Datum van analyse: 12/10/2021

Waarom zou Canada het DMARC-gebruik moeten verbeteren?

Sinds het begin van de pandemie is online fraude buiten proporties opgeblazen en nemen cybercriminelen hun toevlucht tot verschillende methoden om organisaties op te lichten en te beroven van hun gegevens, bezittingen en klanten. Canadese organisaties hebben ook een piek gezien in het aantal phishingaanvallen, BEC, ransomware-aanvallen en pogingen tot domain spoofing sinds de virusuitbraak, nu steeds meer bedrijven op afstand gaan werken.

Het is nu niet het moment om stil te zitten. De situatie vraagt juist om een onmiddellijke verbetering van je verdediging tegen dreigende aanvallen!

DMARC adoptie in Canada: 2021 Rapport

Het bedreigingslandschap beoordelen
BIMI-logo
  • In het 2020 Cyberthreat Defense Report (CDR) kwam naar voren dat 78 procent van de Canadese organisaties ten minste één cyberaanval heeft ervaren binnen een periode van 12 maanden, die allemaal succesvol waren.
  • Meer dan 70% van de Canadese bedrijven kreeg te maken met Ransomware-aanvallen tussen 2020-2021, waardoor het het 6e meest aangevallen land ter wereld is in het afgelopen 1 jaar, met gemiddelde kosten van meer dan $400.000.
  • Het rapport benadrukte ook het feit dat slechts 74% van de bedrijven in Canada AI-gebaseerde beveiligingsoplossingen en e-mailverificatiepraktijken ondersteunt.
  • Slechts een klein percentage van de Canadese bedrijven (26%) was succesvol in het opzetten van preventieve maatregelen tegen vermoedelijke Ransomware-aanvallen
  • In een Data Breach Report van IBM uit 2020 werd het gemiddelde verlies van financiële activa door Canadese organisaties als gevolg van datalekken geschat op maar liefst 4,5 miljoen dollar in het afgelopen 1 jaar.
  • In de periode 2020-2021 vielen 525 Canadese organisaties ten prooi aan spear-phishing scams die leidden tot het verlies van $14,4 miljoen aan activa.
  • Phishing-aanvallen en nep-e-mailoplichting namen aanzienlijk toe in de COVID- en post-COVID-omstandigheden

De hierboven genoemde statistieken over ransomware, datalekken en phishingaanvallen in Canada in het afgelopen 1 jaar geven aanleiding tot ernstige bezorgdheid:

    • Wat is de huidige situatie van DMARC-adoptie en -handhaving bij organisaties in Canada?

    • Hoe kunnen we de infrastructuur voor cyberbeveiliging en e-mailverificatie in Canada verbeteren om aanvallen van imitators tegen te gaan?

      Om een beter inzicht te krijgen in het huidige scenario analyseerden we 140 domeinen van topbedrijven en -organisaties in Canada, uit de volgende sectoren:

      • Energie

      • Onderwijs

      • Telecom

      • Gezondheidszorg

      • Transport

      • Media & Amusement

      • Bankieren en financiën

      Wat zeggen de cijfers?

      Er werd een diepgaande analyse van SPF en DMARC uitgevoerd terwijl alle 140 Canadese domeinen werden onderzocht, wat leidde tot de volgende onthullingen:
      BIMI-logo
      BIMI-logo

      Grafische analyse: Van alle 140 onderzochte domeinen die toebehoren aan verschillende organisaties in Canada, hadden 126 domeinen (90%) SPF-records, waarvan 14 domeinen (10%) SPF-records met fouten bevatten. Slechts 74 domeinen (52,8%) hadden DMARC-records, waarvan er 3 (2,14%) fouten bevatten. 49 domeinen hadden hun DMARC-beleid ingesteld op geen (35%), wat alleen monitoring mogelijk maakt, terwijl 22 domeinen (15,7%) hun DMARC-beleidsniveau hadden ingesteld op handhaving (d.w.z. p=quarantaine/afwijzen).

      Sectorgewijze analyse van Canadese domeinen

      Energiesector

      SPF adoptiegraad in de Canadese energiesector
      BIMI-logo
      DMARC adoptiegraad in de Canadese energiesector
      BIMI-logo

      Belangrijkste bevindingen

      • 10% van alle domeinen in de Canadese energiesector had ongeldige SPF-records
      • Slechts 25% van alle domeinen had DMARC op een handhavingsniveau van p=quarantine/afwijzen
      • In 45% van de domeinen is geen DMARC-record gevonden.

