Security Professionals - ipfw add deny all from eindgebruikers to any

SPF, DKIM, en DMARC snapt niemand

10-12-2021, 09:41 door waterlelie, 19 reacties
Laatst bijgewerkt: 10-12-2021, 09:41
Google bied een veilige manier van het versturen en ontvangen van e-mail, maar daar moet je voor betalen.
https://www.digitalehandtekeningen.nl/support/Google/Google_G_Suite_-_Secure_E-mail
Hiermee is het mogelijk om email digitaal versleuteld te versturen en te ontvangen. Hierbij wordt gebruik gemaakt van Secure/Multipurpose Internet Mail Extensions: https://www.digitalehandtekeningen.nl/email#1

Voor zorgverleners, die vertrouwelijke informatie via e-mail verzenden is het zelfs verplicht, en daarvoor is er het bedrijf Zorgmail beschikbaar. https://zorgmail.nl/zorgmail-algemeen/secure-e-mail/
De beveiliging wordt geregeld door SSl certificatie, net als bij de websites.

Voor gewone gebruikers c.q. burgers is er SPF, DKIM, en DMARC. Dat zijn beveiligingsprotocollen, die niemand snapt, en op een paar gebruikers na weet niemand hoe je daaraan kunt zien, of je e-mail afkomstig is van degene die daar als afzender op staat.

Steeds vaker gebruiken criminelen de naam van mail afzenders van maatschappelijke organisaties, en online winkels, want als een ontvanger iets bij zo'n bedrijf heeft gekocht, dan is deze gebruiker niet op zijn hoede, en klikt wellicht op een aanbieding.

Maar als elk bedrijf bij de wet wordt verplicht om zijn e-mail te voorzien van een SSL certificaat bescherming, dan zal het aantal oplichtingen en pogingen daartoe substantieel afnemen. Immers de veiligheidsdrempel is dan vaak te hoog en te kostbaar, om daar een opening in te vinden.

Nu is dit onderwerp is al vaker de revue gepasseerd, en het is opvallend hoe het bij sommigen verzet oproept, die vervolgens met allerlei halve en vage argumenten (kersen uit de pap vissen) menen anderen ervan te kunnen overtuigen, dat dit geen enkele oplossing bied.
Reacties (19)
10-12-2021, 10:03 door Anoniem
https://www.learndmarc.com/

Voor gewone gebruikers c.q. burgers is er SPF, DKIM, en DMARC. Dat zijn beveiligingsprotocollen, die niemand snapt, en op een paar gebruikers na weet niemand hoe je daaraan kunt zien, of je e-mail afkomstig is van degene die daar als afzender op staat.
Gelukkig hoeven gewone gebruikers zich hier niet druk om te maken. Alleen de beheerder(s) van de e-mailserver(s) moeten zich hier druk om maken.

De beveiliging wordt geregeld door SSl certificatie, net als bij de websites.
Ik ga er vanuit dat je niet 'SSL certificaten' bedoeld maar persoonsgebonden e-mailcertificaten. Die eerste worden namelijk gebruikt om e-mail over het internet te versturen zonder dat deze afgeluisterd kan worden (mits DANE gebruikt wordt), dat laatste wordt gebruikt om een digitale handtekening te zetten onder de verstuurde e-mails.

Maar als elk bedrijf bij de wet wordt verplicht om zijn e-mail te voorzien van een SSL certificaat bescherming, dan zal het aantal oplichtingen en pogingen daartoe substantieel afnemen.

Dat betwijfel ik. Zie alle bankhelpdesk fraude. Bovendien is de toegevoegde waarde van persoonsgebonden e-mailcertificaten marginaal ten opzichte van degelijke e-mailspoofing. De kosten zijn echter significant hoog als je wil dat iedere Nederlander voor 15 eu/jaar zo'n certificaat moet kopen.

