Het dmarc-protocol (domain-based message authentication, reporting and conformance) is een cruciaal wapen tegen misbruik van e-maildomeinen. Helaas blijft de adoptie in het Nederlandse bedrijfsleven achter. Dit levert risico’s op voor de bedrijven zelf, maar ook voor Nederlandse consumenten die steeds vaker slachtoffer worden van phishing. Het is hoog tijd dat de overheid ingrijpt.
Wat doet u het eerste als u een verdachte e-mail ontvangt? Dan kijkt u waarschijnlijk of het e-mailadres in het veld van de afzender klopt. Een logische reactie, maar dit zegt feitelijk weinig over de identiteit van de verzender. Cybercriminelen kunnen een afzenderadres eenvoudig vervalsen (‘spoofen’), doordat het e-mailprotocol smtp hier standaard geen bescherming tegen biedt. E-mailspoofing is dan ook een populaire truc om phishingmails zo overtuigend mogelijk te maken.
Ceo-fraude en phishing
Regelmatig zien we gerichte aanvallen waarbij criminelen zich met een gespooft e-mailadres voordoen als een vertrouwde partij. Denk aan een manager die de administratie vraagt om even snel een bedrag over te maken. Of een partner of leverancier waarmee het bedrijf al jaren samenwerkt. Zo’n incident kan miljoenen euro’s kosten. En zie het geld maar eens terug te halen, als het eenmaal is weggesluisd naar een buitenlandse bankrekening.
E-mailspoofing kan ook tot reputatieschade leiden. De gemiddelde consument is gewoon niet zo weerbaar tegen phishing. Een kloppend e-mailadres wijst erop ‘dat het wel goed zit’. De bank of energieleverancier zal toch zeker wel voorkomen dat cybercriminelen hun e-mailadressen gebruiken? Het komt slecht over op klanten, als een bedrijf dit niet op orde heeft. Los daarvan hebben bedrijven in mijn optiek een morele plicht om consumenten hiertegen te beschermen.
Hoe werkt dmarc?
Dmarc (domain-based message authentication, reporting and conformance) geeft bedrijven inzage in spoofing van hun e-maildomeinen en stelt hen in staat om gespoofte e-mails te blokkeren. Het protocol is gebaseerd op de internetstandaarden dkim en spf. Via spf (sender policy framework) geeft een beheerder aan welke servers e-mails mogen verzenden namens een bepaald e-maildomein. Met dkim (domain keys identified mail) verifieert de ontvanger of de e-mail echt is verzonden door de eigenaar van het domein.
Het dmarc-protocol controleert het authenticatieresultaat op spf of dkim en het adres van de afzender. Domeineigenaren kunnen ontvangers instructies geven voor wat er moet gebeuren als een bericht niet door de dmarc-test komt. Via dit dmarc-beleid kan een nepmail bijvoorbeeld automatisch worden geweigerd. Niet voor niets ziet het Nationaal Cyber Security Centrum (NCSC) dmarc als een belangrijke maatregel tegen phishing.
Overheid neemt voortouw
Het Forum Standaardisatie is een belangrijke aanjager voor dmarc-adoptie bij de overheid. Op advies van deze organisatie werd afgesproken dat alle Nederlandse overheden voor eind 2019 verschillende e-mailbeveiligingsstandaarden zouden uitrollen, waaronder dmarc. Ondanks een gestage groei is deze deadline niet gehaald. Uit een recente meting blijkt dat slechts tussen de 50 en 59 procent van de overheden dmarc juist heeft ingesteld.
Tot voor kort hadden zelfs het RIVM en de Rijksoverheid – toch niet de minste namen – dmarc niet goed ingesteld. RTL Nieuws ontdekte dat het voor cybercriminelen mogelijk was om gevaarlijke e-mails te versturen uit naam van deze organisaties. Binnen enkele uren na de melding van RTL Nieuws werd dmarc geactiveerd. Het protocol was namelijk eerder al ingesteld, maar werd weer uitgezet omdat enkele applicaties niet meer goed werkten.
Nederlandse bedrijfsleven loopt achter
In het Nederlandse bedrijfsleven is de situatie nog zorgwekkender, blijkt uit een groot internationaal onderzoek van mijn werkgever. Slechts 13 procent van de Nederlandse respondenten geeft aan dat de eigen organisatie gebruikmaakt van dmarc. Dit is veruit het laagste percentage van alle onderzochte landen. Het wereldwijde gemiddelde is 23 procent. In de VS heeft zelfs 36 procent van de organisaties Dmarc geïmplementeerd.
Ik vind dit werkelijk onbegrijpelijk. Hetzelfde onderzoek toont namelijk ook aan dat Nederlandse bedrijven regelmatig doelwit zijn van phishingaanvallen en domeinmisbruik. Zo zag ongeveer de helft van de Nederlandse bedrijven in de afgelopen twaalf maanden een toename van het aantal phishingaanvallen. En bijna 80 procent geeft aan dat het aantal aanvallen met web- of e-mailspoofing gelijk is gebleven of zelfs gestegen.
Het belang van dmarc is alleen maar verder gegroeid door de enorme golf aan corona-gerelateerde phishingaanvallen, waarvan een groot deel gericht is op kwetsbare burgers. Aanleiding voor de Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) om op te roepen tot een bredere adoptie van het dmarc-protocol. In deze pandemie is het belangrijker dan ooit om impersonatie van vertrouwde informatiebronnen te voorkomen.
Wat moet er gebeuren?
Dit klinkt mij als muziek in de oren, maar ik vrees dat oproepen en vage richtlijnen te vrijblijvend zijn om de huidige status quo te doorbreken. Als we de dmarc-adoptie in Nederland op peil willen krijgen – en dat is essentieel om consumenten en bedrijven te beschermen – zijn strenge maatregelen nodig. De overheid, het bedrijfsleven en gratis e-maildiensten, zoals Gmail en Outlook, moeten samen hun verantwoordelijkheid nemen.
Het zou bijvoorbeeld mooi zijn als alle grote bedrijven en overheidsinstanties verplicht gebruikmaken van een dmarc-policy voor inkomende e-mail, waarbij berichten automatisch als spam worden aangemerkt als de verzender dmarc niet goed heeft ingesteld. Wellicht moet hiervoor nieuwe wet- en regelgeving komen. Een radicale stap, maar pas dan maken we echt een vuist tegen phishing en domeinmisbruik.
Die wet zal de nodige haken en ogen hebben. Maar het idee is niet verkeerd.
Wat mij verbaast is dat grote bedrijven en de overheid blijkbaar noch niet doordrongen zijn van de noodzaak.
De techniek waarmee gmail nu spam detecteert is niet perfect, maar helpt wel.
Maar zouden online email clients verdachte mail automatisch blokkeren, dan zie ik een probleem voor alle kleine domein eigenaren.
Dmarc wordt dan ook voor hen verpicht.
Ook al is het extra werk, voor de klanten van mijn piepklein bedrijfje voer ik dkim-spf-dmarc zo goed als gaat.
Er zijn een aantal kontrole-websites waar je zelf kunt zien of de zaak juist is ingevoerd.
Mee eens dat er te weinig bedrijven/instanties de moeite nemen dit in te voeren, dus moeten we nog lang rekenen met phishing etc. helaas.