In aanvulling op wat Briolet schrijft (waarvoor dank):
29-08-2022, 20:48 door Anoniem: [Door Erik van Straten:] Met andere woorden, markeren als "veilige afzender" kan DMARC checks (en dus ook de onderliggende SPF en/of DKIM checks) elimineren, waardoor mails met gespoofde afzenders in inboxes kunnen belanden.
Dit is helaas een foute conclusie.
Ik waardeer aanvullingen, correcties en zelfs kritiek - mits goed onderbouwd, maar jij bent aan het trollen en zwetst uit je nek.
29-08-2022, 20:48 door Anoniem: De Office 365 omgeving (tenant) was verkeerd geconfigureerd. Waarschijnlijk heeft een systeembeheerder (in ieder geval iemand met admin rechten) de afzender in een algemene whitelist gezet of DMARC volledig uitgezet.
Totale onzin. De lijst met "Safe Senders" wordt door gebruikers zelf beheerd.
Naar verluidt kan een beheerder middels een GPO het gebruik van "Safe Senders" in Outlook blokkeren (tenzij policies zijn uitgeschakeld omdat je niet een van de veel duurdere Office licenties gebruikt) en in de web client werken policies sowieso niet.
Als een gebruiker dse@docusign.net toevoeg aan "Safe Senders", verwacht die gebruiker niet dat voortaan ook e-mails met gespoofde afzender als "Safe" worden behandeld.En beheerders, die weten wat DMARC e.d. is, verwachten
niet dat de uitkomst van de DMARC-check vervolgens genegeerd wordt door Microsoft Exchange, en gebruikers daardoor mails met gespoofde afzenders in hun inbox krijgen.
Dit is gewoon een blunder van Microsoft.Na googlen zag ik dat eerder anderen al op deze blunder hebben gewezen, zoals:
https://www.linkedin.com/pulse/safe-senders-list-loophole-through-your-exchange-security-r%C3%B8rvikhttps://regarding365.com/email-overrides-are-not-best-practice-942a02ba8aec29-08-2022, 20:48 door Anoniem: Anyway, menselijke configuratie fout dus. Als ze niet met hun poten aan het spamfilter hadden gezeten was deze mail gewoon als spam of phishing gemarkeerd gezet.
Je maakt dezelfde stomme fout als Microsoft, namelijk
spam en/of phishing op dezelfde hoop gooien als
spoofing.
(Microsoft leert
nooit, 17+ jaar geleden:
https://www.security.nl/posting/10403/Waarom+SPF+en+FairUCE+op+termijn+geen+spam+bestrijden).
M.b.t. DMARCDMARC (bouwend op SPF of DKIM) is
géén antispammaatregel, maar antispoofing (niets belet hufters om vanaf een eigen afzenderdomein spam en/of phishingmails te verzenden met correcte SPF, DKIM en DMARC attributen).
Ik kan me
tijdelijke uitzonderingssituaties voorstellen waarbij, als gevolg van configuratiefouten, de DMARC-check onbedoeld een negatieve uitkomst heeft, en je dergelijke mails niet wilt droppen - maar
dan wel voorzien van toeters en bellen in de spambox of desnoods de inbox wilt plaatsen. Dit zou echter
niets met "Safe Senders" te maken moeten hebben, want hier is
niets Safe aan.
Eventueel kun je een
negatieve DMARC-uitkomst gebruiken als één van de inputs van je spamfilter (positief zou ik negeren), om, als het tevens om spam lijkt te gaan, te besluiten alsnog te droppen of om
aanvullende toeters en bellen aan de mail toe te voegen.
DMARC en dergelijke zijn al halve maatregelen, nl. omdat SMTP-from niet altijd getoond wordt, ontvangers er niet op letten en als ze dat wel doen, niet weten dat afzenderdomein X niet van de kennelijke afzender is.
Voor ontvangers die
wel het afzenderdomein checken en weten (of uitzoeken) dat dit domein van de kennelijke afzendende partij is, is DMARC zeker zinvol, maar met dit soort idioterie van Microsoft kunnen we -wat mij betreft- stoppen met DMARC et al.
29-08-2022, 20:48 door Anoniem: PS. Microsoft waarschuwt hier zelfs duidelijk voor op hun site. Je moet nooit whitelisten op email of IP adressen.
Helemaal niet "
duidelijk": ik moest er flink naar zoeken, met als resultaat zeer veel pagina's die vooral beschrijven hoe handig "Safe Senders" is en het gebruik ervan aanmoedigen,
zonder ook maar één waarschuwing daarbij.
De duidelijkste waarschuwingen vond ik (niet bovenaan) in
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/create-safe-sender-lists-in-office-365?view=o365-worldwide:
Create safe sender lists in EOP
Article 08/19/2022
[...]
If you're a Microsoft 365 customer with mailboxes in Exchange Online or a standalone Exchange Online Protection (EOP) customer without Exchange Online mailboxes, EOP offers multiple ways of ensuring that users will receive email from trusted senders. These options include Exchange mail flow rules (also known as transport rules), Outlook Safe Senders, the IP Allow List (connection filtering), and allowed sender lists or allowed domain lists in anti-spam policies. Collectively, you can think of these options as safe sender lists.
The available safe sender lists are described in the following list in order from most recommended to least recommended:
1. Mail flow rules
2. Outlook Safe Senders
3. IP Allow List (connection filtering)
4. Allowed sender lists or allowed domain lists (anti-spam policies)
Mail flow rules allow the most flexibility to ensure that only the right messages are allowed. Allowed sender and allowed domain lists in anti-spam policies aren't as secure as the IP Allow List, because the sender's email domain is easily spoofed. But, the IP Allow List also presents a risk, because email from any domain that's sent from that IP address will bypass spam filtering.
Hoezo zou een lezer plaats 2 van 4 in een lijstje met volgorde "most recommended to least recommended" als "not recommended" moeten beschouwen (zoals verderop blijkt)? Dit artikel spreekt zichzelf tegen.
Daaronder volgt een
lichtblauwe "information box" met pas bij de derde bullet de volgende tekst:
• While you can use safe sender lists to help with false positives (good email marked as bad), you should consider the use of safe sender lists as a temporary solution that should be avoided if possible. We don't recommend managing false positives by using safe sender lists, because exceptions to spam filtering can open your organization to spoofing and other attacks. If you insist on using safe sender lists to manage false positives, you need to be vigilant and keep the topic Report messages and files to Microsoft at the ready.
Met andere woorden, we maken superhandige "Safe Sender Lists" maar tussen neus en lippen door zeggen we "Do Not Use" want we hebben een aanpak die anders is dan weldenkende mensen verwachten.
Pas een stuk verderop, direct onder het kopje "
Use Outlook Safe Senders" (niet: "Do Not Use Outlook Safe Senders") staat een
roze box met de tekst:
(X) Caution
This method creates a high risk of attackers successfully delivering email to the Inbox that would otherwise be filtered; however, the user's Safe Senders or Safe Domains lists don't prevent malware or high confidence phishing messages from being filtered.
Maar het is natuurlijk een illusie dat eindgebruikers dit lezen, laat staan begrijpen dat in Microsoft's denkwereld "Safe Senders" gelijk staat aan "bypass DMARC" en dus "Allow Spoofing".