Berichten

Als DMARC dienstverlener, krijgen we deze vraag vaak gesteld: "Als DMARC gewoon SPF en DKIM authenticatie gebruikt, waarom zouden we ons dan druk maken om DMARC? Is dat niet gewoon overbodig?"

Aan de oppervlakte lijkt het misschien weinig verschil te maken, maar de realiteit is heel anders. DMARC is niet zomaar een combinatie van SPF en DKIM technologieën, het is een geheel nieuw protocol op zich. Het heeft verschillende kenmerken die het tot een van de meest geavanceerde e-mail authenticatie standaarden ter wereld maken, en een absolute noodzaak voor bedrijven.

Maar wacht eens even. We hebben nog geen antwoord gegeven op de vraag waarom je DMARC nodig hebt. Wat heeft het te bieden dat SPF en DKIM niet hebben? Nou, dat is een nogal lang antwoord; te lang voor slechts één blog post. Dus laten we het opsplitsen en het eerst over SPF hebben. Voor het geval u er niet mee bekend bent, hier een korte introductie.

Wat is SPF?

SPF, of Sender Policy Framework, is een e-mail authenticatieprotocol dat de e-mailontvanger beschermt tegen gespoofde e-mails. Het is in wezen een lijst van alle IP-adressen die toestemming hebben om e-mail te verzenden via uw kanalen (de eigenaar van het domein). Wanneer de ontvangende server een bericht van uw domein ziet, controleert hij uw SPF-record dat in uw DNS is gepubliceerd. Als het IP-adres van de afzender in deze 'lijst' staat, wordt de e-mail afgeleverd. Zo niet, dan weigert de server de e-mail.

Zoals u ziet, houdt SPF heel goed een heleboel ongewenste e-mails buiten die uw apparaat zouden kunnen beschadigen of de beveiligingssystemen van uw organisatie in gevaar zouden kunnen brengen. Maar SPF is lang niet zo goed als sommige mensen misschien denken. Dat komt omdat het een aantal zeer grote nadelen heeft. Laten we een paar van deze problemen eens bespreken.

Beperkingen van SPF

SPF records zijn niet van toepassing op het Van adres

E-mails hebben meerdere adressen om hun afzender te identificeren: het Van-adres dat u normaal ziet, en het Return Path-adres dat verborgen is en één of twee klikken vereist om het te zien. Als SPF is ingeschakeld, kijkt de ontvangende e-mailserver naar het Return Path en controleert de SPF records van het domein van dat adres.

Het probleem is dat aanvallers hier misbruik van kunnen maken door een vals domein te gebruiken in hun Return Path adres en een legitiem (of legitiem uitziend) e-mailadres in het From gedeelte. Zelfs als de ontvanger de e-mail-ID van de afzender controleert, ziet hij eerst het Van-adres en neemt hij meestal niet de moeite om het Return Path te controleren. De meeste mensen weten niet eens dat er zoiets bestaat als een Return Path-adres.

SPF kan vrij gemakkelijk worden omzeild door deze eenvoudige truc toe te passen, en zelfs domeinen die met SPF zijn beveiligd, worden hierdoor grotendeels kwetsbaar.

SPF records hebben een DNS lookup limiet

SPF records bevatten een lijst van alle IP-adressen die door de eigenaar van het domein gemachtigd zijn om e-mails te verzenden. Zij hebben echter een belangrijk nadeel. De ontvangende server moet het record controleren om te zien of de afzender gemachtigd is, en om de belasting van de server te verminderen, hebben SPF records een limiet van 10 DNS lookups.

Dit betekent dat als uw organisatie gebruik maakt van meerdere derde partijen die emails versturen via uw domein, het SPF record uiteindelijk die limiet kan overschrijden. Tenzij goed geoptimaliseerd (wat niet eenvoudig is om zelf te doen), zullen SPF records een zeer beperkende limiet hebben. Wanneer u deze limiet overschrijdt, wordt de SPF implementatie als ongeldig beschouwd en zal uw e-mail SPF niet halen. Dit kan schadelijk zijn voor de afleveringspercentages van uw e-mail.

