Door SecGuru_OTX: Als je deze hebt ontvangen, dan is je domein niet goed beschermd tegen Spoofing. (Zowel aanwezigheid van SPF en DMARC als controle hierop)

P.s. de variant is overigens niet nieuw.

Door Anoniem:
Welke domein is dan niet goed bescherm tegen Spoofing?
Hoe beveilig je je hier tegen?

Door SecGuru_OTX: Een SPF hard fail beleid, met een SPF inbound check, kan dit al voorkomen.

Door Bitwiper: Onzin.

Het enige dat kaal SPF kan voorkomen is een deel van de troep in jouw inbox als spammers jouw e-email adres in envelope-from hebben gespoofd. Het probleem zijn dan namelijk mailservers die eerst de mail aannemen (en de verbinding verbreken) om er daarna achter te komen dat de mail niet kan of mag worden afgeleverd (mailbox vol, account bestaat niet, of zelfs stom ingerichte servers met virus- en of spam-checkers die "stuur maar terug" roepen).

Alleen indien jouw afzenderdomein SPF is ingericht met -all (en niet met ~all zoals NCSC nog steeds adviseert in de PDF die je hier kunt downloaden: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html [*]), en de ontvangende MTA (Mail Transfer Agent = mailserver) dat verzoek honoreert -wat ze ook niet allemaal doen- krijg je in elk geval van die spammails geen NDR's (Non-Deliverable Reports) in jouw inbox.

Maar daar gaat het hier niet om: jij claimt dat SPF spam met gespoofd afzenderadres kan stoppen.

De spammer kan echter simpelweg het envelope-from adres laten afwijken van het (door veel mail clients niet eens getoonde) message-from adres. En heeft dan zelfs twee keuzes om ongemoeid gelaten te worden door SPF, namelijk door dat envelope-from adres (waar SPF op checkt):
1) Te vullen met een willekeurig gebruikers-ID @ afzenderdomein waar SPF voor klopt (voor elke spamverzendende zombie PC bestaat wel zo'n domein);
2) Geheel leeg laten (<> dus).

Je hebt minimaal de combinatie van SPF en DMARC nodig op zowel de zendende als de ontvangende MTA, waarbij de zendende MTA FAIL moet eisen bij afwijkingen en de ontvangende MTA dat moet honoreren. Die combinatie bestaat nauwelijks, niet een Gmail houdt zich hieraan.

Zoals ik o.a. in https://www.security.nl/posting/581046/porno+afpersmail+van+jezelf schreef: SPF plus DMARC en/of DKIM en/of DomainKeys zijn een lost race / verspilde moeite als niet iedereen ze keihard inzet - en dat gaat gewoon niet gebeuren door wat collateral damage.

En zelfs als dat allemaal perfect zou werken, heb je er niets aan als MUA's (Mail User Agents = email programma's inclusief webmail):
- Het domein in het afzenderadres niet tonen;
- En als ze dat wel doen, de ontvanger dat niet checkt of niet precies weet hoe die domeinnaam exact moet luiden.

Forget it.

[*] En ja, daar heb ik het NCSC op gewezen kort na het uitkomen van dat document; ze zouden het fixen bij de eerstvolgende versie - die nooit kwam. Waardoor het een waardeloos, sterker: stompzinnig misleidend, document was en is gebleven. Want als 1 onderdeeeltje van SPF+DMARC niet goed staat, is inzet ervan om spoofing te stoppen, geheel zinloos. Te triest voor woorden.

Door NetGuardian: Ik kreeg dit soort onzin op 11 april al binnen

http://prntscr.com/l35cfv

Door SecGuru_OTX:
Geheel mee eens, je kunt niet alle spoofing voorkomen met alleen SPF.

Ik heb het ALLEEN over de variant zoals hierboven in het artikel aangegeven. Die kun je wel blokkeren met SPF -all en inbound SPF check.

Door Anoniem: Grappig wel, als het over wraakporno of sexting gaat dan staat het hier vol met "waarom maakt die domme muts dan ook foto's van zichzelf" maar over dit soort mails staat er alleen als tip "camera afplakken" en nergens "niet rukken achter de computer".

Geeft een interessant beeld over de gemiddelde reageerder.

Door Anoniem: Grappig wel, als het over wraakporno of sexting gaat dan staat het hier vol met "waarom maakt die domme muts dan ook foto's van zichzelf" maar over dit soort mails staat er alleen als tip "camera afplakken" en nergens "niet rukken achter de computer".

