LaunDroMARC: Hoe een maas in de wet van Microsoft SRS vervalste e-mails witwast

Beveiligingsonderzoeker Aaron Hart onderzocht wat leek op een gewone poging tot zakelijke e-mailcompromittering. Maar hoe dieper hij keek, hoe vreemder het werd. Alles aan de aanval zag er gepolijst en geloofwaardig uit: het domein van de afzender, de authenticatieresultaten en het pad dat de e-mail had afgelegd.

Toch was er iets onmogelijks gebeurd. Een e-mail die DMARC bij de bron niet had doorstaan , werd op magische wijze DMARC nadat deze was doorgestuurd via Microsoft Exchange Online.

Dit zou niet mogelijk moeten zijn. Maar het was wel mogelijk – en het gebeurde vanwege een neveneffect van Microsofts Sender Rewriting Scheme (SRS) .

Deze blog legt het probleem in eenvoudige taal uit, oorspronkelijk gedeeld door Engage Security, en legt uit hoe de maas in de wet werkt en hoe organisaties het risico kunnen opsporen en beperken.

Hoe Microsoft SRS DMARC-omzeiling veroorzaakt 

Tijdens het onderzoek merkte Aaron het volgende op:

• De e-mail beweerde afkomstig te zijn van een vertrouwd intern domein (ORG 1).
• Het werd afgeleverd in de inbox van de gebruiker bij een andere organisatie (ORG 2).
• ORG 2 zag het bericht als perfect geauthenticeerd, d.w.z. SPF geslaagd, DMARC geslaagd.
• Maar de oorspronkelijke e-mail die door de aanvaller naar ORG 1 werd verzonden voldaan aan DMARC.
• De SRS-doorsturing van Microsoft herschreef de MAIL FROM tijdens het doorsturen.
• De herschreven MAIL FROM zorgde voor afstemming, waardoor DMARC stroomafwaarts werd goedgekeurd.

Kort gezegd: Een vervalste e-mail die had moeten worden geweigerd , werd doorgestuurd, herschreven en 'schoongespoeld' en vervolgens afgeleverd als een vertrouwd bericht. Dit resulteerde in een echt accountcompromis, en het was geen eenmalig incident.

Waarom dit van belang is

Het doorsturen van e-mails is heel gebruikelijk binnen organisaties:

• Consultants die e-mails van klanten doorsturen
• Bestuursleden die bedrijfsadressen doorsturen naar persoonlijke mailboxen
• Gedeelde mailboxen of distributielijsten die e-mail extern doorsturen
• Interorganisatorische samenwerkingsgroepen

Sinds 2023 heeft Microsoft SRS ingeschakeld voor alle Exchange Online-tenants, met de bedoeling om SPF-fouten als gevolg van e-mailforwarding te verhelpen. Helaas heeft deze oplossing een nieuw probleem veroorzaakt: doorgestuurde kwaadaardige e-mails lijken nu volledig geauthenticeerd, zelfs als ze oorspronkelijk niet door DMARC zijn gekomen.

Dit fenomeen wordt nu "LaunDroMARC" omdat het doorsturen van berichten letterlijk kwaadaardige berichten "witwast".

Een korte opfrissing: SMTP, SPF, DKIM en DMARC

MAIL VAN vs VAN

• MAIL VAN (Envelop van): onzichtbaar voor gebruikers en gebruikt voor het afhandelen van bounces.
• VAN: zichtbare afzender in uw inbox.

SPF

Sender Policy Framework controleert of de verzendende server toestemming heeft om e-mail te verzenden voor het MAIL FROM-domein. SPF valideert het zichtbare FROM-adres niet en breekt bij doorsturen (forwarders staan niet in het SPF-record van de afzender).

DKIM

DomainKeys Identified Mail ondertekent e-mailheaders, inclusief het veld 'Van', digitaal. Aanvallers kunnen mogelijk hun eigen kwaadaardige domeinen met DKIM ondertekenen, wat een van de zwakke punten van het protocol benadrukt.