 

SPF werkt niet altijd wanneer de e-mail wordt doorgestuurd

SPF heeft nog een kritisch foutpunt dat de bezorgbaarheid van uw e-mail kan schaden. Wanneer u SPF op uw domein hebt geïmplementeerd en iemand stuurt uw e-mail door, kan de doorgestuurde e-mail worden geweigerd vanwege uw SPF-beleid.

Dat komt omdat het doorgestuurde bericht de ontvanger van de e-mail heeft veranderd, maar het adres van de e-mailafzender blijft hetzelfde. Dit wordt een probleem omdat het bericht het Van-adres van de oorspronkelijke afzender bevat, maar de ontvangende server een ander IP ziet. Het IP-adres van de doorsturende e-mailserver is niet opgenomen in het SPF-record van het domein van de oorspronkelijke afzender. Dit kan ertoe leiden dat de e-mail door de ontvangende server wordt geweigerd.

Hoe lost DMARC deze problemen op?

DMARC gebruikt een combinatie van SPF en DKIM om e-mail te authenticeren. Een e-mail moet of SPF of DKIM passeren om DMARC te passeren en succesvol te worden afgeleverd. En het voegt ook een belangrijke functie toe die het veel effectiever maakt dan SPF of DKIM alleen: Rapportage.

Met DMARC-rapportage krijgt u dagelijks feedback over de status van uw e-mailkanalen. Dit omvat informatie over uw DMARC afstemming, gegevens over e-mails die niet geauthenticeerd zijn, en details over mogelijke spoofing pogingen.

Als u zich afvraagt wat u kunt doen om niet gespooft te worden, bekijk dan onze handige gids met de top 5 manieren om e-mail spoofing te vermijden.

DMARC mythes ontkrachten

Voor veel mensen is het niet meteen duidelijk wat DMARC doet of hoe het domain spoofing, impersonation en fraude voorkomt. Dit kan leiden tot ernstige misvattingen over DMARC, hoe e-mail authenticatie werkt, en waarom het goed voor je is. Maar hoe weet je wat goed is en wat fout? En hoe kun je er zeker van zijn dat je het correct implementeert? 

PowerDMARC is hier om u te helpen! Om u te helpen DMARC beter te begrijpen, hebben we deze lijst samengesteld met de top 6 meest voorkomende misvattingen over DMARC.

Misvattingen over DMARC

1. DMARC is hetzelfde als een spamfilter

Dit is een van de meest voorkomende dingen die mensen verkeerd zien over DMARC. Spamfilters blokkeren inkomende emails die in uw inbox terecht komen. Dit kunnen verdachte emails zijn, verzonden vanaf eender welk domein, niet alleen dat van u. DMARC daarentegen vertelt ontvangende e-mailservers hoe ze moeten omgaan met uitgaande e-mails die vanaf uw domein zijn verzonden. Spamfilters zoals Microsoft Office 365 ATP bieden geen bescherming tegen dergelijke cyberaanvallen. Als uw domein DMARC-verplicht is en de e-mail de verificatie niet doorstaat, weigert de ontvangende server de e-mail.

2. Zodra je DMARC hebt ingesteld, is je e-mail voor altijd veilig

DMARC is een van de meest geavanceerde e-mailverificatieprotocollen die er zijn, maar dat betekent niet dat het volledig zelfvoorzienend is. U moet regelmatig uw DMARC rapporten controleren om er zeker van te zijn dat e-mails van geautoriseerde bronnen niet worden geweigerd. Nog belangrijker is het om te controleren of onbevoegde afzenders misbruik maken van uw domein. Als u een IP-adres ziet dat herhaaldelijk probeert uw e-mail te spoofen, moet u onmiddellijk actie ondernemen en hen op de zwarte lijst laten plaatsen of laten verwijderen.