Ik heb overigens nog de goede hoop dat Let's Encrypt ook (grratis) e-mailcertificaten gaat uitgeven. Dat zou de kosten drukken en de overstap makkelijker maken. Bovendien zal E2EE voor e-mail ook eenvoudiger worden.
10-12-2021, 10:16 door Anoniem
Ik snap best dat het je allemaal boven de pet gaat, het is een behoorlijk complexe materie, maar nu roep je allemaal
dingen die haaks op elkaar staan en heel verschillende doelen hebben. En dan als klap op de vuurpijl komt nog het
aspect van het tonen van de informatie aan de gebruiker en het op de juiste manier reageren erop, wat al helemaal
niet bij die protocollen en mechanismen ligt, maar bij de makers van de user interface.

Op deze manier kom je niet tot een zinvolle discussie, laat staan tot een oplossing.
10-12-2021, 10:53 door Anoniem
Door Anoniem:
Ik heb overigens nog de goede hoop dat Let's Encrypt ook (grratis) e-mailcertificaten gaat uitgeven. Dat zou de kosten drukken en de overstap makkelijker maken. Bovendien zal E2EE voor e-mail ook eenvoudiger worden.
Gratis persoonlijke e-mail certificaten zijn er al veel langer dan dat Let's Encrypt bestaat.
Het probleem zit em veel meer in het beheer van die certificaten en de hoepels waar je door heen moet springen.
"ik wil je een veilige mail sturen, kun je mij je certificaat sturen?"
"ok hier heb je mijn certificaat"
-> certificaat opslaan in je mailprogramma
"ok hier is mijn veilige mail, ik hoop dat ik niet vergeten ben het juiste knopje aan te klikken".
en dan verloopt het certificaat weer...

"mensen" "gaan dit gewoon niet doen".
en organisaties nog minder natuurlijk. zie je het al voor je, dat iedereen die je mail mag sturen eerst je certificaat
moet ontvangen en bewaren? en als het verlopen is dat weer herhalen? dat werkt gewoon niet.
10-12-2021, 11:06 door Erik van Straten
Door Anoniem: Ik heb overigens nog de goede hoop dat Let's Encrypt ook (grratis) e-mailcertificaten gaat uitgeven. Dat zou de kosten drukken en de overstap makkelijker maken. Bovendien zal E2EE voor e-mail ook eenvoudiger worden.
Goed idee! NOT

Hack een mailaccount, krijg binnen een paar seconden een gratis MIME certificaat (no money trail) en je bent die persoon!
10-12-2021, 11:22 door Anoniem
Maar als elk bedrijf bij de wet wordt verplicht om zijn e-mail te voorzien van een SSL certificaat bescherming, dan zal het aantal oplichtingen en pogingen daartoe substantieel afnemen. Immers de veiligheidsdrempel is dan vaak te hoog en te kostbaar, om daar een opening in te vinden.

Ik denk van niet. Je gaat er vanuit dat een aanvaller deze techniek probeert te "kraken". Maar dat doen aanvallers niet. Aanvallers omzeilen die techniek. Zie crypto. Aanvallers gaan niet proberen om de wiskunde erachter te breken. Aanvallers gaan simpelweg mails versturen zonder certificaat. Het gros van de Nederlanders begrijpt niet eens waar ze naar moeten kijken. Die mensen denken echt niet "oh, het slotje staat er niet, nou, nu moet ik iets doen." Dat is iets dat ik wel vaker op deze site zie. "Ik begrijp niet dat ...". Nou, verplaats je maar in de schoenen van mensen zonder IT affiniteit , of met een IQ onder de 75. Of mensen die IT beveiliging geen zak interesseert en die overal en nergens op klikken. Daar lopen er miljoenen van rond in Nederland.

Daarnaast is het uit te sluiten dat jij heel Nederland verplicht aan public key certificaten krijgt. Een wet verandert daar niets aan. De overheid zelf heeft al grote problemen om IT fatsoenlijk in te richten, laat staan de lokale ZZP'er die zijn key kwijt is door een computercrash. Veel mensen begrijpen de problemen niet waar je tegenaan loopt als de aantallen oplopen tot enkele miljoenen, en dit is er een voorbeeld van. Problemen in 5% van de gevallen (dus eens in de 20 jaar problemen, wat een zeer fraaie score is bij certificaten) levert je bij 1 miljoen bedrijven jaarlijks al 50.000 problemen op. Ga jij de helpdesk even inrichten en die problemen oplossen?
10-12-2021, 12:34 door Anoniem
Als elk bedrijf ter wereld verplicht is met SSL te werken volgens de wet dan kun je net zo goed je root wachtwoord verkondigen als message of the day op je server.

