E-mail, hoe werkt het eigenlijk en waarom zijn er zoveel problemen met e-mail?

Deel:

Share on facebook
Share on twitter
Share on linkedin

We gebruiken allemaal e-mail, elke dag worden er meer dan 200 miljard (!!) e-mails verzonden en ontvangen.

Zo'n uitgebreid systeem dat diep in ons dagelijks leven is geïntegreerd, blijft echter een mysterie: veel technici weten niet echt hoe de technische kant van e-mails werkt.

Om de aspecten van e-mail beter te begrijpen, moeten we teruggaan in de tijd. De werking van e-mail begon vrij gelijkaardig aan de traditionele geschreven brief: je maakt een bericht aan en vermeldt de ontvanger en de afzender van het bericht .

Een server die uw mail verstuurt, contact opneemt met de ontvanger en het bericht aflevert wanneer deze is gevonden.  Zo eenvoudig is dat toch?

Dat was vroeger zo, maar door misbruik zoals spam en phishing zijn bovenop dit eenvoudige systeem diverse maatregelen en extra systemen gebouwd.

Dit brengt ons bij een groot aantal extra functies die in de loop der jaren voor e-mail zijn ontwikkeld en die er nu voor zorgen dat het een onderwerp wordt waaraan de meesten zich niet wagen of door de bomen het bos niet meer zien.
In deze berichten proberen wij enige opheldering te verschaffen, en bij voorkeur in mensentaal in plaats van technisch gebrabbel.

Het onderwerp e-mail is zo uitgebreid dat we het in verschillende delen moeten opsplitsen, dus zorg ervoor dat je ons volgt zodat je geen enkel deel hoeft te missen!

Here we GO!

Deel 1: En wie ben jij?

Stel je het volgende voor:
Persoon A stuurt een brief naar persoon B, een normale transactie zou je denken. Maar wat als iemand anders zich voordoet als persoon A? Wat belet iemand om een andere naam als afzender op de brief te schrijven? Afgezien van het juridische aspect, aangezien dit als identiteitsfraude zou worden beschouwd, houdt niets u tegen om een andere naam op de brief te schrijven. Dit is precies hetzelfde met e-mail, of liever gezegd het was hetzelfde.

Door misbruik van deze mogelijkheid door hackers, spammers en fraudeurs. Natuurlijk zijn er oplossingen bedacht om dit te voorkomen. Overigens wordt dit probleem "spoofing" genoemd: het zich voordoen als iets of iemand anders om misbruik te maken van vertrouwen is helaas niet alleen beperkt gebleven tot e-mail. Als je nu een e-mail verstuurt, moet je bijna altijd door verificatie een wachtwoord en login voor je uitgaande mail (SMTP) server opgeven. Dit voorkomt dat iemand namens u via de server kwaadaardige e-mails verstuurt.

Geweldig, probleem opgelost! ... Toch? Of lijkt dat te voor de hand liggend? Nou, dat is het wel, want het ontbreekt mensen niet aan inventiviteit, en zeker niet als ze kwade bedoelingen hebben. De spammer maakt gewoon zijn eigen mailserver en daardoor heeft hij alle authenticatie die hij nodig heeft. Hij kan zelfs alle verificatie uitschakelen, wat mogelijk is omdat hij de beheerder is en dus totale controle heeft over zijn eigen systeem.

Hoera, de criminelen kunnen naar hartelust verzenden onder om het even welke naam of domein, en zoveel als ze willen ook. Daarom hebben we een systeem nodig dat controleert of de afzender wel de juiste is. Maar hoe pak je zoiets aan? Omdat je je eigen naam kunt bepalen om een e-mail te versturen. Een emailadres bestaat uit 2 delen: de gebruiker en het domein. Iedereen kan een domein registreren maar dit is precies waar het probleem begint voor fraudeurs. Een domein is bijna altijd te herleiden naar een natuurlijk persoon of naar een organisatie waar mensen verantwoordelijk kunnen worden gesteld. En het kost ook nog eens een klein bedrag per jaar om actief te houden. Als je duistere dingen gaat doen, wil je niet dat dit tot jou herleidbaar is en in de meeste gevallen mag het ook niets kosten omdat je dan nog steeds een "geldspoor" hebt dat ook tot een persoon herleidbaar is (behalve cryptocurrency, maar dat is een verhaal voor een andere keer).

