Informatie voor beheerders van mailservers

De Belastingdienst past zijn systemen voortdurend aan om e-mails op een veilige manier te versturen en phishing tegen te gaan. Wij willen de ontvanger zoveel als mogelijk zekerheid bieden dat de e-mail die hij ontvangt ook echt van de Belastingdienst komt.

Update 6 november 2018: aanpassing SPF-records

Op 6 november 2018 heeft de Belastingdienst de SPF-records (Sender Policy Framework) van de domeinen belastingdienst.nl, bdmuseum.nl en oswo.nl aangepast. Voorheen bevatten de SPF-records voor deze domeinen vaste IP-adressen en hostnamen. In de huidige SPF-records maken we gebruik van verschillende macro's. Deze macro's zijn conform RFC 7208. In hoofdstuk 7 van de RFC vindt u meer uitleg over het gebruik van macro's. De Belastingdienst volgt met deze aanpassingen de e-mailstandaarden van het Forum Standaardisatie.

Het huidige SPF-record voor de genoemde domeinen ziet er als volgt uit:

v=spf1 exists:_i.%{i}._h.%{h}._o.%{o}._spf.belastingdienst.nl –all

In deze waarde zitten 3 macro's verwerkt. Deze macro's vragen de volgende gegevens op van de verzendende mailserver:

  • %{i}: Het IP adres of de SMTP adres waarvan de mail afkomstig is.
  • %{h}: HELO/EHLO van het domein waarvan de mail afkomstig is.
  • %{o}: Het domain of het veld "MAIL FROM"  of de “HELO” identity

Aanpassen configuratie ontvangende mailserver

Het beter beveiligen van onze uitgaande mailservers maakt het kwaadwillenden weer een stuk moeilijker om 'namens' de Belastingdienst mails te versturen (spoofing). Helaas kan het door de aanpassingen ook gebeuren dat legitieme e-mails verstuurd vanaf de mailserver van de Belastingdienst door de ontvanger worden geweigerd of in de spamfolder terechtkomen. Dit kunt u verhelpen door de controle van inkomende e-mails juist te configureren op de ontvangende mailserver.

Foutcode ("NXDOMAIN"): mailserver onbekend

De ontvangende mailserver vraag bij de DNS-server van de Belastingdienst of de verzendende mailserver namens de Belastingdienst mail mag versturen. De DNS-server van de Belastingdienst controleert vervolgens of de verzendende mailserver voorkomt in de DNS server van de Belastingdienst. Als dit niet zo is dan krijgt de ontvangende mailserver een foutcode ("NXDOMAIN") van de Belastingdienst DNS-server. Deze melding houdt in dat de verzendende mailserver onbekend is bij de Belastingdienst en dat het zeer waarschijnlijk om een phishingmail of andere malafide praktijk gaat.

Problemen met HELO/EHLO-verificatie

De Belastingdienst ziet regelmatig dat ontvangende mailservers niet goed omgaan met vooral de HELO/EHLO-verificatie Er komen veel 'SPF Fail'-meldingen bij de legitieme verzendende mailservers binnen. Dit is een teken dat er iets mis is met de configuratie van de ontvangende mailserver.

Betere controle verzendende mailservers

De RFC-standaarden schrijven voor om ontvangen e-mail te controleren op basis van:

  • SPF of DKIM (Domain Keys Identified Mail), en
  • DMARC (Domain-based Message Authentication, Reporting & Conformance).

Deze controles verbeteren de betrouwbaarheid en veiligheid van het e-mailverkeer en vergroten de kans dat de e-mails correct en zorgvuldig worden afgehandeld.

Zorg voor een juiste en volledige configuratie van de ontvangende mailservers. Zo controleert u de verzendende server op meerdere manieren waardoor de e-mailclassificatie betrouwbaarder wordt.

Javascript staat uit in deze internetbrowser. U moet Javascript activeren om onze internetsite te zien.