Niemand ik herhaal *Niemand* die actief beheer doet en kennis van zaken heeft gebruikt SSL certificaten op hun infra.
Dat je tegen een eindgebruiker het hebt over SSL omdat ze geen jota verstand hebben van protocollen alle begrip voor maar je spreekt nu hopelijk mensen aan met wel kennis van zaken dan kan je het niet permiteren te gaan gooien met verkeerde termen als je een serieus oplossing wilt verkondigen of argumentering wilt voeren.

Wat je nu verkondigd is dat we allemaal een protocol moeten gebruiken die door Internet Engineering Task Force (IETF) in 2015 als deprecated is bestempeld. Dus nee jouw argument bevat inderdaad geen oplossing.
10-12-2021, 12:41 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik heb overigens nog de goede hoop dat Let's Encrypt ook (grratis) e-mailcertificaten gaat uitgeven. Dat zou de kosten drukken en de overstap makkelijker maken. Bovendien zal E2EE voor e-mail ook eenvoudiger worden.
Goed idee! NOT

Hack een mailaccount, krijg binnen een paar seconden een gratis MIME certificaat (no money trail) en je bent die persoon!

Met 'je bent die persoon' bedoel je waarschijnlijk 'je kan niet alleen e-mails versturen namens een e-mailadres maar ook ondertekenen namens dat e-mailadres'. Dat klopt. Tenzij je ook via een ID-kaart controle je naam laat verifieren natuurlijk. Maar dat is alleen interessant als het juridisch steekhoudend moet zijn. (En in die gevallen worden nu al persoonsgebonden certificaten gebruikt.) Het zal er bij Lets Encrypt vooral om gaan dat E2EE voor e-mail breder toegankelijk wordt. Dan maakt het niet uit dat de naam niet certificeerd is, alleen het e-mailadres.
10-12-2021, 12:55 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik heb overigens nog de goede hoop dat Let's Encrypt ook (grratis) e-mailcertificaten gaat uitgeven. Dat zou de kosten drukken en de overstap makkelijker maken. Bovendien zal E2EE voor e-mail ook eenvoudiger worden.
Goed idee! NOT

Hack een mailaccount, krijg binnen een paar seconden een gratis MIME certificaat (no money trail) en je bent die persoon!
Ja precies. Het lijkt mij heel verstandig om daarom niet zomaar een security-plan te lanceren, voordat alle risico's goed in kaart zijn gebracht.
10-12-2021, 14:10 door waterlelie - Bijgewerkt: 10-12-2021, 15:03
Wat ik al verwacht had, geen enkele inhoudelijke reactie wel de verwachte anonieme beroeps trollen, die wat rondstrooien met technische termen, alsof ze er werkelijk verstand van hebben.

Toch zorgelijk voor die betalende klanten van Google G suite, en natuurlijk Zorgmail, waar onze zorgverleners verplicht aan moeten deelnemen....., want als ze al die onzin moeten geloven, worden ze door Google en Zorgmail dusvoor de gek gehouden
10-12-2021, 14:56 door Anoniem
Door Anoniem: Ik snap best dat het je allemaal boven de pet gaat, het is een behoorlijk complexe materie, maar nu roep je allemaal
dingen die haaks op elkaar staan en heel verschillende doelen hebben. En dan als klap op de vuurpijl komt nog het
aspect van het tonen van de informatie aan de gebruiker en het op de juiste manier reageren erop, wat al helemaal
niet bij die protocollen en mechanismen ligt, maar bij de makers van de user interface.

Op deze manier kom je niet tot een zinvolle discussie, laat staan tot een oplossing.
Exact!
Maar daar lijkt het de auteur niet om te doen te zijn. Hij wil het reclame maken voor zijn Zorgmail product.
Er had ==== advertentie ==== boven moeten staan.