DMARC

Domain-based Message Authentication, Reporting, and Conformance lost afstemmingsproblemen op door te vereisen dat het MAIL FROM-domein overeenkomt met het FROM-domein, of dat het DKIM-ondertekeningsdomein overeenkomt met het FROM-domein, om de authenticatie te doorstaan. Als de afstemming mislukt, wordt het DMARC-beleid ontvangers of ze het bericht moeten afleveren, in quarantaine moeten plaatsen of moeten weigeren. 

DMARC heeft spoofing aanzienlijk verminderd totdat deze maas in de wet het opnieuw introduceerde.

Waar het misging: Microsofts implementatie van SRS

SRS werd geïntroduceerd om SPF-fouten tijdens het doorsturen te voorkomen. Maar de implementatie van Microsoft heeft een cruciale tekortkoming:

Microsoft herschrijft de MAIL FROM zelfs wanneer:

• De originele e-mail vervalst het VAN-adres van het doorstuurdomein.
• De vervalste e-mail voldoet niet aan DMARC bij de eerste hop.
• Het bericht is afkomstig van een domein dat door een aanvaller wordt beheerd.

Na herschrijving met behulp van SRS komt MAIL FROM nu overeen met het FROM-domein, waardoor DMARC op de eindbestemming wordt goedgekeurd.

Het resultaat: een kwaadaardige e-mail die normaal gesproken door DMARC zou worden geweigerd, wordt uiteindelijk doorgestuurd, herschreven door SRS en perfect afgestemd op de authenticatierecords van het doorsturende domein. Als gevolg daarvan wordt de e-mail als een volledig legitiem bericht aan de ontvanger bezorgd. Kortom, spoofing via e-mailforwarding wordt weer mogelijk, waardoor de bescherming die DMARC moest bieden, teniet wordt gedaan.

Microsoft beschouwt dit momenteel niet als een beveiligingslek.

Voorbeeldscenario

Stel je voor dat een aanvaller het domein maliciousmailer.com beheert, met SPF-records die zijn geconfigureerd om verzending vanaf IP 198.51.100.25 toe te staan. Ze stellen een e-mail op die bedoeld is voor een consultant, Sarah, wiens zakelijke e-mailadres [email protected] is, maar die automatisch wordt doorgestuurd naar haar persoonlijke mailbox op [email protected].

De aanvaller stelt de e-mailheaders als volgt in:

• MAIL VAN: [email protected]
• VAN: Sarah [email protected] (vervalst om intern te lijken)
• Aan: [email protected]

Bij verzending slaagt de SPF-validatie omdat het MAIL FROM-domein door de aanvaller wordt beheerd. Wanneer de e-mail company.com bereikt, verwerkt Exchange Online deze met SRS: het negeert de DMARC-fout op het vervalste FROM, herschrijft het MAIL FROM zodat het overeenkomt met het doorstuurdomein (bijvoorbeeld sarah+SRS=…@company.com) en stuurt het door naar de persoonlijke mailbox van Sarah.

Op personalmail.com wordt DMARC nu goedgekeurd omdat de herschreven MAIL FROM en de zichtbare FROM op elkaar zijn afgestemd. De e-mail wordt als legitiem aan Sarah's inbox geleverd en omzeilt zo effectief de beveiligingen die deze hadden moeten tegenhouden.

Kortom, een vervalst bericht dat had moeten worden geblokkeerd, wordt nu door de ontvanger vertrouwd, wat illustreert hoe SRS onbedoeld kwaadaardige e-mails kan 'witwassen'.

Waarom LaunDroMARC gevaarlijk is voor organisaties 

Deze kwetsbaarheid is gevaarlijk omdat gebruikers van nature vertrouwen hebben in e-mails die afkomstig lijken te zijn van hun eigen organisatie of een bekend intern domein. Wanneer kwaadaardige e-mails worden doorgestuurd, omzeilen ze de oorspronkelijke beveiligingscontroles en komen ze er schoon en legitiem uitzien. 