3. DMARC zal mijn e-mail deliverability verminderen

Wanneer je DMARC instelt, is het belangrijk om je beleid eerst op p=none te zetten. Dit betekent dat al je emails nog steeds worden afgeleverd, maar dat je DMARC rapporten ontvangt over of ze geslaagd of niet geslaagd zijn voor authenticatie. Als je tijdens deze controleperiode ziet dat je eigen e-mails DMARC niet halen, kun je actie ondernemen om de problemen op te lossen. Zodra al uw geauthoriseerde emails correct gevalideerd worden, kunt u DMARC afdwingen met een policy van p=quarantine of p=reject.

4. Ik hoef DMARC niet af te dwingen (p=none is genoeg)

Wanneer je DMARC instelt zonder het af te dwingen (policy van p=none), worden alle emails van je domein-ook diegene die DMARC niet halen-afgeleverd. U zult DMARC rapporten ontvangen maar uw domein niet beschermen tegen pogingen tot spoofing. Na de initiële controle periode (hierboven uitgelegd), is het absoluut noodzakelijk om je policy op p=quarantine of p=reject te zetten en DMARC af te dwingen.

5. Alleen grote merken hebben DMARC nodig

Veel kleinere organisaties denken dat alleen de grootste, meest herkenbare merken DMARC bescherming nodig hebben. In werkelijkheid zullen cybercriminelen elk bedrijfsdomein gebruiken om een spoofingaanval uit te voeren. Veel kleinere bedrijven hebben meestal geen speciale cyberbeveiligingsteams, waardoor het voor aanvallers nog gemakkelijker is om kleine en middelgrote organisaties aan te vallen. Onthoud dat elke organisatie die een domeinnaam heeft, DMARC-bescherming nodig heeft!

6. DMARC rapporten zijn gemakkelijk te lezen

We zien dat veel organisaties DMARC implementeren en de rapporten naar hun eigen e-mail inboxen laten sturen. Het probleem hierbij is dat DMARC-rapporten in een XML-bestandsformaat worden geleverd, dat erg moeilijk te lezen kan zijn als u er niet bekend mee bent. Het gebruik van een speciaal DMARC-platform kan niet alleen uw installatieproces veel eenvoudiger maken, maar PowerDMARC kan uw complexe XML-bestanden omzetten in gemakkelijk leesbare rapporten met grafieken, diagrammen en diepgaande statistieken.

 

E-mail is voor een cybercrimineel vaak de eerste keuze bij het lanceren, omdat het zo gemakkelijk is uit te buiten. In tegenstelling tot brute-force aanvallen, die veel rekenkracht vergen, of geavanceerdere methoden die veel vaardigheid vereisen, kan domain spoofing zo eenvoudig zijn als het schrijven van een e-mail waarin men zich voordoet als iemand anders. In veel gevallen is die 'iemand anders' een belangrijk softwareserviceplatform waar mensen op vertrouwen om hun werk te doen.

Dat is wat er gebeurde tussen 15 en 30 april 2020, toen onze beveiligingsanalisten bij PowerDMARC een nieuwe golf van phishingmails ontdekten die gericht waren op toonaangevende verzekeringsmaatschappijen in het Midden-Oosten. Deze aanval was er slechts één van vele andere in de recente toename van phishing- en spoofinggevallen tijdens de Covid-19-crisis. Al in februari 2020 ging een andere grote phishingzwendel zo ver dat hij zich voordeed als de Wereldgezondheidsorganisatie en e-mails stuurde naar duizenden mensen met de vraag om donaties voor hulpverlening in verband met het coronavirus.

In deze recente reeks incidenten ontvingen gebruikers van Microsofts Office 365-dienst wat leek op routine-update-e-mails over de status van hun gebruikersaccounts. Deze e-mails kwamen van de eigen domeinen van hun organisaties en vroegen gebruikers om hun wachtwoorden opnieuw in te stellen of op koppelingen te klikken om in behandeling zijnde meldingen te bekijken.

