Penetrasjonstestere spiller en kritisk rolle i å identifisere og adressere sårbarheter i en organisasjons sikkerhetsstilling, inkludert e-postsikkerhet. Ved å forstå DMARC og hvordan det fungerer, kan penetrasjonstestere bedre evaluere en organisasjons e-postsikkerhetsforsvar og bidra til å sikre at klientene deres er beskyttet mot e-postbaserte angrep.

I henhold til Global DMARC Adoption Report-2019, 69.6% av de 500 største nettbutikkene i EU bruker ikke DMARC. Dagens penetrasjonstesting dekker i liten grad e-postsikkerhet, og dette må endres for å skape et tryggere digitalt landskap.

Hvorfor er e-postautentisering viktig?

Penetrasjonstesting er en prosess der man forsøker å utføre et autorisert simulert angrep på et systems IT-infrastruktur, inkludert domener som sender e-post, for å finne sikkerhetshull. Det er tre hovedgrunner til at e-postautentisering for penetrasjonstestere er viktig.

Forebygging av svindel

Useriøse aktører utnytter at postkasser ikke er bygget med sterke standard sikkerhetsprotokoller. De lurer og lokker ofrene til å dele sensitive opplysninger ved å overbevise dem om at e-postene kommer fra legitime kilder. Sammen SPF, DKIM og DMARC forhindre dette ved å la bare autoriserte enheter sende e-post ved hjelp av dine offisielle domener.

Beskyttelse av merkevareimage

Læring av e-postautentisering for penetrasjonstestere er viktig fordi det forhindrer forsøk på angrep i merkevarens navn, og dermed beskytter merkevarens image.

Forbedret leveranse av e -post

E-post som spretter tilbake hemmer ikke bare PR-, markedsførings- og salgskampanjene dine, men fører også til en dårlig leveringsgrad for e-post. Leveringsgrad for e-post er evnen til å levere e-poster til mottakernes innbokser uten at de blir merket som søppelpost eller spretter tilbake. Finn ut mer om hvordan e-postautentisering bidrar til å forbedre e-postleverbarheten.

Hva er SPF, DKIM og DMARC?

SPF, DKIM og DMARC er e-postautentiseringsprotokoller som verifiserer en e-postavsenders ekthet for å sikre at den kommer fra kilden den oppgir. Domener som ikke overholder disse, kan oppleve at e-postene deres blir merket som søppelpost eller spretter tilbake. Ikke bare dette, men trusselaktører kan enkelt utgi seg for å være dem og sende falske meldinger til folk og be dem om å dele sensitive opplysninger eller foreta økonomiske transaksjoner.

Hvordan fungerer SPF?

SPF eller Sender Policy Framework er en måte å godkjenne e-post på. autentisering for penetrasjonstestere der en liste over servere som har tillatelse til å sende e-post, opprettes og legges til domenets DNS. Eventuelle avsenderservere utenfor listen flagges.

Hvordan fungerer DKIM?

DKIM eller DomainKeys Identified Mail gjør det mulig for domeneeiere å signere e-posthoder som hjelper verifiseringsprosessen. DKIM baserer seg på konseptet kryptografi ettersom det innebærer en digital signatur. Du mottar et par offentlige og private nøkler; førstnevnte lagres på DNS for åpen tilgang, og sistnevnte oppbevares i hemmelighet hos avsenderserveren.

Mottakerens server samsvarer med begge nøklene; hvis samsvaret er vellykket, består DKIM-verifiseringen, ellers mislykkes den. Det er en positiv effekt av DKIM-policyen på e-postleverbarhet og tiltak mot søppelpost..

Hvordan fungerer DMARC?

DMARC er en forkortelse for Domain-based Message Authentication Reporting and Conformance. Det fungerer i samordning med SPF og DKIM.

 

DMARC er ansvarlig for å fortelle mottakerens postkasse hvordan e-post som sendes fra domenet ditt, skal behandles når SPF- og/eller DKIM-verifiseringskontrollen mislykkes. Du kan velge en av de tre DMARC-policyer for å avgjøre dette; p=ingen (ingen tiltak iverksettes mot e-poster som mislykkes i godkjenningskontrollen), p=karantene (e-poster som mislykkes i godkjenningskontrollen, merkes som søppelpost) eller p=avvis (e-poster som mislykkes i godkjenningskontrollen, returneres).

