Penetratietesters spelen een cruciale rol bij het identificeren en aanpakken van zwakke plekken in de beveiliging van een organisatie, inclusief e-mailbeveiliging. Door DMARC en de werking ervan te begrijpen, kunnen penetratietesters de verdediging van een organisatie tegen e-mailbeveiliging beter evalueren en ervoor zorgen dat hun klanten beschermd zijn tegen aanvallen via e-mail.
Volgens het Global DMARC Adoption Report-2019, 69.6% van de top 500 internetwinkeliersdomeinen in de Europese Unie geen gebruik van DMARC. In de hedendaagse penetratietests wordt de beveiliging van e-mail slecht behandeld, en daar moet verandering in komen voor een veiliger digitaal landschap.
Waarom is e-mailverificatie belangrijk?
Penetratietesten is een proces waarbij een geautoriseerde gesimuleerde aanval wordt uitgevoerd op de IT-infrastructuur van een systeem, met inbegrip van domeinen die e-mail verzenden, om beveiligingsproblemen op te sporen. Er zijn 3 belangrijke redenen waarom e-mail authenticatie voor penetratietesters belangrijk is.
Fraudepreventie
Slechte actoren maken misbruik van mailboxen die niet zijn gebouwd met sterke standaard beveiligingsprotocollen. Ze verleiden slachtoffers om gevoelige gegevens te delen door hen ervan te overtuigen dat de e-mails van legitieme bronnen afkomstig zijn. Samen SPF, DKIM en DMARC voorkomen dit door alleen bevoegde entiteiten toe te staan e-mails te verzenden via uw officiële domeinen.
Bescherming van het merkimago
Het leren van e-mail authenticatie voor penetratietesters is van belang omdat het aanvallen in naam van uw merk voorkomt, waardoor het merkimago wordt beschermd.
Verbeterde e-mail deliverability
Het terugsturen van e-mails belemmert niet alleen uw PR-, marketing- en verkoopcampagnes, maar veroorzaakt ook een slechte e-mail deliverability rate. Het deliverabilitypercentage van e-mails is het vermogen om e-mails af te leveren in de inbox van ontvangers zonder dat ze worden gemarkeerd als spam of worden teruggestuurd. Meer informatie over hoe e-mailverificatie de deliverability van e-mails helpt verbeteren.
Wat zijn SPF, DKIM en DMARC?
SPF, DKIM en DMARC zijn e-mailverificatieprotocollen die de authenticiteit van een e-mailafzender verifiëren om te garanderen dat de e-mail afkomstig is van de vermelde bron. Domeinen die hier niet aan voldoen, kunnen merken dat hun e-mails als spam worden gemarkeerd of worden teruggestuurd. Niet alleen dit, maar dreigers kunnen zich gemakkelijk als hen voordoen en frauduleuze berichten sturen naar mensen die hen vragen gevoelige gegevens te delen of financiële transacties uit te voeren.
Hoe werkt SPF?
SPF of Sender Policy Framework is een manier van e-mail authenticatie voor penetratietesters waarbij een lijst van servers die e-mails mogen versturen wordt opgesteld en toegevoegd aan de DNS van uw domein. Servers die buiten de lijst vallen worden gemarkeerd.
Hoe werkt DKIM?
DKIM of DomainKeys Identified Mail stelt domeineigenaren in staat e-mailheaders te ondertekenen die het verificatieproces helpen. DKIM werkt volgens het concept van de cryptografie, aangezien het een digitale handtekening betreft. U ontvangt een paar openbare en particuliere sleutels; de eerste wordt opgeslagen in het DNS voor open toegang, en de tweede wordt in het geheim bewaard bij de verzendende server.
De server van de ontvanger vergelijkt beide sleutels; als de overeenkomst succesvol is, slaagt de DKIM-verificatie, anders mislukt ze. Er is een positief effect van DKIM beleid op e-mail bezorgbaarheid en anti-spam maatregelen.
Hoe werkt DMARC?
DMARC staat voor Domain-based Message Authentication Reporting and Conformance. Het werkt in coördinatie met SPF en DKIM.
