Overheid en bedrijven in een zin.. Dat is nooit goed!

Laat ze zelf eerst eens aan DMARC gaan doen...

Zolang in een spf record nog steeds een ~ (softfail) staat i.p.v. - (hardfail) gaat het niet zo veel zin hebben. Softfail is ooit bedoeld voor test doeleinden, maar de meeste gebruiken dit gewoon voor productie.
Bovendien is er bijna geen partij die het aandurft om ook bij een softfail mail te weigeren. Heb zelf wel weigeren bij softfail aangezet binnen de organisatie en het is schokkend om te zien hoeveel bedrijven het record niet op orde hebben.

Vaak ontbreekt de juiste mailserver in het record, of staan er te veel lookups in het record, is er meer dan 1 record en dan er zijn nog bedrijven die helemaal geen spf record hebben.

Er zouden gewoon strakke richtlijnen moeten komen waar je aan moet voldoen als je een mailserver wilt gebruiken. Voldoe je hier niet aan, dan kan je gewoonweg niet mailen. Helaas kan je nu maar wat aanklooien, mail komt over het algemeen toch wel aan. Helaas betekend dit dat spam, phishing en malware ook nog steeds vrij spel hebben en we het, de criminelen die zich hiermee bezig houden, wel erg makkelijk maken.

Zullen we eerst eens beginnen met de heiliging van het briefgeheim voor email, gewoon even wettelijk regelen a.u.b.

Too little, too late. Inmiddels hebben wereldwijd vele duizenden bedrijven commerciële toepassingen ontwikkeld voor veilig e-mailen. Omdat al deze systemen niet met elkaar kunnen communiceren komt het er vaak op neer dat inhoud van mails ingepakt worden op een gateway en alleen een https link voor toegang tot de gateway in de feitelijke mail wordt geplakt. Qua usability natuurlijk rampzalig, weer een account voor iedere organisatie die hier gebruik van maakt.

Beveiliging implementeren blijft lastig voor sommigen. Ik kreeg net een telefoontje van een klant dat zijn mail naar ons steeds bounced. Na een blik in mijn maillog zie ik dat hij via een strikt policy in zijn SPF record ingesteld heeft dat hij geen mail mag verzenden vanaf het IP adres dat hij gebruikt.

Eigenlijk vreemd dat hij überhaupt nog mail kan verzenden. Blijkbaar negeren de meeste andere mail ontvangers zo'n strikt policy. Slechte zaak!

Afz FB

En ik juich dit toe. Ik ben blij dat er aandacht is voor dit onderwerp.
Ik ben wel benieuwd of en in hoeverre de genoemde concepten bruikbaar zullen zijn voor de niet-opgeleide particulier.
Zelf zie ik meer in het gebruik van certificaten die mensen zelf in bezit hebben. Bijv de combinatie van
- Overheidscertificaten op identiteitsbewijzen
- Attributen voor specifieke doeleinden (zoek naar 'IRMA')

Het probleem is juist dat men probeert dit op server niveau, verborgen voor de gebruiker probeert op te lossen. De gebruiker moet duidelijke informatie krijgen die aangeeft of de mail geverifieerd van de geclaimde verzender is. Zolang die informatie niet voorhanden is kan een gebruiker nooit een goede beslissing nemen - en is hij eigenlijk niet verantwoordelijk te houden voor die beslissing.

Laat ik die techniek al tijden bij de open standaarden als verplichting zien staan. Waarom is er al die tijd niets mee gedaan?

Er zijn te veel problemen met SPF en het gaat te makkelijk stuk, als gevolg hiervan heeft SPF alleen totaal geen zin meer heeft, ongeacht de hard of soft fail. Het word, terecht, volledig genegeerd behalve als overweging voor DMARC alignment.

Zelf filteren op DKIM alleen (ie. ongeldige DKIM signature = spam) geeft al aardig wat false positives. SPF is een stuk makkelijker te doen en gaat dus overweldigend veel vaker fout.

Helaas, zelfs de combinatie van SPF, DKIM, DMARC, STARTTLS en DANE gaat phishing niet voorkomen.

Afgelopen zondag nog ontving ik 3 e-mails met de volgende karakteristieken:
From: ICS Fraudepreventie
Subject: Uw Creditcard is gedeactiveerd

Pas als ik goed kijk wie de geclaimde SMTP afzender is (From en Return-Path) in die 3 mails, en vanaf welk IP-adres ze zijn verzonden, zie ik het volgende (waarbij ik steeds "@" door een "." heb vervangen om degenen wiens afzenderadressen zijn misbruikt, niet nog meer spam te bezorgen):




Zelfs als ontvangende mailservers van alle potentiële ICS klanten SPF, DKIM, DMARC, STARTTLS en DANE zouden implementeren (correct natuurlijk), kan icscards.nl door zelf SPF, DKIM, DMARC, STARTTLS en DANE in te zetten deze ellende nooit voorkomen.

[1] http://www.abuseat.org/lookup.cgi

Persoonlijk ben ik erg gelukkig dat er eindelijk actie ondernomen wordt, graag had ik het eerder gehad. Namelijk in 2012 toen de DMARC standaard gepubliceerd werd.

Door de druk van de toenmalige contributors van de DMARC standaard zie je nu eigelijk dat er in versneld tempo mensen wakker worden. Waarvan het grijze vraagteken binnen Gmail de eerste zichtbare indicator KPN heeft gedwongen DKIM signing op de uitgaande mail van kpnmail.nl toe te passen.

In Nederland lopen de ISP's (behalve XS4ALL) en de hosting wereld gigantisch achter als het gaat om het toepassen van controle op e-mail authenticatie mechanismen. Door dit signaal richting de markt wordt benadrukt hoe belangrijk het is dat deze standaarden toegepast gaan worden, het gaat immers om bescherming.

Natuurlijk los je hiermee het lookalike probleem niet op of het misbruik van andere domeinen, maar je kan met behulp van deze technieken wel een vers geregistreerd domein bij een van de domeinnaam boeren dicht zetten. Zolang de klant niets met mail gaat doen kun je email technisch dit domein potdicht zetten. (zie hiervoor ook de M3AAWG parked domains best practice).

Het toepassen van email authenticatie is niet moeilijk, maar een implementatie hiervan moet wel zorgvuldig uitgevoerd worden. Plus is het een extra maatregel aan de achterdeur waar de mail richting het internet gaat.

Later zullen er toch weer andere risico's naar boven komen, echter zolang nog niet iedereen email authenticatie toepast blijft er een markt voor de phishers en andere cybercriminelen.

PS email authenticatie is mijn werk, toepassing van email standaarden en de verdere adoptie en evangelisatie ervan.

Helemaal goed Frans, ik ben het met je eens.
Afz AK

Helaas is de volgorde van belang omgekeerd in dit lijstje. Begin eerst eens met encryptie van transport.

Er zijn rijksoverheden die dat uit hebben staan.

Een coalitie lanceren? Dat is wel heel creatief taalgebruik. Of erg agressief, als je het al langer tijd vond voor een nieuwe regeringssamenstelling. Een campagne kun je wel lanceren en daar lijkt dit meer op. Maar hé, wie ben ik.