Wat is SPF Permerror?

SPF=Permerror geeft aan dat er een fundamenteel probleem is met het SPF record, waardoor het onmogelijk is om te bepalen of de verzendende server geautoriseerd is of niet.

Wat is de limiet van 10 DNS-opzoekingen?

Tijdens de SPF-controle voert de e-mailserver van de ontvanger, elke keer dat er een e-mail wordt verzonden vanaf jouw domein, DNS-opvragingsverzoeken uit, ook wel DNS-lookups genoemd, om de aanwezigheid van geautoriseerde IP-adressen in jouw DNS te controleren en deze te matchen met de adressen in de return-path header van de ontvangen e-mail. De RFC beperkt het aantal DNS lookups echter tot 10. Dit staat bekend als de 10 DNS lookups. Dit staat bekend als de 10 DNS lookup limiet.

Overschrijd ik de SPF-limiet voor te veel DNS-opzoekingen?

Als je je zorgen maakt over het overschrijden van de opzoeklimiet voor SPF, kun je je record direct controleren met onze SPF record checker tool.

Hoe SPF Permerror herstellen?

Een effectievere manier om SPF-fouten te voorkomen is het inzetten van een SPF-afvlakkingstool die automatisch en probleemloos werkt - zoals PowerSPF!

EchoSpoofing: Exploit voor e-mailroutering uitgelegd

Het is geen geheim dat e-mailverificatie behoorlijk kwetsbaar kan zijn. Dit is vooral het geval wanneer e-mails worden doorgestuurd met gewijzigde headers, gewijzigde onderwerpregels of verwijderde bijlagen. Deze kleine wijzigingen kunnen de DKIM handtekening.

Er zijn verschillende Secure Email Gateways (SEG's) geïntroduceerd om dit probleem aan te pakken. Deze SEG's kunnen de authenticatieproblemen van gewijzigde e-mails aanpakken door ze opnieuw te authenticeren. Hoewel deze methode goed genoeg is om authenticatiefouten te beperken, brengt het nieuwe risico's met zich mee.

Helaas is er in maart 2024 een kwetsbaarheid ontdekt in de e-mailrelaydienst van Proofpoint. Hierdoor konden verschillende kwaadwillenden misbruik maken van een configuratie-instelling. Deze fout in e-mailroutering stelde aanvallers in staat om miljoenen gespoofde berichten te versturen.

In dit artikel leer je alles over EchoSpoofing en de recente e-mail routing exploit.

Belangrijkste Conclusies

Kwetsbaarheden in e-mailverificatie kunnen worden verergerd door configuratiefouten in e-mailrelaydiensten.
Met de EchoSpoofing-techniek kunnen aanvallers vertrouwde e-maildiensten misbruiken om gespoofde e-mails te versturen.
Een recent configuratieprobleem met e-mailrelay-systemen stelde kwaadwillenden in staat om zich zonder de juiste filters voor te doen als legitieme domeinen.
Zelfs met bestaande beveiligingsmaatregelen moeten organisaties waakzaam blijven voor zich ontwikkelende bedreigingen op basis van e-mail.
Het implementeren van een strikt DMARC-beleid kan helpen om domeinvervalsing te voorkomen en e-mailbeveiliging te verbeteren.

Inzicht in de Email Routing Exploit

Kwaadwillenden hebben een manier gevonden om misbruik te maken van een kwetsbaarheid in e-mail relay services, een configuratie-instelling die e-mails accepteert van elke Microsoft 365-tenant. Nadat deze e-mails zijn ontvangen, worden ze opnieuw geauthenticeerd door een nieuwe en geldige DKIM-handtekening toe te voegen.

Door de fout in de configuratie-instellingen kunnen de daders elke domeinnaam namaken. Hierdoor kunnen ze e-mails versturen die afkomstig lijken te zijn van legitieme bronnen, in een reeks phishingcampagnes die "EchoSpoofing" wordt genoemd.

Bescherm tegen EchoSpoofing met PowerDMARC!

Vijftien dagen op proef Boek een demo

Wat is EchoSpoofing?

De exploit is door Gaurdio Labs "EchoSpoofing" genoemd. Het is een techniek waarbij aanvallers e-mails versturen vanaf SMTP-servers. Deze SMTP-servers worden gehost op Virtual Private Servers (VPS) en de verzonden berichten passeren gemakkelijk e-mailverificatiecontroles, waaronder SPF en DKIM. Deze EchoSpoofing e-mails imiteren legitieme e-mails van vertrouwde afzenders.