DMARC moet de mailbox van de ontvanger vertellen hoe hij e-mails moet behandelen die van uw domein zijn verzonden en die de SPF- en/of DKIM-verificatiecontroles niet doorstaan. U kunt een van de drie DMARC beleid om dit te beslissen; p=geen (er wordt geen actie ondernomen tegen e-mails die niet voldoen aan de verificatiecontroles), p=quarantine (e-mails die niet voldoen aan de verificatiecontroles worden gemarkeerd als spam), of p=verwerpen (e-mails die niet voldoen aan de verificatiecontroles worden teruggestuurd).
Hoe penetratietesters misbruik maken van een DMARC misconfiguratie?
Als penetratietesters kunt u een gesimuleerde aanval uitvoeren om kwetsbaarheden voor e-mailverificatie van een geobserveerd domein op te sporen. Zo kunt u te werk gaan.
Uw domein krijgen
De eerste stap van e-mailverificatie voor penetratietesters omvat het hebben van een domein om een mailspoofer te installeren en e-mails te versturen door zich voor te doen als een bedrijf. U kunt elke domeinprovider gebruiken die past bij uw eisen en budget.
Het domein instellen
Zodra u het domein hebt, voegt u het toe aan het DNS-paneel. Verwijder alles onder het paneel 'DNS-beheer' om een aanval te simuleren. Daarna moet u de opgegeven nameserver in het paneel van de domeinserviceprovider vervangen. U krijgt een API-sleutel voor het configuratiebestand voor de komende stappen in uw oefening van e-mailauthenticatie voor penetratietesters.
De VPS instellen
Merk op dat u deze stap mogelijk moet herhalen als uw VPS IP's een slechte reputatie hebben, omdat uw e-mails in deze situatie niet worden afgeleverd.
Omdat VPS niet veel resources verbruikt, kun je voor een goedkope VPS gaan en toch een goed werkende instance krijgen. Vergeet niet om de hostnaam precies zo in te stellen als je domeinnaam, anders kun je geen aanval simuleren.
Gebruik de volgende commando's:
apt-get install git
apt-get update && apt-get install docker-compose
Vervolgens kopieer je de GitHub repository en ga je naar de 'Newly Created Directory' waar je de instellingen moet bewerken en je domein en de API-sleutel moet toevoegen.
Als je deze stappen hebt voltooid, typ je 'docker-compose up' en wacht je een paar minuten om je webserver op te starten.
De phishing e-mail versturen
Stuur ten slotte de phishing-e-mail naar doelwitten om een overzicht te krijgen van de DMARC-misconfiguratie.
Verslag van de pentest
Nu u genoeg weet over e-mailverificatie voor penetratietesters en hoe u een DMARC-misconfiguratie kunt misbruiken, is het belangrijk een uitstekend rapport op te stellen na simulatie van een aanval.
Hier zijn vier dingen om toe te voegen aan een professioneel pentest rapport.
1. Samenvatting van de strategische richting
Dit omvat een overzicht op hoog niveau van de risico's en de gevolgen van kwetsbaarheden in e-mailauthenticatie in gewoon Engels (of een andere voorkeurstaal). Dit deel is meestal bestemd voor leidinggevenden die wellicht niet al te vertrouwd zijn met technische terminologie.
2. Verklaring van technische risico's
U moet de intensiteit van de risico's inschatten, zodat het IT-team een snelle en doeltreffende beweging kan maken om de mazen in het e-mailsysteem te dichten.
3. Potentiële gevolgen van de kwetsbaarheid
E-mailbeveiligingsrisico's worden opgesplitst in twee delen: waarschijnlijkheid en potentiële impact. Dit helpt het saneringsteam prioriteiten te stellen bij het verhelpen van kwetsbaarheden op basis van hun potentiële impact.
4. Meerdere saneringsmethoden
Zorg ervoor dat de door u voorgestelde herstelmethoden meer zijn dan alleen het volledig uitschakelen van het domein of de e-mailaccounts. Methoden zoals record lookupsSPF record flattening, strenger DMARC beleid, enz.
Uw domein beschermen tegen risico's voor e-mailbeveiliging
De kennis van e-mailverificatie voor penetratietesters is belangrijk om digitale activa te beschermen tegen phishing en spamming. De naleving van SPF en/of DKIM is verplicht voor DMARC omdat het de server van de ontvanger vertelt hoe om te gaan met e-mails die de authenticatiecontroles niet doorstaan. U kunt geen, quarantine of afwijzingsbeleid instellen.
PowerDMARC biedt een gratis proefversie om u op weg te helpen naar een veiligere e-mailomgeving. Neem contact met ons op voor meer informatie.
