image

Oproep voor wereldwijde uitrol van DMARC voor e-mail

vrijdag 17 februari 2017, 08:44 door Redactie, 23 reacties

Het is de hoogste tijd dat de DMARC-standaard voor e-mail wereldwijd wordt uitgerold en it-beveiligingsbedrijven moeten het goede voorbeeld geven, zo stelt de Global Cyber Alliance (GCA). DMARC (Domain-based Message Authentication, Reporting and Conformance) is een standaard die door vijftien vooraanstaande internetbedrijven werd ontwikkeld, waaronder Microsoft, Facebook, LinkedIn en Google.

Het is een systeem dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt.

Grote e-mailproviders zoals Gmail en Yahoo ondersteunen DMARC, maar dat geldt niet voor bedrijven en overheden. Zo blijkt dat vijf procent van de domeinen in de Britse publieke sector DMARC heeft ingeschakeld en bij de gezondheidssector in het land is dit zestien procent. De GCA keek naar 587 e-maildomeinen van it-beveiligingsbedrijven die deze week de RSA Conferentie in San Francisco bezochten. Slechts vijftien procent maakt gebruik van DMARC. Daarnaast blijkt dat de standaard vaak niet goed is geïmplementeerd, wat de effectiviteit vermindert.

Uit onderzoek zou echter blijken dat blijken dat organisaties die op de juiste wijze met DMARC werken 77 procent minder e-mailaanvallen ontvangen dan organisaties die DMARC helemaal niet gebruiken. Begin deze maand lanceerde de Nederlandse overheid en bedrijfsleven een coalitie voor veilig e-mailen, die misbruik zoals phishing en het afluisteren van e-mail moet tegengaan. De coalitie maakt zich onder andere sterk voor het invoeren van DMARC.

Reacties (23)
17-02-2017, 09:19 door Anoniem
DMARC gebruik je alleen in situaties waarbij het echt noodzakelijk is, zoals bij banken. Het risico van blokkeren van gewenste mail is groot.

Het nut van sommige toepassingen is betrekkelijk. Microsoft host voor veel bedrijven email wat ertoe kan leiden dat de ene klant mail voor de andere klant kan spoofen (SPF). Het zegt dan ook niets wat de bron van de email is als er massaal van dezelfde servers gebruik wordt gemaakt. Gmail is een van de grootste bronnen van spam, phishing en scams. DKIM klopt helemaal, het heeft alleen geen waarde. Geauthenticeerde rommel is nog steeds rommel.

Host je eigen server als je security en authenticatie belangrijk vind.

Er zijn zelfs banken die hun leveranciers toestaan voor hen te mailen, zoals KNAB. Hun inkomende mail wordt afgehandeld door een Belgisch bedrijf. Ze staan Microsoft en andere hosting en marketing bedrijven toe mail te versturen volgens SPF. Geen DKIM, geen DMARC op hun communicatie naar klanten.
17-02-2017, 10:13 door Anoniem
"Microsoft host voor veel bedrijven email wat ertoe kan leiden dat de ene klant mail voor de andere klant kan spoofen (SPF). Het zegt dan ook niets wat de bron van de email is als er massaal van dezelfde servers gebruik wordt gemaakt"

Volgens mij is dit juist wat DMARC oplost of heb ik het verkeerd?
17-02-2017, 10:21 door Anoniem
@Anoniem: Onzin, als je DMARC goed uitrolt is dat risico er bijna niet. De p=none is niet voor niks geimplementeert. Testen mogelijkheden e.d. Daarnaast geeft het een veel betere inzage in je eigen mailstromen, iets wat zeker bij grotere bedrijven nog wel eens een probleem kan zijn.

Tevens lijk je niet te begrijpen wat DMARC nu echt is. DMARC is namelijk *geen* spamfilter. Het is een manier om te valideren dat de afzender ook echt de afzender is, spammers kunnen dat uiteraard ook doen.
17-02-2017, 11:11 door Anoniem
Een "coalitie voor veilig e-mailen" die niet eens praat over GPG/PGP weet niet waar ze over praat.
17-02-2017, 11:24 door Anoniem
Hmmm, ben er niet helemaal in thuis. Maar die spammers stellen gewoon spf goed in, dan stellen ze gewoon dmarc in. Of gaan we die spammers dan eindelijk ook domeinnaamregistraties weigeren?