Met Microsoft 365 kunnen e-mails worden verzonden vanaf een domein naar keuze van de gebruiker. De hackers in het EchoSpoofing-exploit maakten gebruik van deze fout om berichten te routeren van Office 365-gebruikers die onder controle stonden van de aanvallers. Zo brachten Proofpoint-klanten die Microsoft 365 als legitieme afzender autoriseerden, zichzelf onbedoeld in de problemen. Deze door aanvallers gecontroleerde Office 365-huurders kregen een vrijbrief om de EchoSpoofing-e-mails door te sturen via hun relay-service met een label van authenticatie en geldige DKIM-handtekeningen.

Gevolgen van EchoSpoofing

Als u een Microsoft 365-gebruiker bent en Secure Email Gateways gebruikt om schadelijke e-mails te blokkeren via een relay-systeem, moet u voorzichtig zijn omdat andere Microsoft 365-gebruikers mogelijk uw domein kunnen spoofen. Omdat de meeste van deze SEG's specifieke Office 365-gebruikers niet expliciet kunnen uitfilteren en ze allemaal toestaan, kunnen kwaadwillenden, als u Microsoft als een legitieme afzender hebt gedefinieerd, zich gemakkelijk voordoen als uw domein om phishing-e-mails te verzenden.

De gespoofde e-mails die via dit systeem worden verzonden, worden vervolgens niet als verdacht gemarkeerd, en komen zelfs door de DMARC-controleen belanden rechtstreeks in de inbox van je ontvanger.

De omvang van de uitbuiting

De aanvallen hadden een aanzienlijk wijdverspreid bereik.

Gerichte bedrijven

De nieuwe "Ecospoofing"-methode was gericht op verschillende bekende merken. Deze bedrijven zijn onder andere Nike, IBM, Walt Disney en Best Buy.

Reactie- en matigingsstrategieën

Nadat het probleem was opgemerkt, werden er direct verschillende maatregelen vrijgegeven om deze kwetsbaarheid te verhelpen. Deze omvatten de mogelijkheid voor klanten om nu toegestane Microsoft 365 tenants te specificeren. Klanten werden ook gerustgesteld dat, hoewel elk e-mailroutingsysteem tot op zekere hoogte kwetsbaar is, klantgegevens tijdens de aanvallen niet zijn blootgesteld of gecompromitteerd.

Kiezen voor uitgebreide e-mailbeveiliging met PowerDMARC

PowerDMARC's geavanceerde AI-aangedreven e-mailverificatieplatform biedt zowel beveiliging als zichtbaarheid als het gaat om de meeste e-mailgebaseerde exploits en bedreigingen. Onze Threat Intelligence-technologie is bedreven in het maken van datagestuurde voorspellingen over bedreigingspatronen en trends, waarbij een team van experts u begeleidt bij het aanscherpen van uw e-mailverificatie.

Met de gedetailleerde API's van PowerDMARC kunnen klanten ons platform naadloos integreren met hun bestaande beveiligingssystemen - voor een betere beveiliging!

Bovendien helpen we domeineigenaren om over te stappen op afgedwongen DMARC-beleidsregels zoals "afwijzen", zodat ze spoofing-aanvallen effectief kunnen bestrijden.

Laatste woorden

De EchoSpoofing-exploit benadrukt een belangrijke kwetsbaarheid in e-mailroutingsystemen en bewijst dat zelfs vertrouwde beveiligingsoplossingen blinde vlekken kunnen hebben.

Het is niet nieuw dat aanvallers gebruik maken van verkeerde configuraties in e-mailsystemen om verificatiecontroles te omzeilen en wijdverspreide phishingcampagnes te lanceren. Hoewel er corrigerende maatregelen zijn genomen, onderstreept dit incident het belang van proactieve e-mailbeveiliging door een team van experts.

Om beschermingsstrategieën voor uw domeinnaam te verkennen en uw e-mailverificatie correct af te dwingen - contact met ons op vandaag nog contact op met een van onze ervaren professionals.

Over
Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

Wat is EchoSpoofing? Inzicht in Exploits voor e-mailroutering