Phish verbod

E-mail is voor hackers een succesvol middel om wachtwoorden te bemachtigen en malware te verspreiden. Een veelgebruikte techniek is 'phishing', waarbij de eindgebruiker via een nepmail wordt verleid tot het klikken op een linkje, openen van bijlage, etc. Deze nepmail kan bedrieglijk echt lijken als de afzender zich voordoet als een collega of manager. Veel mensen weten niet dat het mailadres wat als afzender in het mailbericht staat niet is gekoppeld aan degene die de mail daadwerkelijk heeft verzonden. Ze denken dus dat de afzender die bovenaan het bericht staat ook de echte afzender is. Dit is voor de aanvaller echter een willekeurig te kiezen adres. Wat het erger maakt is dat het adres van de echte afzender niet wordt getoond.

Wat kun je ertegen doen?

Om misbruik van e-mailadressen tegen te gaan is er een set aan maatregelen beschikbaar. Samen zorgen deze voor:

  • Het (beter) herkennen van phishing.
  • Het zicht houden op misbruik van mail uit het eigen domein.
  • Het verbeteren van de afleverbaarheid van de eigen mail.

Met ‘authenticated email’ kan dit worden tegengegaan. In een mail-policy wordt gespecificeerd welke mailservers namens de organisatie mail mogen verzenden. Bovendien wordt aangegeven wat moet worden gedaan met mail die door een niet-geautoriseerde mailserver is verstuurd: markeren als ‘verdacht’ of zelfs blokkeren.

Technisch wordt de mail-policy ingeregeld middels een combinatie van protocollen, te weten SPF, DMARC en DKIM. Zie hier voor een uitleg.

Het herkennen van phishing

De mailserver kan detecteren dat mailberichten afkomstig zijn van een mailserver die niet bij het betreffende afzender-domein hoort. Vervolgens kan de mail worden geblokkeerd, of doorgelaten met het label 'verdacht'. Indien goed doorgevoerd ziet de gebruiker dan een grote waarschuwingsbalk bovenin het mailbericht staan.

Maatregelen zijn:

  • SPF (Sender Policy Framework)
    In de DNS-server vermeld je welke mailservers namens dit domein e-mail mogen verzenden. Daarnaast dient een policy te worden ingesteld (blokkeren, markeren als verdacht, doorlaten). Zie OpenSPF.
    Een voorbeeld van een SPF-record is:

     v=spf1 mx a:mailserver.mydomain.com –all
  • IDS (Intrusion Detection System)
    Scan inkomend mailverkeer op verdachte afzenders en content.
  • AV (Anti-Virus) op de werkplek
    Mocht een gebruiker ergens op doorklikken, dan kan de AV-oplossing dit signaleren en blokkeren.
  • Phishing-tests
    Maak gebruikers bewust van phishing en train ze in het herkennen ervan. Zie hier voor hoe een simpele phishing-test in zijn werk gaat.

Het zicht houden op misbruik van mail uit het eigen domein

Om te weten te komen of e-mail adressen uit het eigen domein worden misbruikt door derden kan worden beschikt over rapportages van Internet Service Providers.

 

Een maatregel is:

  • DMARC (Domain-based Message Authentication, Reporting & Conformance)
    In de DNS-server vermeld je welk soort rapport je wilt ontvangen. Zie dmarc.org.
    Een voorbeeld van een DMARC-record is:

     v=DMARC1; p=none; rua=mailto:dmarc@mydomain.com; fo=1

Het verbeteren van de afleverbaarheid van de eigen mail

Enerzijds kan de mail een hoger niveau van vertrouwen krijgen als met zekerheid vaststaat dat het is verzonden vanaf de juiste mailservers. Anderzijds is het belangrijk dat de mailserver niet als 'spamserver' bekend staat.

Maatregelen zijn:

  • Monitor spam-blacklists
    Een domein kan door verschillende oorzaken daarop terecht komen. Check de oorzaak en los deze op.
  • DKIM (DomainKeys Identified Mail)
    Digitale ondertekening van e-mail namens het domein verhoogt vertrouwen in afzender en verlaagt daarmee de kans dat de e-mail in het spam-bakje belandt.