Een domein maakt gebruik van DNS-records, instellingen die u kunt opgeven, en die worden gekopieerd naar andere servers over de hele wereld en vrij opvraagbaar zijn via het internet. Naast e-mail is DNS een ander onderdeel van IT waar veel computertechneuten het liefst zo ver mogelijk van wegblijven. Dit levert een spanningsveld op, omdat het een essentieel onderdeel is van de fundamenten van het internet. Dit is ook interessant materiaal, dus er komt zeker een aparte post over dit onderwerp. Let wel dat het in verschillende delen zal worden opgesplitst, dus zorg ervoor dat u op de hoogte blijft door ons te volgen op onze sociale media en website.

Terug naar Email ... Door een SPF (Sender Policy Framework) record in te stellen in de DNS records van uw domein, kan de ontvangende server controleren of de server die de email verstuurt, de toestemming heeft om emails te versturen voor deze specifieke domeinnaam. We begrijpen het volkomen als je die zin minstens twee keer moet lezen. We hebben nu een soort controle of de email afkomstig is van een server die namens dit domein mag verzenden. Leuk in theorie, maar in de praktijk ligt het wat anders.
Het probleem begint al bij de implementatie, want niet alle mailservers controleren op SPF records. Ook is er veel verkeerde informatie op het internet over SPF en dus worden ze vaak verkeerd ingesteld. Bovendien kunnen SPF records op verschillende manieren worden ingesteld.

Bijvoorbeeld: Geen enkele andere server mag namens dit domein verzenden met "-all" aan het einde van het record. Markeer het bericht als vermoedelijke spam door "~ all" toe te voegen als het afkomstig zou zijn van een andere server die niet in uw SPF-record staat vermeld. Dan hebben we "? all" die aangeeft dat er geen validatie moet worden uitgevoerd en dat inkomende e-mails van elke server zijn toegestaan. En als kers op de taart hebben we nog "+ all", en dit zou aangeven dat alle servers die namens dit domein proberen te verzenden als goed en betrouwbaar zouden worden gemarkeerd. Natuurlijk gebruik je"-all" en eventueel "~ all" alleen in noodgevallen, anders kun je net zo goed geen SPF-record instellen. Maar zelfs dan zijn SPF records suggesties voor de ontvangende server en kan de ontvanger dit volledig negeren. Gelukkig is dit zeldzaam geworden.

Wist je trouwens dat Microsoft de eerste grote speler was op het gebied van de implementatie van SPF als controlemechanisme in 2007? Als je ooit in Outlook, Hotmail of Live mailboxen wilt kunnen komen, kun je maar beter je SPF records in orde hebben. De rest van de wereld is nog bezig met een inhaalslag: nog steeds gebruikt niet iedereen SPF checks. Belachelijk natuurlijk, maar aan de andere kant is het protocol naar mijn mening niet streng genoeg door de mogelijkheden van "+ all" en "? All" in de officiële RFC-richtlijnen. Vóór 2007 was je zo goed als vrij om je voor te doen als wie je maar wilde zijn. Het Wilde Westen van het internet wordt langzamerhand georganiseerd, maar we zijn nog lang niet klaar.

Dus nu heb je SPF records om te controleren, maar niet iedereen gebruikt ze of ze stellen ze verkeerd in. Je moet ook weten dat SPF alleen de afzender van de e-mail controleert, de e-mail zelf kan allerlei onjuiste informatie bevatten en de weergavenaam kan nog steeds worden veranderd in wat je maar wilt. Bijvoorbeeld: Een e-mail van spammer@spam.com kan er nog steeds uitzien alsof het van de koningin van Engeland zelf komt voor degenen die niet opletten.

Toch heeft SPF een duidelijk nut voor e-mail. Wilt u bijvoorbeeld vanaf 2 servers tegelijk kunnen versturen? Een voor interne bedrijfsmail en een voor nieuwsbrieven naar klanten. Of misschien automatische mails vanuit uw webshop voor de orderbevestigingen en promoties die u wilt aankondigen. U moet dit zeker goed regelen in uw SPF records, anders komt uw mail niet aan of belandt in de spam van de meeste mailboxen.

In deel 2 gaan we verder met e-mail, omdat we op dit moment nog geen goede manier hebben om de afzender te traceren en spoofing te voorkomen, om nog maar te zwijgen van spam!

Heeft u trouwens problemen met e-mail? We helpen u graag!
U kunt ons altijd telefonisch bereiken als uw e-mail (nog) niet voldoet.

Deel:

Share on facebook
Share on twitter
Share on linkedin

Abonneer u op onze nieuwsbrief