In de snelle, digitale wereld van vandaag is e-mailverkeer onmisbaar geworden voor organisaties van elke omvang. Toch brengt dit gemak ook risico’s met zich mee, zeker wanneer het gaat om het versturen van gevoelige of vertrouwelijke informatie. Bij Zivver hebben we daarom een volledig eigen e-mailservice ontwikkeld: de Zivver Email Service (ZES). In deze blog vertellen we graag over het waarom achter ZES, de grootste voordelen, en wat u als organisatie kunt verwachten.
1. Van noodzaak tot innovatie: waarom ZES?
1.1 Beperkingen van bestaande e-maildiensten
Tot voor kort maakten we bij Zivver gebruik van Amazon Simple Email Service (Amazon SES) om e-mails (zoals notificaties) te versturen. Hoewel SES prima werkt voor veel organisaties, zijn er verschillende beperkingen en risico’s die voor onze klanten, met name in (semi-)overheidsinstellingen en de zorg, onacceptabel bleken:
- Verplichte opname van Amazon’s SPF-record
Organisaties moesten Amazons volledige SPF-record in hun eigen DNS zetten. Hierdoor werd feitelijk toegestaan dat Amazon namens uw domein e-mails kan verzenden. Dat is voor sommige organisaties een onwenselijk veiligheidsrisico.
- Datasoevereiniteit en privacy
Omdat Amazon een Amerikaans bedrijf is, bestaat er bij bepaalde organisaties—bijvoorbeeld in de publieke sector—bezorgdheid over de CLOUD Act, die Amerikaanse autoriteiten inzicht kan geven in data van Amerikaanse providers. Hoewel Amazon belooft geen inhoud te lezen, blijft het een punt van discussie en zorg.
- Ontbreken van cruciale veiligheidsstandaarden
Amazon SES biedt (op moment van schrijven) geen ondersteuning voor protocollen als DANE of de certificaatvalidatie die nodig is conform de Nederlandse NTA 7516-standaard, die bijvoorbeeld in de zorgsector een belangrijke rol speelt. Ook mogelijkheden om mailtransport te dwingen via bepaalde beveiligingsniveaus (TLS) ontbreken.
- Beperkte controle en inzicht
SES werkt als een soort black-box: je ziet dat er e-mails worden afgeleverd (of niet), maar inzicht in de onderliggende bezorgingsroutes, bounce-handling en andere details is beperkt. Voor wie compliance-vereisten heeft of precieze deliverability rapportages wenst, kan dit een probleem vormen.
1.2 De aanleiding voor een eigen oplossing
Om deze redenen hebben we bij Zivver besloten om zelf meer controle te nemen over het e-mailverkeer. Ons doel was een service te bouwen die:
- Volledig onder eigen beheer is, met eigen IP-adressen en domeinconfiguraties.
- Voldoende flexibiliteit biedt om specifieke beveiligingsniveaus (TLS, DANE) af te dwingen.
- Inzicht en controle geeft over alle aspecten van e-mailbezorging, van bounce-handling tot logbestanden en statistieken.
- Integreert met unieke standaarden als NTA 7516, zodat we de veiligheidseisen van veeleisende sectoren kunnen vervullen.
Zo is de Zivver Email Service (ZES) geboren.
2. Wat is Zivver Email Service (ZES) precies?
ZES is in essentie onze eigen mailtransferagent (MTA) die we hebben gebouwd op basis van EXIM, een betrouwbare en veelgebruikte open-source toepassing voor mailtransport. Daarbovenop hebben we eigen software en slimme configuraties ontwikkeld. Hierdoor kunnen we op maat regelingen treffen voor:
- Minimum transport security – We kunnen dwingend bepalen dat mails alleen via TLS verzonden mogen worden, en welke TLS-versies minimaal nodig zijn.
- Ondersteuning van DANE – Dit protocol zorgt voor extra controle op de authenticiteit van de ontvangende mailserver.
- NTA 7516 – Deze specifieke standaarden en protocollen (met name voor de Nederlandse zorg en overheidsinstanties) zijn in ZES ingebouwd.
Hierdoor behouden we maximale grip op de hele keten van e-mailaflevering, van het moment dat de e-mail bij ons binnenkomt tot aan de deur van de ontvangende mailserver.
3. De belangrijkste voordelen van ZES
3.1 Volledige controle over onze IP-adressen
Zivver bezit de IP-adressen die voor uitgaande e-mail worden gebruikt. Hierdoor hoeven organisaties niet meer Amazons uitgebreide adresreeksen te vermelden in hun SPF-record, maar slechts de (veel beperktere) IP-adressen van Zivver. Dit verkleint niet alleen het risico op spoofing, maar geeft ook meer transparantie en zekerheid: alleen Zivver-klanten maken gebruik van die IP’s.
