Informatie voor beheerders van mailservers

De Belastingdienst past zijn systemen voortdurend aan om e-mails op een veilige manier te versturen en phishing tegen te gaan. Wij willen de ontvanger zoveel als mogelijk zekerheid bieden dat de e-mail die de ontvanger krijgt ook echt van de Belastingdienst komt.

SPF-records

De SPF-records (Sender Policy Framework) voor de domeinen belastingdienst.nl en bdmuseum.nl hebben vaste IP-adressen en hostnamen. In de SPF-records maken we gebruik van verschillende macro's. Deze macro's zijn conform RFC 7208. In hoofdstuk 7 van RFC vindt u meer uitleg over het gebruik van macro's. De Belastingdienst volgt met deze aanpassingen de e-mailstandaarden van het Forum Standaardisatie.

Huidig SPF-record

Het huidige SPF-record voor de genoemde domeinen ziet er als volgt uit:

v=spf1 exists:_i.%{i}._h.%{h}._o.%{o}._spf.belastingdienst.nl –all

In deze waarde zitten 3 macro's verwerkt. Deze macro's vragen de volgende gegevens op van de verzendende mailserver:

  • %{i}: Het IP adres of de SMTP adres waarvan de mail afkomstig is.
  • %{h}: HELO/EHLO van het domein waarvan de mail afkomstig is.
  • %{o}: Het domain of het veld "MAIL FROM"  of de “HELO” identity

Mail-servers van de Belastingdienst

Wij gebruiken de volgende mailservers om e-mail te versturen:

Hostname IPv4-adres IPv6-adres
smtp1.belastingdienst.nl 85.159.97.15 2a04:9a01:1002:4::2/64
smtp2.belastingdienst.nl 85.159.101.15 2a04:9a01:1002:4::3/64
smtp11.belastingdienst.nl 85.159.100.246
smtp12.belastingdienst.nl 85.159.97.246
mailer1.belastingdienst.nl 85.159.96.4
mailer2.belastingdienst.nl 85.159.100.4

U kunt deze gegevens gebruiken, bijvoorbeeld wanneer uw mailserver geen ondersteuning biedt voor SPF met macro's. Wanneer SPF met macro's niet wordt ondersteunt, zal dat in veel gevallen leiden tot een SPF-Hardfail.

Ons advies is, wanneer u gebruikt van bovenstaande gegevens, onze website regelmatig te controleren op wijzigingen. Verder adviseren wij u contact op te nemen met de leverancier van uw mailoplossing en te vragen om ondersteuning voor SPF met macro's.

Aanpassen configuratie ontvangende mailserver

Door onze uitgaande mailservers beter te beveiligen, maakt het voor kwaadwillenden weer een stuk moeilijker om 'namens' de Belastingdienst e-mails te versturen (spoofing). Helaas kan het ook gebeuren dat legitieme e-mails die wij versturen van onze mailservers door de ontvanger worden geweigerd of in de spamfolder terechtkomen. Dit kunt u verhelpen door de controle van inkomende e-mails juist te configureren op de ontvangende mailserver.

Foutcode 'NXDOMAIN': mailserver onbekend

De ontvangende mailserver vraag bij de DNS-server van de Belastingdienst of de verzendende mailserver namens de Belastingdienst mail mag versturen. De DNS-server van de Belastingdienst controleert vervolgens of de verzendende mailserver voorkomt in de DNS server van de Belastingdienst. Als dit niet zo is dan krijgt de ontvangende mailserver de foutcode 'NXDOMAIN' van de Belastingdienst DNS-server. Deze melding houdt in dat de verzendende mailserver onbekend is bij de Belastingdienst en dat het zeer waarschijnlijk om een phishingmail of een andere malafide praktijk gaat.

Problemen met HELO/EHLO-verificatie

Wij zien regelmatig dat veel ontvangende mailservers niet goed omgaan met vooral de HELO/EHLO-verificatie Er komen veel 'SPF Fail'-meldingen bij de legitieme verzendende mailservers binnen. Dit is een teken dat er iets mis is met de configuratie van de ontvangende mailserver.

Betere controle verzendende mailservers

De RFC-standaarden schrijven voor om ontvangen e-mail te controleren op basis van:

  • SPF of DKIM (Domain Keys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting & Conformance)

Deze controles verbeteren de betrouwbaarheid en veiligheid van het e-mailverkeer en vergroten de kans dat de e-mails correct en zorgvuldig worden afgehandeld.

Zorg voor een juiste en volledige configuratie van de ontvangende mailservers. Zo controleert u de verzendende server op meerdere manieren waardoor de e-mailclassificatie betrouwbaarder wordt.

Javascript staat uit in deze internetbrowser. U moet Javascript activeren om onze internetsite te zien.