Er zijn genoeg oplossingen om wel veilig informatie uit te wisselen. Probleem is echter dat het allemaal losstaande, veelal proprietary, producten zijn of standaarden die voor leken niet heel eenvoudig in gebruik zijn. Op basis van een quick scan is dat met Zorgmail niet anders.
10-12-2021, 15:28 door Tintin and Milou
Door waterlelie: Google bied een veilige manier van het versturen en ontvangen van e-mail, maar daar moet je voor betalen.
https://www.digitalehandtekeningen.nl/support/Google/Google_G_Suite_-_Secure_E-mail
Hiermee is het mogelijk om email digitaal versleuteld te versturen en te ontvangen. Hierbij wordt gebruik gemaakt van Secure/Multipurpose Internet Mail Extensions: https://www.digitalehandtekeningen.nl/email#1

Voor zorgverleners, die vertrouwelijke informatie via e-mail verzenden is het zelfs verplicht, en daarvoor is er het bedrijf Zorgmail beschikbaar. https://zorgmail.nl/zorgmail-algemeen/secure-e-mail/
De beveiliging wordt geregeld door SSl certificatie, net als bij de websites.
In leek taal klopt dti redelijk.

Voor gewone gebruikers c.q. burgers is er SPF, DKIM, en DMARC. Dat zijn beveiligingsprotocollen, die niemand snapt, en op een paar gebruikers na weet niemand hoe je daaraan kunt zien, of je e-mail afkomstig is van degene die daar als afzender op staat.
Dit is voor admins/beheerders en niet de normale burgers. En is een redenen waarom normale gebruikers dit ook niet snappen. Het is ook niet voor hun bedoelt.

Steeds vaker gebruiken criminelen de naam van mail afzenders van maatschappelijke organisaties, en online winkels, want als een ontvanger iets bij zo'n bedrijf heeft gekocht, dan is deze gebruiker niet op zijn hoede, en klikt wellicht op een aanbieding.
Bij correcte inrichting dan SPF, DKIM en eventueel DMARC en en goed geconfigureerde mailserver bij de ontvanger, zou dit direct tegen gehouden moeten worden.

Maar als elk bedrijf bij de wet wordt verplicht om zijn e-mail te voorzien van een SSL certificaat bescherming, dan zal het aantal oplichtingen en pogingen daartoe substantieel afnemen. Immers de veiligheidsdrempel is dan vaak te hoog en te kostbaar, om daar een opening in te vinden.

Nu is dit onderwerp is al vaker de revue gepasseerd, en het is opvallend hoe het bij sommigen verzet oproept, die vervolgens met allerlei halve en vage argumenten (kersen uit de pap vissen) menen anderen ervan te kunnen overtuigen, dat dit geen enkele oplossing bied.

Omdat het geen oplossing is? Zoals iedere keer ook vermeld en verteld?

Je certificaat kan extra toevoeging hebben, maar het is nog steeds iets waarin de eindgebruiker iets moet begrijpen, je kunt dit veel beter bij server beheerders leggen.

Ziet een gebruiker het verschil tussen @overheid.nl en @0verheid.nl of @overheId.nl? Een certificaat zou hier letterlijk niets aan toevoegen.
10-12-2021, 16:02 door Briolet
Door waterlelie: Voor zorgverleners, die vertrouwelijke informatie via e-mail verzenden is het zelfs verplicht, en daarvoor is er het bedrijf Zorgmail beschikbaar. https://zorgmail.nl/zorgmail-algemeen/secure-e-mail/
De beveiliging wordt geregeld door SSl certificatie, net als bij de websites.

In Duitsland zijn ze hier iets verder en bieden de overheden en banken vaak een beveiligde mail aan. (Maar dat moet dan wel via een mail provider lopen die dat ondersteunt.)

Toevallig kreeg ik gisteren een mailtje van een lokaal elektriciteitsnetwerk met de oproep om mijn meterstanden door te geven. De mail was beveiligd met een s/mine certificaat.

Alleen stond dit certificaat op naam van "Ablesemanagement" en het gecertificeerde mailadres was "zaehler@ablesen.de".

Geen ven beide kon ik in verbinding stellen met de elektriciteitsprovider waar ik mijn stroom van krijg. Ook een zoekopdracht op hun site met beide termen geeft geen treffer. Als ik het certificaat niet aan een bedrijf kan linken heeft zo'n certificaat nog steeds geen zin.
10-12-2021, 16:28 door Anoniem
Door Briolet:

[..]
Alleen stond dit certificaat op naam van "Ablesemanagement" en het gecertificeerde mailadres was "zaehler@ablesen.de".

