Phishing blijft een van de grootste bedreigingen waarmee bedrijven wereld worden geconfronteerd. Helaas proberen te weinig mensen zich er effectief tegen te beschermen. En dat terwijl er beproefde strategieën en zelfs wereldwijde standaarden zijn voor e-mailbeveiliging.
Er zijn drie wereldwijde e-mailbeveiligingsstandaarden die iedere it-security officer moet kennen: sender policy framework (spf), domain keys identified mail (dkim) en domain-based message authentication, reporting and conformance (DMARC). Met deze standaarden gaan bedrijven phishing tegen. Voor alle drie moet de beheerder het e-maildomein van de afzender activeren in de dns via txt-vermeldingen (of als alternatief in de beheerconsole van de e-mailhostprovider).
Wanneer dat is gebeurd, kunnen ontvangers (eigenlijk hun e-mailservers of clients) van e-mails van geactiveerde domeinen aanvullende informatie controleren om te verifiëren dat een bepaalde e-mail daadwerkelijk afkomstig is van het e-maildomein. Afzenderdomeinen activeren deze protocollen zodat ontvangers kunnen controleren of de e-mails wel legitien zijn. Daarmee verzekeren ze zich ervan dat e-mails ook daadwerkelijk van hen afkomstig zijn.
De ontvangers activeren het op hun beurt om te kunnen controleren of een bepaalde e-mail ook echt van de afzender kwam. Dat betekent dat beide partijen de protocollen moeten hebben geactiveerd om het te laten werken. Het alternatief hiervoor is om alle e-mails te blokkeren die de eerste check niet halen, maar dit is niet compatibel met de gewenste gebruikerservaring en leidt ook tot veel false positives
Vormfactor
Spf voorkomt spoofing van het afzender-e-mailadres. Dit e-mailadres staat bekend als het 5321-adres (omdat het is gedefinieerd in RFC 5321, wat het simple mail transfer protocol definieert). Afhankelijk van de e-mailclient wordt het 5321-adres mogelijk niet altijd weergegeven. Dit geldt met name voor e-mailclients met een kleine vormfactor, bijvoorbeeld op smartphones.
Dkim voorkomt spoofing van het domein van het ‘Display From‘-e-mailadres (van RFC 5322, internet message form email standard). Het ‘Display From‘-adres wordt bijna altijd aan een eindgebruiker getoond bij het bekijken of openen van een e-mail. Vandaar deze naam.
Hoewel deze adressen kunnen verschillen in legitieme e-mails, is de kans groter dat ze anders zullen zijn in phishing-e-mails. Met spf en dkim kunnen e-mailontvangers ervoor zorgen dat de domeinen van een ontvangen e-mail ook echt van de e-mailservers van deze domeinen komen. Ze doen dit echter op heel verschillende manieren.
Dmarc is een aanvullende standaard die bedrijven die op hun spf- en dkim-records vertrouwen, vertelt hoe ze met onjuiste of vervalste e-mail moeten omgaan.
Hoe wordt spf gebruikt?
Met spf kunnen ontvangers controleren of het door de afzender opgegeven e-maildomein (het 5321-adresdomein) echt afkomstig is van de geautoriseerde e-mailservers (via het ip-adres) van dit domein. Afzenders activeren het voor hun domein door ten minste één dns-txt-item te maken. Bij het maken van de spf-dns-txt-vermelding moet er echter enige informatie beschikbaar zijn, waaronder: welke e-mailserver(s) elk gedefinieerd domein moeten verwerken en wat hun openbare ip-adressen zijn. Bij al deze technologieën is het niet de eindgebruiker die de onderwerpregels controleert of beslist om een bepaalde e-mail al dan niet te controleren. Dit wordt allemaal op de achtergrond gedaan door de ontvangende e-mailserver of -service.
Het gebruik van dkim
Dkim wordt gebruikt om te voorkomen dat de weergavenaam (adres 5322) van het domein van het e-mailadres van de afzender wordt vervalst. De ontvanger verifieert de digitale handtekening van het e-mailserverdomein die bij elke e-mail wordt verzonden. Het instellen van dkim is iets ingewikkelder dan spf. Om dit te doen, moet de e-mailserver/-service van de afzender enigszins worden aangepast. De afzender moet een cryptografische openbare en privé-sleutel maken of ontvangen. Hij moet het op zijn e-mailserver of -service installeren en vervolgens een dns-txt-record maken dat zijn openbare sleutel bevat. Elke uitgaande, verzonden e-mail wordt ondertekend met de privésleutel van de e-mailserver, waarna de ontvangers de digitaal ondertekende e-mail kunnen verifiëren met de openbare sleutel van de afzender.
Hoe dmarc is te gebruiken
Dmarc is een aggregatieservice (of de afzender nu spf en dkim gebruikt of niet) en geeft aanbevelingen over hoe een mislukte of vervalste e-mail af te handelen. Net als zijn ‘collega’s wordt dmarc door de afzender in dns ingesteld als een txt-record.
Het komt ook weleens voor dat legitieme e-mails de controles van de genoemde standaarden niet doorstaan en worden geblokkeerd. Dit komt doordat een ontvanger iets verkeerd heeft geconfigureerd of de e-mail zodanig is gemanipuleerd dat het een of meer van de tests niet doorstaat. Om te voorkomen dat belangrijke e-mails verloren gaan of niet aankomen, kan de optie om de e-mails in een beveiligde omgeving te kunnen openen worden geselecteerd. In plaats van e-mails te ‘rejecten’, moeten ze in ‘quarantaine’ worden geplaatst.
