Uit het onderzoek Hengelen naar klantdata van Flowmailer, dat op 21 oktober 2019 verscheen, blijkt dat e-mailbeveiliging voor veel organisaties een aandachtspunt blijft. Uitzondering hierop zijn banken en verzekeraars die ‘de beveiliging tegen nepmails inmiddels grotendeels voor elkaar hebben’. De e-commercebranche -die net als het bankwezen veel met klantdata werkt- heeft haar e-mailbeveiliging veel minder goed op orde. Vraag is natuurlijk: wat kunnen organisaties doen om de e-mailbeveiliging te verbeteren? Op deze en vele andere e-mailbeveiligingsvragen geeft het onderzoek van Flowmailer een antwoord.
Over het onderzoek Hengelen naar klantdata
In het onderzoek is de status van e‑mailbeveiliging in B2C Nederland geanalyseerd. Het onderzoek van Flowmailer concentreert zich niet op elke branche in de B2C, maar op de e‑commerce, de energieleveranciers en de verzekeringsmaatschappijen. De reden hiervoor is dat deze drie branches groot zijn in Nederland en dat de impact op de Nederlandse consument groot is als de e‑mailbeveiliging niet op orde blijkt te zijn.
E‑mailbeveiliging regel je met SPF en DMARC
E‑mailbeveiliging is volgens het onderzoek eenvoudig te definiëren:
‘Voor beveiligde domeinen geldt dat – als het afzenderadres op @bedrijfsnaam.nl eindigt – je zeker weet dat het bericht van het desbetreffende bedrijf komt.’
En er zijn twee technieken die ervoor zorgen dat het afzenderadres ook echt bij @bedrijfsnaam hoort: DMARC en SPF.
In het onderzoek van Flowmailer zijn om die reden van de onderzochte organisaties de primaire domeinnamen gecontroleerd op de aanwezigheid en de geldigheid van DMARC- en SPF-records. Deze records bevinden zich in de instellingen van het domein.
Wat is SPF?
SPF is een techniek die ervoor zorgt dat alle mails die verstuurd worden vanuit een domein door de ontvangende server worden gecheckt op echtheid. En met dit laatste wordt bedoeld dat er sprake moet zijn van een geautoriseerde verzender. Er wordt ook wel gezegd dat er sprake moet zijn van een goed functionerend SPF-record.
Uit het onderzoek van Flowmailer: ‘van de onderzochte domeinen voert 59,2% een actief SPF-record.’ Dat is iets meer dan de helft. Zo’n getal geldt niet voor DMARC en ook die techniek heb je nodig als je je e‑mailbeveiliging helemaal op orde wilt hebben.
En hoe zit het met DMARC?
Volgens het onderzoek van Flowmailer is DMARC slechts in 2,2% van de onderzochte domeinen goed ingeregeld. Al geeft het onderzoek wel een positieve noot: ‘Hier en daar wordt gelukkig wel initiatief getoond. Van de onderzochte domeinen is 3% aan de slag met DMARC, maar heeft deze beveiliging nog niet geactiveerd.’ Het onderzoek zegt over DMARC:
‘Een DMARC beleid vertelt de ontvanger aan welke kenmerken je e-mail moet voldoen.’
DMARC is een extra beveiligingslaag. Met DMARC geef je aan dat je mailings zijn beschermd met SPF en met een aantal cryptografische handtekeningen. Dit laatste heet ook wel DKIM. Heb je als organisatie zowel SPF als DMARC op orde, dan heb je volgens het onderzoek ‘een effectieve oplossing in handen om nepmails te voorkomen.’
E‑mailbeveiliging bij Spotler
Beveiliging met SPF en DMARC zijn belangrijk om aan te tonen dat je mailings geen phishingmails zijn. Het is een actieve manier om je reputatie te ‘verdedigen’. En het is belangrijk om aandacht te hebben voor e‑mailbeveiliging, want Spotler beschermt zijn verzendreputatie actief. Als je mailing te spamgevoelig is, dan zal Spotler je mailing niet versturen. Spotler stelt je in staat om met SPF en DMARC te verzenden en begeleidt je met het instellen van de records.
Zelf aan de slag met e-mailbeveiliging? Lees ons white paper!
Lees ons white paper De aflevering van e-mail uitgelegd in 21 begrippen om te kijken wat jij zelf allemaal kan doen om geen spamgevoelige mailings te versturen.
DMARC en SPF tot in detail onderzocht
De definities van SPF en DMARC zoals je die hierboven hebt gelezen, doen niet helemaal recht aan de technische complexiteit van beide begrippen. Het onderzoek van Flowmailer is wat dat betreft bijzonder grondig.
Om een klein voorbeeld te geven: voor een SPF-record geldt dat een softfail en een hardfail aangeven dat je te maken hebt met een goed functionerend SPF-record. Als een SPF-record iets anders aangeeft, dan is controle op phishing niet mogelijk. En ‘iets anders’ aangeven, is uiteraard ook onderzocht. Tot op dit technisch detailniveau doet het onderzoek van Flowmailer uitspraken.
Als je dit interessant vindt en je leest graag een grondig onderzoek naar DMARC en SPF, dan is het raadzaam om het onderzoek zelf te downloaden. Hieronder lees je -als laatste- de meer algemene conclusie over drie onderzochte branches.
Hoe scoren de verschillende branches?
Uit het onderzoek komt de volgende grafiek:
Van de drie onderzochte branches scoren de verzekeraars het beste, daarna de energieleveranciers en als laatste de e‑commerce. En deze rangorde betreft het op orde hebben van DMARC en SPF. Het onderzoek geeft de volgende nuance: ‘interne e‑mailbeveilging heeft al wel de aandacht van bedrijven. Men gebruikt geavanceerde spamfilters en personeel wordt gewaarschuwd voor nepmail. Toch beschermen deze maatregelen alleen het bedrijf en niet de klant.’
Het pleidooi van het onderzoek is dan ook om niet alleen oog te hebben voor interne e‑mailbeveiliging, maar ook voor externe e‑mailbeveiliging. En de beste manier waarop je dat kunt doen, is ervoor te zorgen dat je SPF en DMARC op orde hebt. Het is daarom verstandig om nog eens te checken hoe zit met je eigen externe e‑mailbeveiliging.
Benieuwd naar het onderzoek Hengelen naar klantdata?
Het onderzoek van Flowmailer onderstreept het belang van veilig mailen. Een belang dat Spotler van harte onderschrijft. Ben je benieuwd naar alle uitkomsten van het onderzoek? Download dan Hengelen naar klantdata van Flowmailer.