Hvordan penetrasjonstestere utnytter en DMARC-feilkonfigurasjon?

Som penetrasjonstestere kan du utføre et simulert angrep for å oppdage sårbarheter i e-postautentiseringen til et domene under observasjon. Slik kan du gå frem. 

Få ditt domene

Det første trinnet i e-postautentisering for penetrasjonstestere inkluderer å ha et domene for å installere en e-postspoofer og sende e-post ved å utgi seg for å være en bedrift. Du kan bruke en hvilken som helst domeneleverandør som passer dine behov og ditt budsjett.

Sette opp domenet

Når du har domenet, legger du det til i DNS-panelet. Slett det som står under "DNS Management"-panelet for å simulere et angrep. Dette bør etterfølges av å erstatte den oppgitte navneserveren på domenetjenesteleverandørens panel. Du får en API-nøkkel for konfigurasjonsfilen for de kommende trinnene i øvelsen med e-postautentisering for penetrasjonstestere.

Oppsett av VPS

Vær oppmerksom på at du kanskje må gjenta dette trinnet hvis VPS-IP-ene dine har et dårlig rykte fordi e-postene dine ikke blir levert i denne situasjonen.

Siden VPS ikke bruker mye ressurser, kan du velge en billig VPS og likevel få en velfungerende instans. Husk å angi vertsnavnet nøyaktig som domenenavnet ditt, ellers kan du ikke simulere et angrep.

Bruk følgende kommandoer:

apt-get install git

apt-get update && apt-get install docker-compose

Deretter kopierer du GitHub-repositoriet og går til "Nyopprettet katalog" der du må redigere innstillingene og legge til domenet ditt og API-nøkkelen.

Når du har fullført disse trinnene, skriver du "docker-compose up" og venter i noen minutter for å få webserveren opp.

Sende phishing-e-post

Til slutt sender du phishing-e-posten til målene for å få en oversikt over feilkonfigurasjon av DMARC. 

Testrapport for penn

Nå som du vet nok om e-postautentisering for penetrasjonstestere og hvordan du utnytter en DMARC-feilkonfigurasjon, er det viktig å utarbeide en utestående rapport etter å ha simulert et angrep. 

 Her er fire ting du kan legge til i en profesjonell pennetestrapport.

1. Sammendrag for strategisk retning

Dette inkluderer en oversikt på høyt nivå over risikoene og virkningen av sårbarheter ved e-postautentisering på vanlig engelsk (eller et annet foretrukket språk). Denne delen er vanligvis for ledere som kanskje ikke er så godt kjent med teknisk terminologi. 

2. Forklaring av tekniske risikoer

Du må vurdere risikoens intensitet slik at IT-teamet kan gjøre en rask og effektiv innsats for å tette e-postsystemets smutthull.

3. Potensiell innvirkning av sårbarhet

E-postsikkerhetsrelaterte risikoer er delt inn i to deler - sannsynlighet og potensiell innvirkning. Det hjelper utbedringsteamet med å prioritere utbedring av sårbarheter avhengig av deres potensielle innvirkning. 

4. Flere saneringsmetoder

Sørg for at utbedringsmetodene du foreslår, er mer enn bare å deaktivere domenet eller e-postkontoene helt. Inkluder metoder som registeroppslag, utflating av SPF-poster, strengere DMARC-retningslinjer osv.

Beskytte domenet ditt mot sikkerhetsrisikoer for e-post

Kunnskapen om e-postautentisering for penetrasjonstestere er viktig for å beskytte digitale ressurser mot phishing og spamming. Overholdelse av SPF og/eller DKIM er obligatorisk for DMARC distribusjon, ettersom det forteller mottakerens server hvordan den skal håndtere e-poster som mislykkes i autentiseringskontroller. Du kan angi ingen, karantene eller avvisningspolicy.

PowerDMARC tilbyr en gratis prøveperiode for å hjelpe deg med å komme i gang med DMARC-reisen mot et tryggere e-postmiljø. Ta kontakt med oss for å få vite mer.