Geen ven beide kon ik in verbinding stellen met de elektriciteitsprovider waar ik mijn stroom van krijg. Ook een zoekopdracht op hun site met beide termen geeft geen treffer. Als ik het certificaat niet aan een bedrijf kan linken heeft zo'n certificaat nog steeds geen zin.

Daar mag je 'denk je wel Europa' voor zeggen. Het elektriciteits netwerk beheer , de productie van elektriciteit - en de partij die het commercieel verkoopt staan allemaal los .
Meterstanden ligt in Nederland bij de netbeheerder, hoewel dat voor grote aansluiting weer een andere partij kan zijn.
Of dat ook altijd zo gaat elders in Europa weet ik niet . Het is m.i. ook voorstelbaar dat het weer een ander bedrijf is dat verantwoordelijk is voor meters plaatsen en aflezen.


De netbeheerders (in Nederland) zijn bedrijven als Stedin,, Liander .
https://www.netbeheernederland.nl/consumenteninformatie/wie-is-mijn-netbeheerder

De (echte)energie producenten - degenen die een centrale hebben - zijn bedrijven als Vattenfall, Essent , Eneco .

En dan zijn er nog meer verkopers - deels zijn dat ook die producenten, maar ook een hoop bedrijven die een merknaam zijn maar geen centrales hebben . Die kopen energie op 'de markt' en gooien er een marge op.
https://www.energiemarktinformatie.nl/maatschappijen/

Degene met wie je een contract hebt is per definitie (mag niet) de netwerk beheerder .

Dus "logisch" dat je mails over meterstanden komen van een bedrijf waar jij geen relatie mee hebt .
En ze doen meterstanden voor iedereen in een geografische regio, ongeacht bij welke "producent" die aansluiting een contract heeft .
10-12-2021, 17:17 door Anoniem
Door waterlelie: Wat ik al verwacht had, geen enkele inhoudelijke reactie wel de verwachte anonieme beroeps trollen, die wat rondstrooien met technische termen, alsof ze er werkelijk verstand van hebben.
Volgens mij heb je al meerdere keren inhoudelijke reacties gehad van reageerders die al dan niet beroepsmatig verstand van zaken hebben.
Toch zorgelijk voor die betalende klanten van Google G suite, en natuurlijk Zorgmail, waar onze zorgverleners verplicht aan moeten deelnemen....., want als ze al die onzin moeten geloven, worden ze door Google en Zorgmail dusvoor de gek gehouden
Er wordt nergens beweert dat S/MIME (of OpenPGP) géén toevoeging zou zijn, het probleem is alleen dat het niet schaalt en dat gebruikers het niet snappen.
En zoals Briolet om 16:02 ook al aangaf, het moet goed worden geïmplementeerd want anders weet je nog niks.
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
10-12-2021, 18:39 door Anoniem
Maak niet de fout om S/MIME (of PGP) te vergelijken met SPF, DMARC, DKIM.

Het zijn weliswaar allemaal bouwstenen van het 'e-mail-beveiligingshuis', maar ze zijn complementair aan elkaar en geen vervanging van elkaar.
11-12-2021, 10:19 door Anoniem
Voor zorgverleners, die vertrouwelijke informatie via e-mail verzenden is het zelfs verplicht, en daarvoor is er het bedrijf Zorgmail beschikbaar. https://zorgmail.nl/zorgmail-algemeen/secure-e-mail/
De beveiliging wordt geregeld door SSl certificatie, net als bij de websites.

Zorginstellingen zijn niet verplicht om met zorgmail.nl in zee te gaan. Ze moeten wel voeldoen aan de eisen voor veilige email uit NTA-7516. En dat gaat verder dan alleen SSL (TLS tegenwoordig ;-)) tussen de email servers en maakt ook geen gebruik van s/mime certificaten.

