Iedereen heeft wel eens een ‘nep’ mailtje in zijn Inbox gehad, ogenschijnlijk afkomstig van de huisbankier. En iedereen heeft ook wel eens een mail in zijn Spam ontvangen, terwijl de mail helemaal geen spam was. Hoe kan het nu dat de verzender toch het echte e-mailadres van het bedrijf gebruikt? Hoezo komen phishing mails toch nog wel eens in je Inbox terecht, en Spam mails juist niet? Hoe onderscheiden goed ingerichte e-mailsystemen de echte van neppe mails? Kortom: hoe kom je erachter of jouw ict-beheerder – of jijzelf – alles goed heeft ingesteld?
De gemiddelde oplettende lezer laat zich niet door phishing misleiden, zeker niet onze klanten die de phishing training hebben gevolgd. Toch maakt een kloppend afzender-mailadres de verwarring weleens wat groter. Zeker als je als gebruiker bij het aanklikken van de link op identieke (maar nagemaakte) login-pagina uitkomt, waar wordt gevraagd om inloggegevens.
Iedereen kan en mag jouw mailadres gebruiken
Ja, echt iedereen. De reden hiervan is dat het e-mailprotocol (SMTP, RFC5321) dat vandaag de dag nog steeds overal wordt gebruikt, van origine niet goed is beveiligd. Eén van de tekortkomingen van dit protocol, is dat iedereen in een mailserver-configuratie vrij kan kiezen welk e-mailadres als uitgaand e-mailadres gebruikt moet worden. In principe kan iedereen dus e-mails versturen als info@ing.nl. Ook jij en ik. Spammers en phishers maken graag hiervan graag misbruik.
En toch kunnen we ‘fake’ van ‘echt’ onderscheiden
In de loop der tijd zijn er daarom oplossingen bedacht die goed kunnen helpen bij het terugdringen van het bovenstaande probleem, namelijk de internetstandaarden DKIM (RFC6376), SPF (RFC7208) en DMARC (RFC7489). Het probleem is dat deze standaarden niet verplicht zijn om te configureren. Alle internetaanbieders zouden deze maatregelen moeten implementeren in hun mailomgevingen. Alle grote partijen, zoals Yahoo!, Gmail en Live gebruiken ook al al jaren DKIM. Het is dus een bewezen techniek. Het probleem zit hem bij de kleinere ict-beheerders die de bedrijfsdomeinen voor hun klanten beheren, of de ondernemers die het zelf denken te kunnen. Zij hebben veelal onvoldoende kennis van deze protocollen en hoe e-mailbeveiliging goed moet worden ingesteld. Alle drie de technieken leunen op de DNS-configuratie van het domein. Deze is vaak in beheer bij degene die verantwoordelijk is voor de hosting. Hieronder een beknopte uitleg:
Met: SPF configuratie
Met een SPF DNS txt-record geef je aan welke (groep) servers mail voor het betreffende domein mogen versturen. Een simpel voorbeeld: stel dat het SPF-record (feitelijk gewoon een TXT-record) van bouwbedrijfabc.nl er zo uitziet:
bouwbedrijfabc.nl. - TXT - "v=spf1 ip4:203.0.113.0/24 ip6:2001:db8::/32 -all"
Dan betekent dit, dat mail die als afzender een @bouwbedrijfabc.nl adres heeft, alleen verzonden mag zijn vanaf de genoemde IP-adresreeksen. En als dat niet het geval is, dan zal de betreffende e-mail als verdacht moeten worden aangemerkt (door de ontvangende partij). Met andere woorden; de ontvanger krijgt een instrument in handen waarmee beter kan worden ingeschat of sprake is van een valide e-mail. Eenmaal goed ingeregeld (zie ook RFC7001), zal SPF bijdragen aan het kunnen herkennen van malafide e-mails.
En met: DKIM
Bij DKIM maakt de verzendende server met behulp van een ‘private key’ een cryptografische handtekening en voegt die toe aan de mail in de vorm van een zogenaamde DKIM-header. Een soort onvervalsbare digitale handtekening dus. De ontvangende partij ziet deze handtekening, zoekt in het DNS de bijbehorende publieke sleutel op en valideert de handtekening (en dus de mail) daarmee. Als de digitale handtekening correct is, dan staat daarmee het afzenderdomein vast en is zeker dat de e-mail onderweg niet is aangepast. Een kwaadwillende beschikt immers niet over de private key en is niet in staat om DKIM-beschermde mails te maken. Dergelijke valse mails zullen een slechtere reputatie krijgen in de e-mailreputatiesystemen die steeds meer partijen gebruiken. In de praktijk is meer mogelijk.
En ook met: DMARC
Met een DMARC- DNS record tenslotte, kan in het DNS een soort beleid kenbaar worden gemaakt. Bijvoorbeeld (in versimpelde vorm): “als de DKIM-handtekening niet klopt, of als SPF faalt, stop deze mail dan in de spamfolder”. Zo’n record zou er dan zo uit kunnen zien in DNS:
_dmarc.bouwbedrijfabc.nl. TXT "v=DMARC1; p=quarantine
”
De ontvangende partij vraagt dit record op, om te bepalen wat er moet gebeuren met een verdachte e-mail. Het spreekt voor zich dat DKIM, DMARC en SPF-records in DNS het beste tot hun recht komen als ze gecombineerd worden gebruikt.
Samenvattend
Uiteraard maakt Tip ICT bij al zijn klanten gebruik van zowel SPF, DKIM als DMARC. Vervalste e-mails, die uit naam van klanten van Tip ICT worden verzonden (en waar het afzenderadres ook daadwerkelijk …@bouwbedrijfabc.nl is), kunnen daarom simpel door ontvangende partijen als verdacht worden aangemerkt. En mailtjes die valide zijn, komen ook in de Inbox van derden terecht. Dus, wie het probleem van phishingmails en mails in spamfolders wil reduceren tot nihil, moet dit zeker inregelen. Neem contact met Tip ICT op als je er niet uit komt.