Microsoft kan meer bereiken, door de spam van outlook.com te limiteren, daar heb ik pas last van. Google Gmail spam trouwens ook.

Beetje vreemd als ze hun eigen zaken niet eens op orde hebben, dan maar anderen te gaan adviseren.
17-02-2017, 11:35 door Anoniem
"Tevens lijk je niet te begrijpen wat DMARC nu echt is. DMARC is namelijk *geen* spamfilter. Het is een manier om te valideren dat de afzender ook echt de afzender is, spammers kunnen dat uiteraard ook doen."

Je zegt eigenlijk: dan moet je DMARC maar niet gebruiken als filter. Waarvoor dan wel?

Tevens begrijp je niet dat het de ontvanger is die filtert en dat de afzender daar niets over te zeggen heeft.
17-02-2017, 12:07 door Briolet - Bijgewerkt: 17-02-2017, 14:20
Door Anoniem: Er zijn zelfs banken die hun leveranciers toestaan voor hen te mailen, zoals KNAB. Hun inkomende mail wordt afgehandeld door een Belgisch bedrijf. Ze staan Microsoft en andere hosting en marketing bedrijven toe mail te versturen volgens SPF. Geen DKIM, geen DMARC op hun communicatie naar klanten.

Slechte zaak. Ook als je het uitbesteed, kun je de mail goed ondertekenen. Ziggo doet dat ook bij hun mailings. Ik neem aan dat de verzender de mail ondertekend, maar de publieke sleutel hiervan wordt door Ziggo gepubliceerd. Dat is gewoon een kleine extra handeling die slecht eenmalig moet doen als je de sleutel veranderd.
Mail uitbesteden is dus geen excuus om geen DMARC te gebruiken.

----

Zelf gebruik ik DMARC nu een jaar, gewoon omdat de mailserver dit ondersteunt. Van de week viel me op dat Apple dit nog steeds niet goed ondersteunt. In de header van een mailtje naar mijn iCloud.com account vond ik:

spf=pass;dkim=pass;dmarc=absent/(noPolicy);

Heel vreemd dat 'absent' omdat ik van gmail, hotmail, xs4all, proximus etc altijd mailtjes terug krijg over mijn verzonden mail. DMARC is dus goed geconfigureerd, maar Apple herkent dat niet. Nu beweren ze ten onrechte dat de afzender geen policy heeft.

(edit: typo)
17-02-2017, 12:07 door Anoniem
Door Anoniem: "Microsoft host voor veel bedrijven email wat ertoe kan leiden dat de ene klant mail voor de andere klant kan spoofen (SPF). Het zegt dan ook niets wat de bron van de email is als er massaal van dezelfde servers gebruik wordt gemaakt"

Volgens mij is dit juist wat DMARC oplost of heb ik het verkeerd?

Niet echt. DMARC zorgt voor nog meer problemen dan er al waren door uiteenlopende redenen. Het lost niets op, behalve voor een select groepje verzenders, zoals banken en anderen met hoofdzakelijk financiele belangen. Zij hebben baat bij anti-phishing maatregelen en nemen de nadelen voor lief.

@Vandaag, 10:21 door Anoniem
Als je niet filtert, heb je er ook weinig aan.

@Vandaag, 11:24 door Anoniem
SPF/DKIM werd als eerste massaal door spammers gebruikt om hun rommel langs filters te krijgen. Het geeft de mail de schijn van betrouwbaarheid. Google raadt massaverzenders aan DMARC te gebruiken. Deja vu.
17-02-2017, 13:56 door devias
...
Niet echt. DMARC zorgt voor nog meer problemen dan er al waren door uiteenlopende redenen. Het lost niets op, behalve voor een select groepje verzenders, zoals banken en anderen met hoofdzakelijk financiele belangen. Zij hebben baat bij anti-phishing maatregelen en nemen de nadelen voor lief.

