Phishing blijft een van de grootste bedreigingen waarmee bedrijven wereld worden geconfronteerd. Helaas proberen te weinig mensen zich er effectief tegen te beschermen. En dat terwijl er beproefde strategieën en zelfs wereldwijde standaarden zijn voor e-mailbeveiliging.
Er zijn drie wereldwijde e-mailbeveiligingsstandaarden die iedere it-security officer moet kennen: sender policy framework (spf), domain keys identified mail (dkim) en domain-based message authentication, reporting and conformance (DMARC). Met deze standaarden gaan bedrijven phishing tegen. Voor alle drie moet de beheerder het e-maildomein van de afzender activeren in de dns via txt-vermeldingen (of als alternatief in de beheerconsole van de e-mailhostprovider).
Wanneer dat is gebeurd, kunnen ontvangers (eigenlijk hun e-mailservers of clients) van e-mails van geactiveerde domeinen aanvullende informatie controleren om te verifiëren dat een bepaalde e-mail daadwerkelijk afkomstig is van het e-maildomein. Afzenderdomeinen activeren deze protocollen zodat ontvangers kunnen controleren of de e-mails wel legitien zijn. Daarmee verzekeren ze zich ervan dat e-mails ook daadwerkelijk van hen afkomstig zijn.
De ontvangers activeren het op hun beurt om te kunnen controleren of een bepaalde e-mail ook echt van de afzender kwam. Dat betekent dat beide partijen de protocollen moeten hebben geactiveerd om het te laten werken. Het alternatief hiervoor is om alle e-mails te blokkeren die de eerste check niet halen, maar dit is niet compatibel met de gewenste gebruikerservaring en leidt ook tot veel false positives
Vormfactor
Spf voorkomt spoofing van het afzender-e-mailadres. Dit e-mailadres staat bekend als het 5321-adres (omdat het is gedefinieerd in RFC 5321, wat het simple mail transfer protocol definieert). Afhankelijk van de e-mailclient wordt het 5321-adres mogelijk niet altijd weergegeven. Dit geldt met name voor e-mailclients met een kleine vormfactor, bijvoorbeeld op smartphones.
Dkim voorkomt spoofing van het domein van het ‘Display From‘-e-mailadres (van RFC 5322, internet message form email standard). Het ‘Display From‘-adres wordt bijna altijd aan een eindgebruiker getoond bij het bekijken of openen van een e-mail. Vandaar deze naam.
Hoewel deze adressen kunnen verschillen in legitieme e-mails, is de kans groter dat ze anders zullen zijn in phishing-e-mails. Met spf en dkim kunnen e-mailontvangers ervoor zorgen dat de domeinen van een ontvangen e-mail ook echt van de e-mailservers van deze domeinen komen. Ze doen dit echter op heel verschillende manieren.
Dmarc is een aanvullende standaard die bedrijven die op hun spf- en dkim-records vertrouwen, vertelt hoe ze met onjuiste of vervalste e-mail moeten omgaan.
Hoe wordt spf gebruikt?
Met spf kunnen ontvangers controleren of het door de afzender opgegeven e-maildomein (het 5321-adresdomein) echt afkomstig is van de geautoriseerde e-mailservers (via het ip-adres) van dit domein. Afzenders activeren het voor hun domein door ten minste één dns-txt-item te maken. Bij het maken van de spf-dns-txt-vermelding moet er echter enige informatie beschikbaar zijn, waaronder: welke e-mailserver(s) elk gedefinieerd domein moeten verwerken en wat hun openbare ip-adressen zijn. Bij al deze technologieën is het niet de eindgebruiker die de onderwerpregels controleert of beslist om een bepaalde e-mail al dan niet te controleren. Dit wordt allemaal op de achtergrond gedaan door de ontvangende e-mailserver of -service.
Het gebruik van dkim
Dkim wordt gebruikt om te voorkomen dat de weergavenaam (adres 5322) van het domein van het e-mailadres van de afzender wordt vervalst. De ontvanger verifieert de digitale handtekening van het e-mailserverdomein die bij elke e-mail wordt verzonden. Het instellen van dkim is iets ingewikkelder dan spf. Om dit te doen, moet de e-mailserver/-service van de afzender enigszins worden aangepast. De afzender moet een cryptografische openbare en privé-sleutel maken of ontvangen. Hij moet het op zijn e-mailserver of -service installeren en vervolgens een dns-txt-record maken dat zijn openbare sleutel bevat. Elke uitgaande, verzonden e-mail wordt ondertekend met de privésleutel van de e-mailserver, waarna de ontvangers de digitaal ondertekende e-mail kunnen verifiëren met de openbare sleutel van de afzender.
Hoe dmarc is te gebruiken
Dmarc is een aggregatieservice (of de afzender nu spf en dkim gebruikt of niet) en geeft aanbevelingen over hoe een mislukte of vervalste e-mail af te handelen. Net als zijn ‘collega’s wordt dmarc door de afzender in dns ingesteld als een txt-record.
Het komt ook weleens voor dat legitieme e-mails de controles van de genoemde standaarden niet doorstaan en worden geblokkeerd. Dit komt doordat een ontvanger iets verkeerd heeft geconfigureerd of de e-mail zodanig is gemanipuleerd dat het een of meer van de tests niet doorstaat. Om te voorkomen dat belangrijke e-mails verloren gaan of niet aankomen, kan de optie om de e-mails in een beveiligde omgeving te kunnen openen worden geselecteerd. In plaats van e-mails te ‘rejecten’, moeten ze in ‘quarantaine’ worden geplaatst.
Conclusie
Spf, dkim en dmarc zijn om vele redenen niet de perfecte oplossing voor dit complexe probleem, maar wel een eerste hulpmiddel om het aantal phishingmails te verminderen. Om te voorkomen dat ook legitieme e-mails worden geblokkeerd, dienen de standaarden zo te worden ingesteld dat elke mislukte e-mail opnieuw grondig wordt onderzocht in een quarantaine-omgeving. Iedere ontvanger kan vervolgens met behulp van de it-beveiligingsafdeling controleren of de e-mail legitiem is – of niet natuurlijk.