Wij hebben een lijst samengesteld met enkele van de e-mailtitels die wij hebben gebruikt:

  • Ongebruikelijke aanmeldingsactiviteiten voor Microsoft-accounts
  • U heeft (3) berichten in afwachting van aflevering op uw e-Mail [email protected]* Portaal !
  • [email protected] U heeft hangende Microsoft Office UNSYNC berichten
  • Beknopte kennisgeving van heractivering voor [email protected]

*account details veranderd voor de privacy van gebruikers

U kunt ook een voorbeeld bekijken van een e-mailkopregel die is gebruikt in een vervalste e-mail die naar een verzekeringsmaatschappij is gestuurd:

Ontvangen: van [kwaadaardig_ip] (helo= kwaadaardig_domein)

id 1jK7RC-000uju-6x

voor [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Ontvangen: van [xxxx] (port=58502 helo=xxxxx)

door kwaadaardig_domein met esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Van: "Microsoft account team" 

Naar: [email protected]

Onderwerp: Microsoft Office Kennisgeving voor [email protected] op 4/1/2020 23:46

Datum: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Inhoud-Type: text/html;

charset="utf-8″

Inhoud-Transfer-Encoding: geciteerd-printbaar

X-Anti-Abuse: Deze header is toegevoegd om misbruik op te sporen, gelieve deze mee te sturen met elk misbruikrapport

X-Anti-Abuse: Primaire Hostname - kwaadaardig_domein

X-Anti-Abuse: Origineel domein - domein.com

X-Anti-Abuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-Anti-Abuse: Adres afzender Domein - domein.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: kwaadaardig_domein: [email protected]_domein

X-bron: 

X-Source-Args: 

X-bron-Dir: 

Received-SPF: fail ( domein van domain.com wijst niet aan kwaadaardig_ip_adres als toegestane afzender) client-ip= kwaadaardig_ip_adres ; envelope-from=[email protected]; helo=kwaadaardig_domein;

X-SPF-Result: domein van domain.com wijst niet aan kwaadaardig_ip_adres als toegestane afzender

X-Sender-Warning: Reverse DNS lookup mislukt voor kwaadaardig_ip_adres (mislukt)

X-DKIM-Status: geen / / domein.com / / /

X-DKIM-Status: pass / / kwaadaardig_domein / kwaadaardig_domein / standaard

 

Ons Security Operation Center traceerde de e-mailkoppelingen naar phishing-URL's die gericht waren op Microsoft Office 365-gebruikers. De URL's leidden door naar gecompromitteerde sites op verschillende locaties over de hele wereld.

Als je alleen al naar de titels van deze e-mails kijkt, is het onmogelijk te zien dat ze zijn verzonden door iemand die het domein van uw organisatie probeert te vervalsen. We zijn gewend aan een constante stroom van werk- of accountgerelateerde e-mails waarin we worden gevraagd ons aan te melden bij verschillende online services, zoals Office 365. Domein spoofing maakt daar misbruik van door hun valse, kwaadaardige e-mails niet van echt te onderscheiden. Zonder een grondige analyse van de e-mail is het vrijwel onmogelijk om te weten of deze van een betrouwbare bron afkomstig is. En aangezien er elke dag tientallen e-mails binnenkomen, heeft niemand de tijd om ze allemaal zorgvuldig te onderzoeken. De enige oplossing zou zijn om een verificatiemechanisme te gebruiken dat alle e-mails controleert die vanaf uw domein worden verzonden, en alleen die e-mails blokkeert die zijn verzonden door iemand die de e-mail zonder toestemming heeft verzonden.

Dat verificatiemechanisme heet DMARC. En als een van de toonaangevende leveranciers van e-mailbeveiligingsoplossingen ter wereld, hebben wij bij PowerDMARC het tot onze missie gemaakt om u te laten inzien hoe belangrijk het is om het domein van uw organisatie te beschermen. Niet alleen voor uzelf, maar voor iedereen die op u vertrouwt en van u afhankelijk is om veilige, betrouwbare e-mails af te leveren in hun inbox, elke keer weer.

Over de risico's van spoofing kunt u hier lezen: https://powerdmarc.com/stop-email-spoofing/

Ontdek hier hoe u uw domein kunt beschermen tegen spoofing en uw merk een boost kunt geven: https://powerdmarc.com/what-is-dmarc/