Door Redactie: Via DMARC kan worden gecontroleerd of e-mails van een legitieme bron afkomstig zijn.
Inderdaad "kan", en dat is ook ongeveer wat
https://www.gov.uk/government/news/record-number-of-fake-hmrc-websites-deactivated erover schrijft.
Dat "kan" is namelijk onder de voorwaarde dat DMARC op de zendende mailserver wordt gecombineerd met SPF of DKIM
en dat het verzendende domein al deze protocollen op veilige wijze heeft geconfigureerd.
En onder de voorwaarde dat hun systemen niet gehacked zijn of op andere wijze door cybercriminelen kunnen worden misbruikt (zie
https://www.security.nl/posting/567671/Phishingmail+die+om+DigiD+vroeg+maakt+200+slachtoffers#posting567969 voor een opmerkelijke configuratie bij "overheid.nl").
En zeker ook onder de voorwaarde dat alle betrokken ontvangende mailservers checken op deze protocollen en ernaar handelen, zonder daar een eigen invulling aan te geven (door alle vervelende bijwerkingen van deze protocollen -waaronder configuratiefoutjes op zendende mailservers-, zijn er veel ontvangende mailservers waarvan de beheerders toch maar iets anders geconfigureerd hebben - en daar heb je als zendend domein nou eenmaal weinig tot geen invloed op).
Door Redactie: Domain Message Authentication Reporting & Conformance (DMARC) is een standaard die spam en phishingmails moet tegengaan door misbruik van domeinnamen bij e-mail te voorkomen.
En dat is allemaal niet waar.
M.b.t. spam:
juist door dit soort leugens wordt er in toenemende mate spam verzonden vanaf wegwerpdomeinen waarop spammers de protocollen SPF, DKIM, DomainKeys en DMARC correct hebben geïmplementeerd, ofwel zij sturen spam vanuit gehackte of speciaal ervoor aangemaakte accounts bij o.a. Gmail en live.com. Het is een fabeltje dat deze protocollen spam voorkomen. Ze maken het spammers wel wat lastiger, maar ze maken het
alle legitieme mailverzendende domeinen minstens net zo lastig - omdat als je deze protocollen niet -of niet correct- implementeert, in toenemende mate ontvangende mailservers jouw mails als spam kunnen of zullen aanmerken.
M.b.t. phishing: met genoemde protocollen kan
een ontvangende mailserver met behoorlijke zekerheid aantonen dat een e-mail is verzonden vanaf een specifiek domein. Als het afzenderdomein vervalst is, kan de ontvangende mailserver de e-mail als spam behandelen.
Klinkt prachtig, maar helpt dit ook echt op de lange termijn? Nee.
De reden daarvoor is dat veel e-mail clients (met name op portable devices) het afzenderdomein in het
From: veld niet laten zien, en dat indien de e-mail client dat afzenderdomein
wel laat zien, ontvangers eenvoudig om de tuin geleid kunnen worden met "lijkt-op" domeinnamen (zie
https://www.security.nl/posting/567236/Overheid+waarschuwt+voor+phishingmails+die+om+DigiD+vragen#posting567294 voor voorbeelden van nep domeinnamen). In Groot Brittanië is dat overigens een stuk lastiger dan in Nederland, want e-mails van de Britse overheid hebben *.gov.uk als afzenderdomein (en het is extreem veel lastiger om als cybercrimineel een *.gov.uk domein geregistreerd te krijgen dan een *.nl domein).
Daarnaast, gebruikers zien in hun e-mail client
nergens aan (tenzij ze headers bekijken, wat onmogelijk is in de meeste mobiele clients en bovendien vaardigheden vereist) of een e-mail is verzonden met deze protocollen (met bijbehorende "striktheids opties"), en of de ontvangende mailserver daar conform RFC's op heeft gecheckt.
Kortom, het enige dat protocollen als SPF, DKIM, DomainKeys en DMARC
hooguit bewerkstelligen op ontvangende mailservers (mits zij daar conform specificaties op checken) is e-mails met:
1) authentiek afzenderdomein (ook nep klinkt-als domeinnamen dus!) doorlaten, meestal zonder dat de ontvanger weet of en welke checks hebben plaatsgevonden en wat wel/niet klopte (DMARC is OK als het afzenderdomein klopt in combinatie met
ofwel SPF
ofwel DKIM);
2) vervalst afzenderdomein blokkeren (het veiligste, maar dit gebeurt echt niet altijd) of als spam taggen - dat laatste natuurlijk met het risico dat gebruikers er alsnog mee aan de slag gaan, want ook legitieme mail komt wel eens in spamboxes terecht.
Suffe spammers en phishers die de protocollen SPF, DKIM, DomainKeys en DMARC niet (goed) begrijpen en/of goed impementeren hou je hier misschien mee tegen, maar slimme cybercriminelen niet. Spam hou je er op termijn niet mee tegen, en phishing
alleen bij ontvangers die weten hoe zij het afzenderdomein zichtbaar kunnen maken
en precies weten hoe het legitieme afzenderdomein van een specifieke organisatie moet luiden. Met de janboel aan *.nl domeinnamen vermoed ik: kansloos.