3.2 Meer transparantie en zicht op bezorging
In tegenstelling tot grote, gedeelde e-mailplatforms, biedt ZES gedetailleerde telemetrie. We kunnen exact zien of een bericht succesvol is afgeleverd, welke route het heeft genomen en hoe eventuele bounces, feedback of automatische antwoorden zijn afgehandeld. Deze informatie is essentieel voor organisaties die een volledig audittraject willen kunnen overleggen, bijvoorbeeld in de zorg of (semi-)overheid.
3.3 Verbeterde deliverability
EXIM heeft talloze configuratiemogelijkheden om de deliverability te optimaliseren. Zo kunnen we bijvoorbeeld geavanceerde regelsets definiëren om reverse DNS-checks goed te laten verlopen, of throttling instellen om niet te snel te veel berichten naar hetzelfde domein te sturen. Op die manier voorkomen we dat uw domein door spamfilters wordt aangemerkt als verdacht.
3.4 Ondersteuning van NTA 7516
In Nederland wordt de standaard NTA 7516 steeds meer omarmd in de zorgsector. Deze schrijft bijvoorbeeld voor welke vormen van transportbeveiliging wenselijk zijn. Doordat ZES deze protocollen nagenoeg naadloos ondersteunt, voldoen organisaties die via Zivver mailen direct aan deze eisen. Die in Bijlage C van de NTA 7516 beschreven certificaatvalidatie is eveneens geĂŻntegreerd.
3.5 Dataprotectie en vertrouwen
Door zelf de infrastructuur te beheren, minimaliseren we de afhankelijkheid van buitenlandse providers. Dit biedt gemoedsrust, vooral voor partijen die gebonden zijn aan strenge wet- en regelgeving rond datasoevereiniteit en privacy (zoals de AVG/GDPR).
4. Hoe werkt ZES in de praktijk?
1. Uitgaande e-mail
Wanneer een gebruiker in Zivver een bericht verstuurt, komt dat bericht—na eventuele versleuteling of controle—binnen bij onze backend. Van daaruit stuurt ZES het bericht naar de ontvanger. ZES controleert of de mailserver van de ontvanger de vereiste beveiligingsniveaus ondersteunt. Alleen dan wordt het bericht afgeleverd.
2. Inbound-afhandeling (bounces, DSN’s)
Bounces of andere afleveringsmeldingen (Delivery Status Notifications) komen terug binnen via ZES. Wij verwerken deze meldingen en sturen relevante informatie door naar de gebruiker of systemen. Dit geeft duidelijkheid en voorkomt dat belangrijke informatie “verdwijnt” in een ondoorzichtige server.
In plaats van het opnemen van Amazons volledige SPF-record, vermelden organisaties voortaan alleen de Zivver-specifieke records. Hiermee is de domeinconfiguratie overzichtelijker en veiliger. Ook kan DANE worden geconfigureerd voor extra veiligheid in het e-mailtransport.
5. Voor wie is ZES interessant?
5.1 Organisaties met hoge beveiligingseisen
Overheidsinstanties, zorginstellingen, financiële dienstverleners en andere sectoren waar gevoelige gegevens worden verwerkt, hebben baat bij de strenge beveiligings- en compliance-eisen die ZES ondersteunt.
5.2 Organisaties die transparantie en controle willen
Als u niet alleen wilt weten of een mail aankomt, maar ook hoe en onder welke omstandigheden (encryptieniveaus, routes, etc.), biedt ZES de gewenste diepgang.
5.3 Internationale organisaties met oog voor datasoevereiniteit
ZES past in een bredere datastrategie die organisaties inzetten om de soevereiniteit over eigen data te vergroten. Zeker in het licht van diverse internationale wet- en regelgeving kan het zelf beheren of in eigen regio hosten van diensten cruciaal zijn.
Conclusie: De toekomst van veilig e-mailverkeer
Met de ontwikkeling van de Zivver Email Service (ZES) zetten we een belangrijke stap in de richting van volledig gecontroleerd, inzichtelijk en veilig e-mailverkeer. We spelen hiermee niet alleen in op de huidige behoeften van onze klanten, maar maken ons ook klaar voor toekomstige ontwikkelingen op het gebied van wet- en regelgeving, technologie en privacy.
ZES is ontworpen om met u mee te groeien. Waar nieuwe (inter)nationale standaarden ontstaan—denk aan aanvullende eisen rond encryptie, authenticatie of audits—kan ZES snel worden bijgewerkt. Zo zijn onze klanten altijd verzekerd van de laatste en beste beveiligingsopties.
