08-06-2016, 17:05 door Anoniem: Dat zou natuurlijk kunnen. In een ideale wereld heeft iedereen DKIM, SPF en DMARC records ingericht en worden dergelijke emails vanaf valse domeinnamen door spamfilters ertussenuit gehaald, maar helaas zal dat niet (gauw) gebeuren.
Nee, en wanneer spammers vrij zijn in het aanschaffen van een willeurig domein kunnen ze dat domein voorzien van DKIM, SPF, etc.
Dat is niet eens nodig.
In de
meest ideale situatie (en die heb je zelden) beschermt
uitsluitend de combinatie van SPF+DKIM+DMARC
hooguit één specifieke e-mail afzenderdomeinnaam (d.w.z.
example.com uit het fictieve e-mail adres
voorbeeldafzender@example.com).
Die combinatie van SPF+DKIM+DMARC records voor één domeinnaam heeft
geen enkele invloed op iets afwijkende "klinkt als" of "lijkt op" domeinnamen zoals
example.nl,
example.net of
com.example.
Als de ontvanger van een e-mail zich al realiseert dat zij/hij op de
domeinnaam van de afzender van een e-mail moet letten (en die domainnaam überhaupt zichtbaar is in de gebruikte e-mail client), moet zij/hij zich
daarnaast ook nog realiseren
en weten dat uitsluitend icscards.nl en
icscardsonline.nl (voor zover ik weet zijn dat slechts die twee, maar hoe je betrouwbaar kunt vaststellen of en welke
andere e-mail domeinnamen tot een organisatie behoren, weet ik niet) legitieme e-mail afzenderdomeinnamen zijn voor de organisatie met als website
https://www.icscards.nl/.
M.a.w. zij/hij moet zich realiseren dat e-mails, die verzonden zijn (of
lijken te zijn;
zonder voor die domeinnaam geregistreerde SPF+DKIM+DMARC records is dat doodsimpel) van een (iets)
afwijkende domeinnaam, hoogstwaarschijnlijk
niet afkomstig zijn van de
veronderstelde organisatie (
https://www.icscards.nl/).
En
als zij/hij op een link in zo'n mail klikt, moet zij/hij zich realiseren dat als de URL van de website niet begint met
https://www.icscards.nl/ (let daarbij goed op die laatste slash, want
https://www.icscards.nl@example.com of
https://www.icscards.nl.example.com zijn totaal andere sites), het niet om de juiste site gaat.
OOK NIET als die website een correct certificaat heeft en, zondet certificaatfoutmeldingen, een slotje getoond wordt (zoals
www.icscardonline.nl recentelijk had, zie [1]) en als twee druppels op de verwachte website lijkt.
Kortom, DPF+DKIM+DMARC records voor
icscards.nl bieden
geen enkele bescherming tegen e-mails verzonden door
maaknietuit@mijnicsactiveren.su (zowel werkelijk als schijnbaar). Als de ontvanger niet weet dat
mijnicsactiveren.su niet van International Card Services BV (ICS) is, en na het klikken op de link in de mail de URL in de webbrowser
http://www.mijnicsactiveren.su/, of zelfs
https://www.mijnicsactiveren.su/ met slotje, niet als nep herkent, is zij/hij kansloos.
[1]
https://www.security.nl/posting/471357/ICS+Phishing+spamrun