      Telecomsector

      SPF adoptiegraad in de Canadese Telecomsector
      BIMI-logo
      DMARC adoptiegraad in de Canadese telecomsector
      BIMI-logo

      Belangrijkste bevindingen

      • 20% van alle domeinen in de Canadese telecomsector had geen SPF-record gepubliceerd in hun DNS
      • Slechts 10% van alle domeinen had DMARC op een handhavingsniveau van p=quarantine/afwijzen
      • Terwijl 45% van de domeinen geen DMARC-record had gepubliceerd op hun DNS

      Onderwijs

      SPF adoptiegraad in de Canadese onderwijssector
      BIMI-logo
      DMARC adoptiegraad in de Canadese onderwijssector
      BIMI-logo

      Belangrijkste bevindingen

      • 85% van de domeinen in de Canadese onderwijssector had geldige SPF-records gepubliceerd in het DNS van hun domein.
      • Echter, slechts 28,6% van de domeinen bevatte een DMARC-record in hun DNS, en dat was allemaal alleen bij monitoring (bij p=none)

      Gezondheidszorg

       SPF adoptiegraad in de Canadese gezondheidszorgsector
      BIMI-logo
      DMARC adoptiegraad in de Canadese gezondheidszorgsector
      BIMI-logo

      Belangrijkste bevindingen

      • 75% van alle domeinen in de Canadese gezondheidszorgsector bevatten geldige SPF-records, terwijl 15% van alle domeinen geen SPF-record in hun DNS hadden.
      • Slechts 15% van de domeinen hadden hun DMARC-record ingesteld op een handhavingsniveau van p=quarantine/afwijzen
      • 45% van de domeinen had geen DMARC-record gepubliceerd in hun DNS

      Transportsector

      SPF-acceptatiegraad in de Canadese transportsector
      BIMI-logo
      DMARC-acceptatiegraad in de Canadese transportsector
      BIMI-logo

      Belangrijkste bevindingen

      • 25% van de domeinen in de Canadese transportsector had SPF-records die fouten bevatten waardoor ze ongeldig en ineffectief waren.
      • Bij 47,4% van de domeinen werd geen DMARC-record gevonden in het DNS.
      • Slechts 15,8% van de domeinen voldeden aan de DMARC-eisen

      Media en amusement

      SPF-acceptatiegraad in de Canadese media- en entertainmentsector
      BIMI-logo
      DMARC-acceptatiegraad in de Canadese media- en entertainmentsector
      BIMI-logo

      Belangrijkste bevindingen

      • 20% van de domeinen in de Canadese Media en Entertainment-sector bevatte geen SPF-record in het DNS van het domein.
      • Van de 80% domeinen die een SPF-record bevatten, bevatte 5% van de records fouten
      • Slechts 5% van de domeinen was in overeenstemming met DMARC

      Bank- en financiële sector

      SPF adoptiegraad in de Canadese financiële sector
      BIMI-logo
      DMARC adoptiegraad in de Canadese financiële sector
      BIMI-logo

      Belangrijkste bevindingen

      • Positief is dat 90% van de domeinen in de Canadese bank- en financiële sector geldige SPF-records had.
      • 25% van de domeinen had echter geen DMARC-record in hun DNS en bij nog eens 25% was het DMARC-beleid alleen ingesteld op monitoring.

      Vergelijkende analyse van de toepassing van SPF in verschillende sectoren in Canada

      BIMI-logo

      De acceptatiegraad van SPF bleek de laagste bij bedrijven in de transport, gezondheidszorg en mediasector in Canada. Canadese banken hadden de hoogste SPF-acceptatiegraad met 90% geldige SPF-records.

      Vergelijkende analyse van DMARC-adoptie in verschillende sectoren in Canada

      BIMI-logo

      55% van de banken in Canada van het totale aantal geanalyseerde domeinen had hun DMARC record alleen op controle staan, de telecomsector had de laagste graad van DMARC adoptie met slechts 5% domeinen op DMARC handhaving. De transport- en mediasectoren hadden ook relatief lage percentages DMARC-handhaving. Het hoogste percentage ongeldige DMARC-records werd waargenomen in de Canadese energiesector. Dit is een laag percentage van algehele DMARC-adoptie onder organisaties in Canada.

      Kritieke fouten die organisaties in Canada maken

      Uit een analyse van 140 Canadese domeinen uit verschillende sectoren en branches blijkt dat organisaties in Canada een aantal kritieke fouten maken die hun online reputatie en de veiligheid van hun klanten in gevaar kunnen brengen:

      • Volledige afwezigheid van SPF- en DMARC-records

        E-mailverificatieprotocollen zoals SPF en DMARC kunnen organisaties helpen bij het beperken van een uiteenlopende verzameling van imitatieaanvallen, ransomware en BEC om het risico op identiteitsdiefstal en gegevensinbreuken te verkleinen. Bij een aanzienlijk aantal Canadese domeinen werden deze records niet aangetroffen.

      • Aanwezigheid van ongeldige SPF- en DMARC-records

        Een verrassend hoog aantal domeinen van Canadese organisaties was verkeerd geconfigureerd of had ongeldige SPF- en DMARC-records. Dit betekende dat e-mailbeheerders mail van deze bronnen niet konden detecteren en filteren omdat het niet mogelijk was om de bron te identificeren. Dit maakte het proces van het instellen van e-mailverificatie volledig zinloos.

