“De e-mailbeveiliging op het Binnenhof is lek.” stelt Follow the Money. Een onderzoeksjournalist van dit online magazine onthulde gister dat zij vanuit de officiële e-mailadressen van verschillende kamerleden e-mails hebben verstuurd. En dat er onvoldoende technische maatregelen zijn getroffen om dergelijke e-mails als frauduleus te markeren. Met een simpele ingreep heeft de overheid dit probleem in dezelfde nacht verholpen. Maar moet u zich zorgen maken over deze kwetsbaarheid in e-mailinstellingen?
Welke kwetsbaarheid brengt dit aan het licht?
E-mail is sinds het ontstaan nooit ontworpen als veilig middel om informatie tussen gebruikers uit te wisselen. Toch zijn er voldoende middelen beschikbaar om e-mails betrouwbaar van verzender naar ontvanger te vervoeren.
De technische handelingen die dit vraagt zijn klein; met 15 tekens in een DNS record (“v=spf1 mx –all”, zie MXToolbox voor een uitleg) is een eerste stap in de beveiliging gezet. Dit is een goede eerste stap.
Voordat je kan beperken wie mail mag sturen namens een domein, moeten alle diensten die e-mails mogen verzenden in kaart worden gebracht.
De gevolgen voor gebruikers kunnen groot zijn. ineens komen e-mails die de gebruiker thuis verzend bij de ontvanger in de spambox. De veelvoorkomende tegenstelling in IT-beveiliging komt hierbij naar voren: gebruikers willen zo min mogelijk gehinderd worden maar de infrastructuur moet voldoende dichtgetimmerd zijn. Tóch zou de afweging in het voordeel van IT-beveiliging moeten worden gemaakt.
Wat kan u doen?
Het valideren of een e-mail rechtmatig verzonden is gebeurt aan twee kanten. Bij het verzenden moeten voldoende maatregelen getroffen worden om een e-mail als valide te kunnen herkennen.
- Authenticatie: zorg ervoor dat e-mails alleen verzonden kunnen worden vanuit uw mailserver als de verzender een gebruikersnaam en wachtwoord heeft.
- SPF, DKIM en DMARC: zorg ook dat op te vragen is welke mailservers namens uw domein mogen verzenden.
- Spamfilters: bij het ontvangen van e-mails moet gecontroleerd worden of de e-mail vanuit een gevalideerde mailserver is verzonden. Spamfilters gebruiken dit als effectieve methode om ongewenste e-mail te voorkomen.
Het verzenden en ontvangen van e-mail wordt vaak als hetzelfde gezien. U gebruikt één programma voor verzenden en ontvangen van e-mails. Vaak gebruikt u één aanbieder waarmee uw e-mails worden verzonden en ontvangen. Maar als we kijken naar de techniek zijn het verzenden en ontvangen van e-mails twee gescheiden processen, elk met een eigen protocol en service die de verzoeken afhandelen.
Authenticatie
E-mails worden verzonden door een SMTP-server. De SMTP-server kan geïnstrueerd worden enkel e-mails te verzenden als de verzender zich met een gebruikersnaam en wachtwoord heeft geïdentificeerd. De mailserver kan dan ook ingesteld staan om enkel vanuit dat domein of dat e-mailadres e-mails te verzenden. Microsoft Exchange biedt deze optie bijvoorbeeld al standaard aan.
SPF, DKIM en DMARC
Met SPF (Sender Policy Framework) wordt in de DNS-gegevens van het domein een TXT-record opgenomen. Dit record bevat een uitleg welke servers namens dit domein e-mails mogen verzenden. Geef hier bijvoorbeeld de eerdergenoemde SMTP-server op. Maar denk ook aan contactformulieren op websites of de partij die marketingcampagnes verzorgt.
DKIM (Domain Key Identified Mail) is een variant waarin in een DNS-record een key wordt opgenomen. De verzendende mailserver verwerkt ook een key in de e-mail. Met een combinatie van deze twee kan de validiteit van de e-mail worden gecontroleerd. DKIM is een variant op SPF-records die, als er veel verschillende partijen verantwoordelijk zijn voor het verzenden van e-mails, tot een beheersbare situatie kan leiden.
Met DMARC (Domain-based Message Authentication, Reporting and Conformance) is het mogelijk om op te geven hoe de eigenaar van het domein verwacht dat mailservers en spamfilters omgaan met berichten die namens het domein worden gestuurd. Het is een suggestie aan ontvangende e-mailpartijen hoe streng om te gaan met de e-mailvalidatie, maar ook wanneer foutieve e-mails gerapporteerd dienen te worden.
Spamfilters
Bovenstaande maatregelen voorkomen niet dat uw e-mailadres als verzender kan worden gebruikt door een kwaadwillende. Om te zorgen dat eerdergenoemde maatregelen effect hebben, dient de ontvangende mailserver te controleren of de e-mail rechtmatig verzonden is. Door gegevens op te vragen die staan opgeslagen in het SPF- of DKIM-record kan de e-mailserver controleren of de e-mail van de verzender afkomstig is.
Deze taak ligt vaak bij spamfilters, die als taak hebben onrechtmatige e-mails uit de inbox van de gebruiker te houden. Het is dan ook zeker verstandig te controleren of de e-mailserver SPF- en DKIM-records controleert en afhandelt volgens DMARC-richtlijnen.
Moet u zich zorgen maken?
Ja. Het artikel van Follow the Money bewijst hoe makkelijk het is een e-mail te sturen die door de ontvanger vertrouwd wordt. Omdat iedereen kan inzien of een SPF of DKIM-record is ingesteld voor uw domein weten kwaadwillenden vooraf of een poging tot phishing effectief is of niet.
True engineers en specialisten controleren graag samen met u de instellingen van uw domein zodat u weet op welke manier u beveiligd bent tegen spoofing. Dien een ticket in via TrueCare en wij kijken samen met u naar uw instellingen en mogelijkheden.
Lees ook hoe SIDN DKIM en DMARC inzet tegen phishing. NOS volgt met een opsomming van andere instanties waar de e-mailbeveiliging ook voor verbetering vatbaar is. Lees ook over mogelijkheden om uw e-mailberichten te versleutelen.
E-book: veilig gedrag en slimme technologie
IT-security gaat over veilig gedrag en slimme technologie. Hoe bereik je de goede balans tussen menselijk gedrag, processen en technologie? In het e-book zoomen we in op de volgende onderwerpen:
- Veiligheid is meer dan technologie
- Hoe bereik je compliance en security?
- Oplossingen en tools
- Checklist #1: Ga de uitdaging aan
- Checklist #2: Is mijn IT-securityplan compleet?