Zie bv: https://secumailer.nl/10-vragen-over-de-nta-7516/
11-12-2021, 11:03 door Anoniem
Wat waterlelie inderdaad niet snapt (ik gaf het in de 2e reactie al aan maar dat is kennelijk ook boven de pet) dat is dat
SPF, DMARC en DKIM niets te maken hebben met het beschermen van de vertrouwelijkheid van de e-mail.
Het zijn pogingen om "mail address spoofing" te voorkomen, dwz dat iemand mail kan sturen met als afzender adres
het adres van een ander. Dat kan bij de ontvanger immers verwarring geven omdat die informatie of instructies krijgt
die hij/zij denkt te kunnen vertrouwen "immers het komt van mijn bank" oid, maar in werkelijkheid is dat heel iemand
anders.

Dat heeft weinig of niets te maken met "email digitaal versleuteld te versturen en te ontvangen" of "vertrouwelijke informatie via e-mail verzenden", immers bij SPF, DMARC en DKIM gebeurt er met de mail zelf helemaal niets (wordt niet versleuteld ofzo).

Wat bedrijven als zorgmail doen is eigenlijk het gebruik van mail vervangen door gebruik van een sharing service.
Je stuurt een bericht via zorgmail en dan slaan zij het ergens op, vervolgens krijgt de ontvanger een bericht met "er staat een bericht voor je klaar" en dan moet die weer bij zorgmail gaan kijken om dat bericht op te halen. Dat werkt dan weer met een 2nd factor authenticatie bijvoorbeeld met een SMS.
Het bericht zelf gaat dan niet door die "o zo gevaarlijke mail" heen. Ja nog wel op het traject van de verzender naar zorgmail, maar die dwingen STARTTLS af dus dat is dan encrypted. Overigens is dat ook niet zo heel erg veilig als er een man-in-the-middle tussen zou zitten, maar dat terzijde.

Certificaten helpen inderdaad NIETS omdat als je dit algemeen invoert, iedereen straks een certificaat heeft en de aanwezigheid van een certificaat dus niks meer zegt. Dan moet je controleren aan wie het certificaat afgegeven is, en dat is veel te moeilijk omdat bedrijven teveel domeinnamen gebruiken en bedrijfsnamen ook niet wereldwijd uniek hoeven te zijn.
(dat er hier een bedrijf ING heet wil nog niet zeggen dat er in verweggistan niet OOK een bedrijf ING heet, een certificaat kan aanvragen, en dit dan kan misbruiken om zich in Nederland als ING voor te doen)
11-12-2021, 15:28 door Anoniem
Door Anoniem:
Door Briolet:

Degene met wie je een contract hebt is per definitie (mag niet) de netwerk beheerder .

[even een zelf-correctie]
Je energie contract is per definitie NIET met de netwerkbeheerder, omdat die rollen verplicht opgesplitst zijn.


Dus "logisch" dat je mails over meterstanden komen van een bedrijf waar jij geen relatie mee hebt .
En ze doen meterstanden voor iedereen in een geografische regio, ongeacht bij welke "producent" die aansluiting een contract heeft .

btw :
Hoewel ik gewoonlijk voorstander ben van vrije markten heb ik sterke twijfels of dat in het geval van nuts"bedrijven" een goed idee is .
11-12-2021, 18:56 door Anoniem
Certificaten helpen inderdaad NIETS omdat als je dit algemeen invoert, iedereen straks een certificaat heeft en de aanwezigheid van een certificaat dus niks meer zegt. Dan moet je controleren aan wie het certificaat afgegeven is, en dat is veel te moeilijk omdat bedrijven teveel domeinnamen gebruiken en bedrijfsnamen ook niet wereldwijd uniek hoeven te zijn. (dat er hier een bedrijf ING heet wil nog niet zeggen dat er in verweggistan niet OOK een bedrijf ING heet, een certificaat kan aanvragen, en dit dan kan misbruiken om zich in Nederland als ING voor te doen)

Dacht ik ook, al die websites die teveel domeinnamen gebruiken dan zegt zo'n certificaat ook niks meer. En natuurlijk de website van de ING bank, hoe kun je die nog vertrouwen, want er kan best een bedrijf zijn in verwegistan, die ook ING heet, en zomaar een certificaat kan aanvragen, en die misbruiken om zich voor te doen als de ING bank.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.