Aanvallers maken misbruik van voorspelbare doorstuurregels om deze blinde vlek te exploiteren, terwijl beveiligingsteams zich vaak richten op inkomende bedreigingen in plaats van op doorgestuurde e-mail. Als gevolg hiervan opent deze maas in de wet de deur naar ernstige risico's, waaronder diefstal van gevoelige gegevens, het verzamelen van inloggegevens, interne spear-phishing en zelfs aanvallen waarbij identiteitsfraude in de toeleveringsketen plaatsvindt.

Wat Microsoft zou kunnen verbeteren

Er zijn verschillende eenvoudige maatregelen die Microsoft zou kunnen nemen:

1. Herschrijf MAIL FROM niet via SRS als de FROM-header tot het doorstuurdomein behoort, maar DMARC bij de eerste hop niet doorstaat.
2. Pas SRS alleen toe op berichten die DMARC van de afzender doorlaten.
3. Vergelijk de Authentication-Results-headers voor en na het doorsturen.
   Als ze niet overeenkomen, plaats het bericht dan in quarantaine.

Hoe organisaties LaunDroMARC kunnen detecteren

1. Het doorstuurdomein (Exchange Online)

U kunt mogelijk misbruik opsporen door te zoeken naar e-mails waarbij het MAIL FROM-domein extern is, maar de FROM-header lijkt tot uw organisatie te behoren. Deze berichten vertonen vaak een patroon waarbij ze SPF doorstaan, maar DMARC niet: een rode vlag in de context van SRS-herschrijving. Wanneer diezelfde berichten later uitgaand worden doorgestuurd, is dat een sterke aanwijzing dat uw doorstuurregels worden gebruikt om vervalste of kwaadaardige inhoud door te geven.

2. Het domein van de uiteindelijke ontvanger

Als een e-mail overeenkomt tussen het zichtbare FROM-adres en het herschreven MAIL FROM, maar het oorspronkelijke MAIL FROM-domein dat verborgen zit in de SRS-waarde niet overeenkomt met een van beide, is dit een sterke aanwijzing dat het bericht is 'gewassen' door het doorsturen en mogelijk een vervalste of kwaadaardige e-mail is.

Het perspectief van PowerDMARC

Als platform dat zich richt op het versterken van wereldwijde e-mailverificatie, laten kwesties als LaunDroMARC zien waarom monitoring en zichtbaarheid net zo belangrijk zijn als handhaving. Zelfs wanneer standaarden als DMARC correct worden toegepast, kunnen implementatieproblemen bij mailboxproviders kwetsbaarheden creëren waar u geen controle over hebt.

PowerDMARC helpt organisaties:

• Analyseer authenticatieresultaten voor alle hops
• Detecteer afwijkingen in uitlijning en doorstuurgedrag
• Ontvang realtime waarschuwingen bij pogingen tot spoofing
• Begrijp hoe systemen van derden doorgestuurde e-mail verwerken
• Controleer domeinoverschrijdend verkeer op spoofingpatronen
• Houd zicht op aanvallen die gebruikmaken van doorstuurketens

Probeer een gratis proefperiode of plan een demo met een van onze interne experts om vandaag nog te beginnen met het beveiligen van uw domein! 

Laatste aandachtspunten

Het LaunDroMARC-probleem opent opnieuw een aanvalsvector die DMARC juist moest stoppen, waardoor interne domeinspoofing weer mogelijk wordt via doorgestuurde e-mail. Hoewel Microsoft dit momenteel als een 'laag risico' beschouwt, bewijzen praktijkvoorbeelden het tegendeel. 

Organisaties die gebruikmaken van Microsoft 365 moeten zich bewust zijn van deze doorstuurmaas en aanvullende detectiemaatregelen nemen.

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• PowerDMARC Splunk-integratie: uniforme zichtbaarheid voor e-mailbeveiliging - 8 januari 2026
• Wat is doxxing? Een complete gids om het te begrijpen en te voorkomen - 6 januari 2026
• Beste alternatieven voor Palisade Email - 31 december 2025