      • Gebrek aan DMARC-handhaving

        Een andere opvallende bevinding van het onderzoek van Canadese domeinen was dat, hoewel DMARC-records bestonden voor een bepaald percentage van de domeinen, de mate van DMARC-handhaving onder hen laag was, dat wil zeggen dat de meerderheid van de domeinen hun DMARC-beleid had ingesteld op geen, waardoor alleen controle mogelijk was. 

        Merk op dat een DMARC none policy geen bescherming biedt tegen spoofing, phishing, en ransomware aanvallen. Alleen een afgedwongen quarantine/afwijzingsbeleid kan een zekere mate van immuniteit bieden tegen impersonatie.

      • Te veel DNS-opzoekingen voor SPF

        Aangezien SPF een limiet van 10 DNS lookups heeft, kan het overschrijden van deze limiet leiden tot SPF falen tijdens verificatie. Een van de redenen voor ongeldige SPF-records in het DNS van Canadese domeinen kan te wijten zijn aan te veel DNS-lookups die SPF kunnen verbreken.

      • Meerdere SPF- of DMARC-records voor hetzelfde domein

        Een van de best practices voor e-mailverificatie is dat elk domein slechts één SPF- of DMARC-record mag hebben om als geldig te worden beschouwd. De aanwezigheid van meerdere records voor hetzelfde domein kan ze allemaal ongeldig maken.

      Stappen die genomen moeten worden om e-mailbeveiliging in Canada te verbeteren

      • Een veelgemaakte fout door bedrijven over de hele wereld, inclusief Canada, is dat ze na het implementeren van DMARC het op geen zetten en verwachten dat hun domein beschermd is tegen spoofing en het compromitteren van zakelijke e-mail. Het probleem is dat alleen een handhavingsbeleid (p=afwijzen/quarantaine) je domein kan beschermen en impersonatie kan stoppen.

      • Andere cruciale stappen om de e-mailbeveiliging van Canadese organisaties te verbeteren zijn de volgende:

        a) onder de limiet van 10 DNS-opzoekingen voor SPF blijven
        b) foutloze SPF- en DMARC-records hebben
        c) één SPF/DMARC-record per domein hebben
        d) Extra beveiligingslagen implementeren zoals BIMI, MTA-STS en TLS-RPT
        e) Uw domeinen en verzendbronnen bewaken om pogingen tot spoofing en problemen met e-mailaflevering op te sporen

      Hoe kan PowerDMARC je helpen in dit proces?

      PowerDMARC biedt 's werelds meest uitgebreide en veilige oplossingen voor e-mailverificatie voor bedrijven en organisaties van elke omvang. Onze eigen DMARC softwareoplossing is ontworpen om een veilig e-mailecosysteem te realiseren door de kracht van DMARC, DKIM en SPF te combineren. Bedrijven die DMARC implementeren in hun e-mailmarketingoplossingen verminderen het aantal spamklachten, interne e-mail bounces, verbeteren de deliverability van e-mails en blijven beschermd tegen phishingaanvallen en ransomware.

      • Configuratie: We helpen je bij het configureren van je SPF-, DKIM- en DMARC-records, zodat ze geldig en foutloos zijn.

      • Instellen: Zodra je je aanmeldt voor onze DMARC proefversie, helpen we je bij het instellen van je DMARC dashboard en krijg je direct inzicht.

      • Bewaking: We bewaken beveiligingsincidenten in e-mailverkeer 24X7 en controleren legitieme verzendbronnen met waarschuwingen, rapportage en responsieve acties.

      • Rapportage: Dagelijkse geaggregeerde (RUA) en forensische (RUF) rapporten helpen je bij het bijhouden van alle e-mails van je domeinen die DMARC wel of niet halen.

      • Handhaving: We bieden volledige DMARC-handhaving (p=afwijzen/quarantaine) in recordtijd.

      • PowerSPF: We zorgen ervoor dat je altijd onder de limiet van 10 DNS-opzoekingen blijft en in realtime op de hoogte blijft van alle wijzigingen die door je ESP's worden doorgevoerd.

      • Nieuwste verificatieprotocollen: We gebruiken de nieuwste technieken voor e-mailverificatie zoals MTA-STS, TLS-RPT en BIMI, samen met de standaardprotocollen, om alle dreigende uitdagingen op het gebied van e-mailbeveiliging en -verificatie effectief aan te pakken.

      • Managed Security Services: (MSP/MSSP) met een speciale servicedesk om de DMARC-implementatie van uw bedrijf te ondersteunen en de gezondheid van de e-mailverificatie van uw domein en de veiligheid van uw gebruikers te bewaken.

      Laten we de handen ineenslaan om het gebruik van DMARC te stimuleren en de infrastructuur voor e-mailbeveiliging in bedrijven in heel Canada te versterken, neem nu uw gratis DMARC proefversie vandaag nog! Neem contact met ons op [email protected] om uit te vinden hoe wij u kunnen helpen uw domein en bedrijf vandaag nog te beschermen!

      beveiligde e-mail powerdmarcKlaar om merkmisbruik en oplichting te voorkomen en volledig inzicht te krijgen in uw e-mailkanaal?