SPF in de praktijk

Uit eigen waarneming (Q2 2017) blijkt dat ruwweg 2 op de 3 domeinen voorzien is van een SPF record. Wat veel voorkomt is dat een organisatie wel SPF-records heeft aangemaakt voor de hoofddomeinen, die ook daadwerkelijk voor mail worden gebruikt, maar geen SPF voor minder belangrijke domeinen. Die laatste kunnen echter evengoed worden misbruikt voor phishing. De policies ~all en –all worden beide veel gebruikt, verhouding is 50/50. Overigens is de implementatiegraad van SPF veel hoger dan die van DMARC: DMARC is maar op 5% van de domeinen correct geïmplementeerd.

SPF-test

Ik heb een korte test gedaan om te zien of SPF in de praktijk ook effect heeft. Hiervoor heb ik e-mail afzenders gespooft van domeinen met verschillende SPF policies, deze mail verstuurd naar een aantal adressen bij verschillende mailproviders, en gekeken naar het uiteindelijke resultaat in de mailboxen. De testgevallen waren:

-all met specificatie van mailservers:

  • SPF policy met -all (Fail).
  • Testcasus: Afzendende mailserver is niet geautoriseerd voor dit domein
  • Verwacht gedrag: mail komt niet aan

-all met null-policy: dit domein gebruikt geen mail:

  • SPF policy met -all (Fail).
  • Testcasus: Mail wordt verstuurd voor domein die geen mail gebruikt
  • Verwacht gedrag: mail komt niet aan

~all, spoof van extern domein:

  • SPF policy met ~all (SoftFail).
  • Testcasus: Afzendende mailserver is niet geautoriseerd voor dit domein
  • Verwacht gedrag: mail komt wel aan, maar met label ‘verdacht’

~all, spoof van eigen domain:

  • SPF policy met ~all (SoftFail).
  • Testcasus: Afzendende mailserver is niet geautoriseerd voor dit domein
  • Verwacht gedrag: mail komt wel aan, maar met label ‘verdacht’

?all:

  • SPF policy met ?all (Neutral).
  • Testcasus: Afzendende mailserver is niet geautoriseerd voor dit domein
  • Verwacht gedrag: mail komt gewoon binnen, de policy staat dat immers toe

Testresultaat

De tabel geeft het resultaat weer. De groen gemarkeerde vakken zijn conform verwachting, de gele en oranje zijn afwijkend.

email_security_pascal
mailtest
  • Bij SPF-records wordt veel gerefereerd aan SPF-records van andere domeinen. De minst strikte policy van alle records is wat uiteindelijk geldt. Als er dus ergens een record staat met een ?all-policy, dan betekent het dat het resultaat is dat alle mailservers (ter wereld) de mail mogen versturen voor dit domein.
  • SoftFail (~all) werkt doorgaans niet, tenzij het een spoof van het eigen domein betreft. In de meeste gevallen is er echter geen effect.
  • Een HardFail (-all)heeft nog het meeste effect t.a.v. het blokkeren van e-mail, hoewel dit blokkeren zeker niet algemeen wordt gedaan.
  • De resultaten met SPF records zijn nog wat onvoorspelbaar. De verwachting is dat wanneer SPF- en DMARC-implementaties meer gemeengoed worden, deze ook uniformer worden en een voorspelbaarder effect zullen hebben. Complicerende factor is dat wanneer DMARC wordt gebruikt de SPF policy wordt overruled. De beste kans op effect is wanneer strikte policies worden gebruikt.

Meer weten?

In het rapport van de Internet-Security-Scan zie je de score van jouw maildomeinen op het vlak van afleverbaarheid, preventie van mail spoofing en detectie van misbruik. Het NCSC (Nationaal Cyber Security Centrum) adviseert om SPF, DMARC en DKIM te implementeren en legt in deze publicatie uit hoe het werkt.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten