systemen niet op orde zijn of je verzendt via een derde partij of marketing software, kan het zijn dat je verzend IP afwijkt van de geregistreerde adressen. De authenticatie klopt dus niet meer. De ontvangende e-mailserver zal dit ook zien, zodat je e-mail geweigerd wordt, of extra kritisch wordt bejegend door spamfilters. De kans op inboxbezorging wordt aanzienlijk kleiner!

SPF: controle aan de voordeur

Een SPF record is een bestand binnen de DNS gegevens van een domein. Daarin staat welke IP adressen e-mail mogen verzenden vanuit de domeinnaam. Dus als iemand e-mail wil versturen vanuit …@copernica.com, moet in de DNS gegevens van copernica.com staan dat zijn IP adres dat mag. De ontvangende mailserver controleert de SPF zodra de e-mail wordt aangeboden. Als het IP adres niet in het SPF record voorkomt, wordt de inhoud van de e-mail niet eens binnengehaald.

Bij Copernica controleren we bij elke mailing je verzendinstellingen en waarschuwen als je SPF record niet op orde is. Maar dat doet niet elke verzendpartij en bovendien moet je zelf de DNS gegevens (laten) aanpassen. Als eigenaar van een domeinnaam kun je een SPF record toe (laten) voegen aan je DNS gegevens. Daarmee geef je aan dat het IP adres van externe partij X toestemming heeft om mailings uit jouw naam te verzenden. Of dat IP adressen Z en Y ook bij jouw organisatie horen.

SenderID: checkt je header

Bij een SenderID controle wordt, net als bij SPF authenticatie, het verzendadres gecontroleerd. Het werkt ook via de DNS gegevens en gebruikt dezelfde taal als SPF. Maar SenderID kijkt naar andere waarden om je authenticiteit te bepalen. Voor een SenderID controle wordt een e-mail eerst binnengehaald, om daarna te kijken naar de headers. Headers zijn bijvoorbeeld Van, Aan en Onderwerp, maar elke e-mail bevat ook headers die je als gebruiker niet ziet.

SenderID is zo’n onzichtbare header die kan worden toegevoegd door de verzender. In het SenderID staat wie de ‘echte’ afzender van de e-mail is, zodat dit geverifieerd kan worden tegen de DNS gegevens. Ook in dit geval moet in het SPF record staan welke IP adressen toestemming hebben om e-mail te versturen. Het moet er alleen op een andere manier instaan. Zowel SPF als SenderID controle zijn ‘populair’ bij spamfilters. Het is daarom het beste om beiden in te (laten) regelen in je DNS gegevens.

DKIM: digitale handtekening

Terwijl SPF en SenderID de afzender controleren, wordt bij DKIM gekeken naar de authenticiteit van het bericht zelf. DKIM (DomainKeys Identified Mail) voegt een onzichtbare header toe aan een e-mail met daarin een digitale handtekening.

Als je een e-mailbericht, met alle content en headers erbij, als enen en nullen beschouwt, dan kun je daar een optelsom van maken. Die som wordt gecodeerd opgenomen in de digitale handtekening. De ontvangende server haalt een sleutel (public key) op bij de DNS gegevens om de code te ontcijferen. Tegelijk berekent de ontvangende server zelf ook de optelsom van de e-mail. Als de som in de DKIM header gelijk is aan de som die de ontvanger berekent, is het bericht authentiek.

DKIM is niet standaard ingesteld voor domeinnamen en verzendservers. Zoals gezegd moet er een sleutel worden toegevoegd aan de DNS gegevens. Deze moet je (laten) genereren en zelf instellen voor DKIM authenticatie. De DKIM authenticatie mag ook toegevoegd worden door een geautoriseerde derde partij of verzendserver. Zo bevat Copernica marketing software een eenvoudige sleutelgenerator waarmee in een keer voor al je mailings de DKIM kan worden ingesteld.

Authenticatie: anti-spam

Ontvangende mailservers controleren terecht als eerste de authenticiteit van een e-mail, want spamberichten zijn zelden authentiek. Ze bevatten valse verzendnamen, valse afzendadressen en vervalste content van andere e-mails. Als e-mailmarketeer verstuur je wél authentieke berichten, dus dat moet je ook bewijzen. Een ontvangende server ziet niet dat je opt-in hebt, die kijkt naar je bericht en je authenticatie. Als je e-mailauthenticatie niet op orde is, zullen je mailings veel strakker onder de loep worden genomen door de spamfilters en/of vaker worden geweigerd en/of direct naar de spamfolder verwezen worden.

Overzicht van termen:

• Headers – Deel van een e-mail waarin de eigenschappen staan omschreven zoals ‘Van’, ‘Aan’ en ‘Onderwerp’. Elke e-mail bevat ook headers die niet standaard te zien zijn, over de afgelegde route bijvoorbeeld.
• IP adres – Internet Protocol Address. Een uniek numeriek adres waarmee computers die op een netwerk zijn aangesloten, elkaar kunnen herkennen en vinden. Bijv. 217.67.229.100
• DNS – Domain Name System. Koppelt domeinnamen aan IP adressen. Bijv. www.copernica.com hoort bij 217.67.229.100
• SPF – Sender Policy Framework. Onderdeel van DNS gegevens met informatie over welke IP adressen gerechtigd zijn om namens een bepaald domein e-mail te verzenden.
• SenderID – E-mail authenticatiesysteem dat via DNS gegevens de afzender van een e-mail controleert.
• DKIM – DomainKeys Identified Mail. Systeem van e-mail authenticatie waarbij een digitale handtekening wordt toegevoegd aan een e-mailbericht.

Nuttige links

Voor meer volledige en meer technische informatie over authenticatie raden wij de volgende artikelen aan:

http://en.wikipedia.org/wiki/E-mail_authentication

http://en.wikipedia.org/wiki/Sender_Policy_Framework

http://en.wikipedia.org/wiki/SenderID

http://www.openspf.org/SPF_vs_Sender_ID

http://en.wikipedia.org/wiki/DKIM

http://www.dkim.org/

http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx