Kan iemand mailen uit naam van je bedrijf?
Het korte antwoord is: vaak wel, en de meeste ondernemers weten het niet. Niet door een hack, maar door een instelling die standaard openstaat. Hieronder lees je in gewone taal hoe dat kan, waarom het risico groter is dan het lijkt, en hoe je het dichtzet. Geen bangmakerij, gewoon hoe het werkt.
Wil je het meteen voor je eigen domein weten?
Doe de gratis e-mailcheck. Voer je domein in en je ziet binnen dertig seconden of je e-mail is afgeschermd. Geen account, niets te installeren.
Doe de gratis e-mailcheckWat is e-mail spoofing?
E-mail is bedacht in een tijd dat iedereen op het internet elkaar vertrouwde. Daardoor zit er een zwakke plek in: in een e-mail kun je als afzender invullen wat je wilt. Net zoals je op een envelop elke naam als afzender kunt schrijven, ook een naam die niet van jou is.
Iemand met kwade bedoelingen kan dus een mail versturen waarin staat dat hij jouwbedrijf.nl is, terwijl die mail nergens bij jou vandaan komt. De ontvanger ziet jouw bedrijfsnaam als afzender en gaat ervan uit dat het klopt. Dat heet spoofing: het vervalsen van de afzender. Er komt geen hack aan te pas en je hebt het zelf niet door, want de mail gaat niet via jouw systemen.
Waarom dit gevaarlijker is dan het klinkt
Spoofing klinkt abstract, maar het is de motor achter twee heel concrete vormen van fraude waar kleine bedrijven dagelijks slachtoffer van worden.
De eerste is de nep-factuur. Een klant van je krijgt een mail die lijkt te komen van jouw bedrijf, met een echt ogende factuur en een gewijzigd rekeningnummer. Hij betaalt, in goed vertrouwen, aan de fraudeur. Het geld is weg, en jouw naam hangt eraan vast.
De tweede is CEO-fraude. Een medewerker krijgt een mail die lijkt te komen van de directeur, met het verzoek om snel een betaling te doen of inloggegevens te delen. De afzender klopt, de toon klopt, dus het verzoek wordt uitgevoerd. Niet omdat de medewerker dom is, maar omdat de mail er echt uitziet.
Het vervelende is dat de schade bij jou en je relaties landt, terwijl jij technisch gezien niets verkeerd deed. Je liet alleen een deur openstaan waarvan je niet wist dat hij er was.
Zo zet je het dicht: SPF, DKIM en DMARC
De oplossing zit in drie instellingen in je DNS, de naamgeving van je domein. Je hoeft ze niet zelf te programmeren, maar het helpt om te snappen wat ze doen. Samen vertellen ze de mailservers van de hele wereld welke mail écht van jou komt en welke ze mogen weigeren.
SPF: wie mag er mailen namens jou
SPF is een lijst van de mailservers die namens jouw domein mogen versturen, bijvoorbeeld die van Microsoft 365 of je eigen provider. Een ontvangende mailserver kijkt: kwam deze mail van een server die op de lijst staat? Zo niet, dan is er iets mis. SPF is het gastenlijstje bij de deur.
DKIM: een echtheidszegel op je mail
DKIM zet een onzichtbare digitale handtekening op elke mail die je verstuurt. De ontvanger kan controleren of die handtekening klopt en of de mail onderweg niet is aangepast. Het is het lakzegel op de envelop: breek je het, dan zie je dat er mee geknoeid is.
DMARC: de baas die de regels afdwingt
SPF en DKIM stellen alleen vast óf er iets mis is. DMARC bepaalt wat er dan gebeurt: niets doen en alleen meekijken, de mail naar de spambox sturen, of hem helemaal weigeren. Zonder DMARC, of met DMARC op de stand "alleen meekijken", wordt nepmail in de praktijk niet tegengehouden. Dit is precies waar het bij de meeste bedrijven misgaat: SPF en DKIM staan er wel, maar DMARC dwingt niets af, en dan ben je alsnog te misbruiken.
Hoe weet je of het bij jou goed staat?
Je kunt dit handmatig nakijken in je DNS, maar de drie los zijn lastig te lezen en het is makkelijk om iets over het hoofd te zien. Sneller is een check die de drie samen beoordeelt en je in gewone taal vertelt of iemand op dit moment uit jouw naam kan mailen.
Check je eigen domein, gratis
Voer je domein in en je krijgt een eerlijk oordeel: is je e-mail afgeschermd, of staat de deur open? Geen account, niets te installeren, en we slaan niets op.
Doe de gratis e-mailcheckEn de rest van je beveiliging?
E-mail is een belangrijke laag, maar het is er één. Je website, je beveiligingsinstellingen, je certificaat en je onderliggende techniek vallen hierbuiten, en daar zitten vaak net zo goed open deuren. Wil je een compleet beeld in plaats van alleen je e-maillaag, dan brengt de Self-Service Scan dat in kaart: een eerlijke, geautomatiseerde check van je website en e-mail, met een helder rapport in je inbox.
Liever het complete beeld?
De Self-Service Scan checkt je website én je e-mail, en levert een helder rapport zonder verkooppraat. Vaste prijs, 79 euro.
Bekijk de Self-Service ScanVeelgestelde vragen
Kan iemand echt zomaar mailen uit mijn naam?
Als je domein geen afdwingende DMARC heeft, ja. Het vervelende is dat dit de standaardsituatie is voor veel domeinen: er is niets voor nodig om het te misbruiken, behalve dat jij de bescherming nog niet hebt aangezet.
Moet ik hier technisch voor zijn?
Om te begrijpen wat er speelt niet, dat lees je hierboven in gewone taal. Het instellen van SPF, DKIM en DMARC gebeurt in je DNS en is voor de meeste mensen wel even technisch. Je IT-beheerder of mailprovider kan het meestal vlot regelen, of je laat het doen.
Is mijn e-mail nu onveilig?
Niet per se, het hangt af van je instellingen. Sommige domeinen staan keurig dicht, andere staan wagenwijd open zonder dat de eigenaar het weet. De enige manier om het te weten is het te controleren. Daar is de gratis e-mailcheck voor.
Wat is het verschil tussen SPF, DKIM en DMARC?
SPF is de lijst van wie namens jou mag mailen. DKIM is een echtheidszegel op je mail. DMARC bepaalt wat een ontvanger doet als SPF of DKIM niet klopt. Je hebt alle drie nodig, en vooral een DMARC die echt iets afdwingt.
Wat kost het om dit op te lossen?
De instellingen zelf kosten niets, het is configuratie in je DNS. De moeite zit in het goed en volledig doen, zonder je eigen legitieme mail per ongeluk te blokkeren. De gratis check laat zien of het nodig is. Wil je het laten controleren of in orde maken als onderdeel van een bredere check, dan kan dat via de Self-Service Scan.