Conclusie
Spf, dkim en dmarc zijn om vele redenen niet de perfecte oplossing voor dit complexe probleem, maar wel een eerste hulpmiddel om het aantal phishingmails te verminderen. Om te voorkomen dat ook legitieme e-mails worden geblokkeerd, dienen de standaarden zo te worden ingesteld dat elke mislukte e-mail opnieuw grondig wordt onderzocht in een quarantaine-omgeving. Iedere ontvanger kan vervolgens met behulp van de it-beveiligingsafdeling controleren of de e-mail legitiem is – of niet natuurlijk.
Jelle, criminelen hebben in korte tijd een (tijdelijke) e-mail server in de lucht, of gebruiken een criminele e-mail service provider en wellicht nog tijdelijk een fatsoenlijke e-mail service provider voor delay. Zo zijn er nog een aantal opties.
Gelukkig kunnen (grote) bedrijven met eigen e-mail servers tools en de door jou genoemde DNS e-mailbeveiligingsstandaarden inzetten, al doen ze het lang niet altijd. Maar privépersonen en de meeste bedrijven en instellingen gebruiken e-mail van providers. Sommige providers willen voor hun klanten nog wel spam filteren, maar ze laten het phishing probleem meestal over aan de gebruiker. Daarbij komt dat de meeste gebruikers niet het verschil kennen tussen hinderlijke spam en potentieel desastreuze phishing. Vaak weten gebruikers ook niet hoe ze valse e-mail kunnen herkennen. En als hun client de echte e-mail adressen niet kan laten zien, dan kunnen gebruikers Email Address Spoofing niet herkennen. Elke, maar zeker ook een onervaren of te haastige, gebruiker kan in een scam tuinen.
Het blijft dus dweilen met de kraan heel ver open, terwijl de bron ver weg zit.
Jelle, zouden e-mail service providers gezamenlijk voor meer veiligheid kunnen zorgen door vrijwillig of verplicht e-mailbeveiligingsstandaarden te gebruiken? Wat zijn thans de mogelijkheden om dichter bij de bron te dweilen? Welke rol kunnen nationale overheden daarbij spelen?
Wat ik niet terug vindt is dat met name gmail veel gebruikt wordt voor dubieuze zaken.
Ik heb een paar “honeypots” waar dat te vinden is.
SPF – DKIM – DMARC – RDNS zullen het problem van phishing niet oplossen, een vserver huur je voor onder de € 5 per maand en het is geen probleem jouw Mailserver zo uit te rusten dat deze aan de genoemde regels voldoet.
Het is beter de mensen te leren goed op te letten.
@Jan, natuurlijk moet de gebruiker leren goed op te letten bij het gebruik van ICT. Steeds meer organisaties stimuleren of dwingen hun cliënten / klanten om met apps te werken. Ook verzenden organisaties steeds vaker rekeningen per mail en verzoeken ze je om via bijvoorbeeld een iDeal link te betalen. Helaas doet elke partij het weer net anders en ze veranderen frequent hun eigen werkwijze. Veel bedrijven laten zich via derden betalen of door een eigen holding of dochter, dus de rekeninghouder van de tegenpartij is niet dezelfde als de partij waarmee je zaken doet. Zo wordt het heel lastig om te controleren of er wel aan de goede (tussen)partij betaald wordt. Erger genoeg, via een internetbank zoals Bunq, kan je al jaren een publieke API koppeling aanvragen om anderen te laten betalen. Controle bij Bunq van de aanvrager gebeurt achteraf en het gebruik van de eerste api-key en call zijn kosteloos. “Allemaal met de veiligheid van een echte bank“; nee dus. Bij ontdekking van de fraude is je geld al doorgesluisd naar de tussenpersoon van criminele organisatie en verder. Geld terugvorderen bij muilezels is meestal te duur en niet zinvol. De problematiek rond phishing en malware verspreiding is vergelijkbaar; klopt de afzender en is de inhoud wel wat het lijkt te zijn.
Daarbij komt dat makers van reguliere software meestal niet doorhebben dat ze criminelen faciliteren met hun features en maar zelden features aanbieden die de gebruiker kan helpen om te zien of een en ander niet klopt.
Onze industrie is op dit gebied behoorlijk ziek. Websites met 3rd party tracking cookies en mobile apps die te veel rechten opeisen, is standaard. Onze industrie werkt te pas en te onpas op basis van wetgeving van andere landen, met fake informed consent en gerechtvaardigd of legitiem belang, negeert dat toestemming voor cookies weigeren zonder gevolgen moet zijn, enz. 95% van de e-commerce bedrijven beschermen hun klanten slecht of geheel niet tegen nepmails.
Dus de gebruiker moet heel veel leren, moet die kennis ook nog eens continu bijhouden en hopen niet slachtoffer te worden van nog onbekende vormen van online scams. En dat is meer dan lastig voor een groot deel van de mensen. Onzekere gebruikers, worden steeds meer onzeker door het brede scala aan scams. We koppelen van alles aan elkaar via het internet. Het gemak van de ICT wordt het ongemak voor die mensen. Naïeve en lakse softwareontwikkelaars, beheerders, providers, ze moeten meer doen om de gebruiker echt te helpen.
Jan, opvallend dat je veel gmail tegenkomt bij dubieuze zaken. Ik zie juist veel onbekende kleine en tijdelijke mailproviders en gebruik van spoofing.
Dat ik meer GMail zie met problemen komt omdat ik bij mij al zoveel filter dat de rest er al uit valt.
De honeypots krijgen veel meer vie kontaktformulieren (waar geen filter in zit).
Zelf ben ik heel erg terughoudend met telefoon en apps en een slow-adapter, dat kan ik iedereen aanraden.