Door Anoniem: Gebruik E.F.A. project, een open-source mail-appliance en zet greylisting aan. Iedere pc, laptop, etc., die gehackt is en ingezet wordt om junk mail af te leveren wordt door greylisting tegengehouden. Werk hier al jaren tot volle tevredenheid mee. https://efa-project.org, https://nl.wikipedia.org/wiki/Greylisting

Door Bitwiper: Vol? Boven jouw reactie gaat het om 2 van de 12, en die 2 zijn maar 1 regel lang.

Het klopt dat je met greylisting spam blokkeert die afkomstig is van zombie PC's waarop de spamzendende software niet stateful is.

Maar wat vertel jij aan de gebruiker aan jouw bureau die 10 minuten geleden is gebeld door een nieuw contact die belangrijke informatie voor een business opportunity met spoed "op de mail heeft gezet" - die maar niet binnenkomt omdat jouw mailserver die nog staat te weigeren?

En, gelukkig voor jou, volgen maar weinigen jouw advies (om ook greylisting toe te passen) op, want spammers passen zich elke keer aan zodra een antispamtechniek een structureel probleem voor hen wordt. En in het geval van greylisting is dat nauwelijks een probleem, want naast hun software stateful maken, kunnen zij hun junkmail ook vanaf (originele of gehackte) accounts, of vanaf zombie PC's, via niet-geblackliste (of zelfs gewhiteliste) MTA's aan afzenderzijde laten verzenden. Want die MTA's cachen en proberen het heus later nog wel een keer.

De mensen die deze mails ontvingen hebben sowieso niks aan jouw advies, want zij zijn afhankelijk van hun ISP of van externe mailproviders (zoals Google met Gmail en Microsoft met outlook.com) voor het nemen van dit soort maatregelen. En die zijn niet zo kortzichtig.

Alle tot nu toe bedachte, en soms halfbakken geïmplementeerde maatregelen (SPF, DKIM, DomainKeys, DMARC, greylisting, blacklists maar ook content-based filtering) hebben negatieve bijwerkingen, maar verlagen aanvankelijk meestal wel de aantallen spammails (waaronder phishing en/of spoofing mails) in inboxes aanzienlijk. Dat is fijn tegen de irritatie, maar als er te weinig spammetjes doorheen slippen, is het mijn ervaring dat doorsnee ontvangers alles geloven wat ze lezen.

Net zoals Android en Apple gebruikers, die hun devices met een vingerafdruk unlocken, af en toe worden "gepest" met het moeten invoeren van een wachtwoord, denk ik dat het goed zou zijn als doorsnee mensen af en toe een nepmail ontvangen om hen te trainen in het herkennen daarvan, en de faalbaarheid van het systeem te laten inzien. Streven naar een zo hoog mogelijk percentage geblokkeerde spams kon dus wel eens een slecht idee zijn als je weet dat je 100% nooit zult halen - en bij greylisting weet je dat zeker.

Door Anoniem: Mensen daarom altijd je camera van laptop tapen, want straks is het wel echt gebeurd en dan ben je lul.

Door Anoniem: Of gewoon niet lopen fappen achter je laptop, viespeuk :P

Door Anoniem: Maar als ik jouw reactie hierboven lees moeten we maar doorgaan zoals het is omdat je anders niet meer weet wat een spam is.

Door Bitwiper: Mijn excuses, ik heb niet duidelijk geschreven wat ik bedoelde. Het is niet mijn voorstel om maar wat potentieel gevaarlijke spam door te laten.

Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).

Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).

We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.

Door Bitwiper: Mijn excuses, ik heb niet duidelijk geschreven wat ik bedoelde. Het is niet mijn voorstel om maar wat potentieel gevaarlijke spam door te laten.

Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).

Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).

We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.

Door Anoniem: Kom jij dan eens met goede alternatieven? Ik zie je tot nu toe alleen maar alles afkraken. Als iets niet 100% waterdicht is, dan is het geen reden datgene NIET te doen. Ik heb werkelijk nog niets nuttigs van je gezien (m.b.t. deze post)

Aanvulling 12:58: om 12:44 gepost en om 12:51 al antwoord ;-)
https://www.security.nl/posting/581594/Overheid+start+publiekscampagne+om+computers+op+te+schonen

Door Anoniem: en uhh, een verzendende MTA eist helemaal niets met DMARC, het beleid is afhankelijk van wat je in je _dmarc.domain record zet.