....

Er is maar één nadeel aan DMARC en dat is dat het niet lief samenwerkt met mailinglijsten (forwarden van mail met een footer, vaak). Enerzijds hebben ze nu al aanpassingen in die mailinglijst software gemaakt (niet ideaal). Verder zijn ze nu druk bezig om het echte probleem op te lossen (dmv de ARC techniek).

Bij onze webapplicatie kan je al zelf je authenticatie voor DMARC instellen. Het is niet moeilijk. Dus... Noem de problemen maar eens op.

Verder is het zo dat ook allerlei kleine organisaties al last hebben van phishing. Het is echt niet alleen bij de grote partijen.

En als je het nog niet door had: Geen DKIM/SPF => hogere spamscore bij Google en Microsoft.
17-02-2017, 14:36 door Anoniem
Is dit allemaal ingegeven door de recente vermeende "Russische" phishing mail aanvallen, waar we nu zo bang voor moeten zijn en nieuws dat nu opeens zo gehypet wordt door onze cybersecurity guru's, de westerse dan wel te verstaan.

Laat men eerst maar eens iets doen aan de brakke dienstverlening die de infrastructuur blijvend onveilig houdt, de faciliterende diensten a la GoDaddy, Cloud diensten etc. waar men graag gebruik van maakt om de problemen, die men door eigen incompetentie niet aan kan, door te schuiven. Zij wassen echter de handen in onschuld.

Maak eens werk van die infrastructuur beveiliging verbeteringsslag. Het is allemaal te weinig en te laat. Hoe lang blijft M$ nog zitten op de dubbele extensie onveiligheid bijvoorbeeld als infectie probleem?

Het lijkt wel of er bepaalde belangen zijn om de a priori onveiligheid in stand te willen houden, dus weer een preek tegen dovemansoren gericht?
17-02-2017, 16:55 door Anoniem
Door Anoniem: Een "coalitie voor veilig e-mailen" die niet eens praat over GPG/PGP weet niet waar ze over praat.

Of ze beseffen zich maar al te goed dat die oplossing nooit werkt voor de grote groep mensen die geen IT-achtergrond hebben.
17-02-2017, 17:03 door Anoniem
Door Anoniem: DMARC gebruik je alleen in situaties waarbij het echt noodzakelijk is, zoals bij banken. Het risico van blokkeren van gewenste mail is groot.

Stel dat jij eigenaar bent van example.nl; dan is het toch wel fijn als niemand behalve een beperkte set servers waar jij afspraken mee maakt kan mailen namens jou, toch?

En SPF alleen is natuurlijk niet voldoende, goede DKIM en DMARC hoort er gewoon bij om het te beperken tot alleen jouw keuze. En doe je toch alleen je SPF en kies je bv. je genoemde Microsoft server, dan zal die echt niet zo snel spam gaan verzenden, daar hebben ze wel andere maatregelen voor (net als amazon, google etc.).

Kijk nog maar eens goed naar je spam-folder en check maar eens waar die rommel echt vandaan komt, dan leg je andere conclusies.
17-02-2017, 18:39 door Anoniem
Door Anoniem:
Door Anoniem: Een "coalitie voor veilig e-mailen" die niet eens praat over GPG/PGP weet niet waar ze over praat.

Of ze beseffen zich maar al te goed dat die oplossing nooit werkt voor de grote groep mensen die geen IT-achtergrond hebben.

Nee. PGP is een systeem waarbij autenticatie en encryptie op basis van individuen geregeld wordt. Het werkt prachtig als je binnen een kleine groep bekenden email verstuurd. Maar dan heb je ook geen spam issue: alles wat je niet kent gooi je weg.

Het grote probleem van PGP is dat het niet schaalbaar is richting onbekenden: hoe weet je dat een PGP gesignde email van een onbekende zender betrouwbaar is? Het is voor een spammer heel eenvoudig om een PGP key te gebruiken. En als je maar voldoende spammers elkaars key laat signen dan lijken het ook nog betrouwbare keys.

Het antwoord hierop is bewijs leveren dat het door een betrouwbare partij (ipv. betrouwbare persoon) verzonden is. En die betrouwbaarheid wordt gerealiseerd door het aan een domein naam te koppelen. Dat is wat je doet met SPF, DKIM en DMARC:
SPF geeft aan wie namens een domein mag versturen (alleen eigen IP adressen of ook met name genoemde anderen
DKIM laat email digitaal ondertekenen, waardoor je kan valideren of de email wel echt van het betreffende domein komt
DMARC gebruik je om aan te geven hoe er met gespoofde email omgegaan moet worden.

Als geheel stelt het een ontvanger in staat om te valideren of email legitiem is:
- is het verstuurd door een server die bij het domein hoort? (SPF record)
- is er tijdens transport iets met het bericht gebeurd? (DKIM signature)
- wat moet ik doen met email die niet klopt (DMARC)
Vooral die laatste is interessant: als ik email krijg van "bedrijfx.nl" maar er klopt iets niet (het is niet gestuurd door een toegestane server, of er is iets met de signature) dan kan ik "bedrijfx.nl" ook informeren dat er iets niet klopt (bv. dat iermand hun domein spooft).

En nee, het is zelf geen spam/phishing filter, maar het kan wel ondersteunend zijn: zo kan je het subject van een email aanpassen (bv. "Let op: misschien spam!" toevoegen) als er iets dubieus vastgesteld wordt.

Q
17-02-2017, 18:55 door Anoniem
Door Anoniem: Is dit allemaal ingegeven door de recente vermeende "Russische" phishing mail aanvallen,
Nee eerder door de "executive e-mail oplichting".
Als iedereen zomaar een mail kan sturen alsof hij je directeur is dan loop je nogal een risico. DMARC kan dat verminderen.
17-02-2017, 20:22 door Anoniem
@devias
Bij onze webapplicatie kan je al zelf je authenticatie voor DMARC instellen. Het is niet moeilijk. Dus... Noem de problemen maar eens op.

Ok, bij jouw is het kennelijk opgelost, is dat dan zo voor de hele wereld?

Als je de nadelen van SPF/DKIM/DMARC niet kan opnoemen moet je er niet aan beginnen. De meeste gevolgen zie je niet zo makkelijk als je misschien denkt.

En als je het nog niet door had: Geen DKIM/SPF => hogere spamscore bij Google en Microsoft.

Googles spamfilter heeft enorm veel false positives.

@Vandaag, 18:55 door Anoniem
Targeted phishing aanvallen op directeuren gaat in de helft van de gevallen niet gepaard met gebruik van je eigen domein. Ze gebruiken wel een valse display name en soms zelfs een typo squatted domeinnaam. Ze gebruiken Gmail, Aol en gehackte accounts bij ISP's.

Grote kans dat een beheerder zichzelf in de voet schiet en dat er iets gaat schorten aan de bezorgbaarheid van je eigen mail. Het risico dat het misgaat is groter dan een potentiele voordeel voor de meeste bedrijven. Het gaat immers om alle mail, niet alleen om een paar phishing mails. Schieten met een kanon op een mug is niet zo'n goed idee.

Ook normale bankphishing gebruikt zelden het echte bankdomein als afzender. Maar daar is de potentiele impact groter, dus banken moeten wel voldoen aan alle mogelijke controlemaatregelen. De positieve identificatie van bank email kan ook helpen tot op zekere hoogte. Je moet dan wel zeker weten dat het domein van de bank is.
17-02-2017, 21:01 door Anoniem
DMARC is gewoon uitgevonden als kartel voor grote toko's die zelf aan E-mail diensten doen, zodat je bij die toko's diensten moet afnemen om je functionaliteit te behouden...

Oh? jij wil emailen ? dan moet je DMARC gebruiken, anders kan het niet meer... nou, dan moet ik ook maar DMARC gebruiken... En toevallig kun je daarvoor bij GMAIL (Google) en Outlook/Office (Microsoft)...

Er zal wel een koppeling zijn met linkedin en facebook die ik nog niet weet... maar aangezien ze authenticatie pushen via facebook lijkt het me een kwestie van tijd totdat facebook ook een email service gaat beginnen.
17-02-2017, 22:23 door Anoniem
Door Anoniem: DMARC is gewoon uitgevonden als kartel voor grote toko's die zelf aan E-mail diensten doen, zodat je bij die toko's diensten moet afnemen om je functionaliteit te behouden...

Oh? jij wil emailen ? dan moet je DMARC gebruiken, anders kan het niet meer... nou, dan moet ik ook maar DMARC gebruiken... En toevallig kun je daarvoor bij GMAIL (Google) en Outlook/Office (Microsoft)...

Er zal wel een koppeling zijn met linkedin en facebook die ik nog niet weet... maar aangezien ze authenticatie pushen via facebook lijkt het me een kwestie van tijd totdat facebook ook een email service gaat beginnen.

Dit is toch wel een dieptepunt in onzin zeg. Een open standaard degraderen tot een marketing iets.
18-02-2017, 00:14 door Anoniem
DMARC zet je gewoon in. Maar zolang grote bedrijven zoals Goolge en Microsoft geen DNSSEC inzetten, Is de betrouwbaarheid van deze oplossing in het geding.
18-02-2017, 00:37 door Briolet
Door Anoniem: […- wat moet ik doen met email die niet klopt (DMARC)
Vooral die laatste is interessant: als ik email krijg van "bedrijfx.nl" maar er klopt iets niet … dan kan ik "bedrijfx.nl" ook informeren dat er iets niet klopt

Nog sterker.:
Jij, de ontvanger, hoeft de afzender niet te informeren, maar alle grote mailservers informeren de eigenaar van het domein dat er DMARC fails zijn. Als eigenaar van een domein heb je dan direct in de gaten als er valse mail in jouw naam verzonden wordt, zelfs als je de ontvanger niet kent of als de ontvanger er niets zelf over terugkoppelt.

Je kunt ook zien wat de IP adressen zijn van de servers die deze valse mail versturen, zodat je direct kunt reageren als je plots een toename ziet. Standaard krijg je dagelijks een rapport, maar je kunt ook een hogere frequentie voor de rapporten instellen.
18-02-2017, 01:45 door Anoniem
Als je een professionele email provider gebruikt hoef je eigenlijk alleen maar je DNS records in te stellen. Dan is het gebruiken van DKIM en DMARC super simpel.
18-02-2017, 09:41 door Anoniem
Door Anoniem: DMARC is gewoon uitgevonden als kartel voor grote toko's die zelf aan E-mail diensten doen, zodat je bij die toko's diensten moet afnemen om je functionaliteit te behouden...

Oh? jij wil emailen ? dan moet je DMARC gebruiken, anders kan het niet meer... nou, dan moet ik ook maar DMARC gebruiken... En toevallig kun je daarvoor bij GMAIL (Google) en Outlook/Office (Microsoft)...

Er zal wel een koppeling zijn met linkedin en facebook die ik nog niet weet... maar aangezien ze authenticatie pushen via facebook lijkt het me een kwestie van tijd totdat facebook ook een email service gaat beginnen.

Meer onzin heb ik zelden bij elkaar gezien in 1 reactie.
18-02-2017, 10:14 door Anoniem
Door Anoniem: Een "coalitie voor veilig e-mailen" die niet eens praat over GPG/PGP weet niet waar ze over praat.
Of juist wel?
PGP is veel te complex om te gebruiken.
Slechte centrale key management.
Webclients / clients die het standaard niet ondersteunen.

Als ze iets secure willen gebruiken ga dan voor iets van S/MIME voor signing. Dat ondersteunden de meeste clients. Al valt de ondersteuning ook tegen voor een grote uitrol. En de zelfde S/MIME techniek kan gebruikt worden voor encryptie.

Ik denk dat ze het dus een heel stuk beter begrijpen, dan de poster van deze post.
18-02-2017, 19:51 door Anoniem
Doe maar gewoon een brief op dode boom. Ik ben wel klaar met die digi-dwang.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.