Door Anoniem: Er is teveel "valide" mail met SPF of DKIM fouten om blindelings te weigeren
Deze draad bevestigt mijn stelling dat SPF, DKIM, DMARC, ARC en whatever een grote mislukking is. Iedereen geeft er zijn of haar eigen invulling aan (zoals Microsoft,
https://security.nl/posting/767981) en legt het probleem bij de ontvanger van de e-mail.
[zucht]
Intro, uit
https://www.kvk.nl/service-en-contact/e-mail-van-kvk/:
KVK gebruikt voor verzending de volgende e-mail extensies, maar deze kunnen ook nagemaakt worden.
• @e.kvk.nl
• @onderzoek.kvk.nl
• @ondernemerspanel.kvk.nl
Voorbeeld spoofing
De eerste mail is wel van KVK (noreply@kvk.nl)
[...]
Heb je een uitnodiging voor een onderzoek ontvangen en twijfel je of deze namens KVK is verstuurd? Controleer dan nauwkeurig of de uitnodiging verzonden is vanuit een e-mailadres eindigend met e.kvk.nl, kvk.nl, onderzoek.kvk.nl of ondernemerspanel.kvk.nl. Deze e-mailextensies kunnen ook nagemaakt worden.
Ook wordt het e-mailadres KVKonderzoek@dvjresearchgroup.com gebruikt voor onderzoek om uw mening te horen over KVK. Dit onderzoek wordt ieder kwartaal in opdracht van KVK uitgevoerd.
Advies: lees alle webpagina's van de KVK om te zien welke legitieme "e-mail extensies" (afzenderdomeinen) er nog meer zijn (dan de nu gevonden 5). Aan de andere kant heb je daar niets aan, want "e-mailextensies kunnen ook nagemaakt worden".
Gelukkig geeft de KVK advies:
https://www.kvk.nl/service-en-contact/hoe-controleer-ik-of-een-mail-van-kvk-komt/. Je kunt bellen, maar de kans lijkt mij erg groot dat de persoon, die je aan de lijn krijgt, niet weet of de mail die jij ontving daadwerkelijk door de KVK (of één van hun opdrachtnemers) is verzonden.
Plan B in die pagina is headers kopiëren naar mktoolbox.com. Overigens zou daar uit blijken dat de door Briolet genoemde Vitens-mail gespoofed is.
Uiterst vaag in die (m.i. voor leken onbegrijpelijke) pagina vind ik de uitleg over de gedeeltelijke DKIM faal:
NB. In dit geval haalt enkel de DKIM Authenticated van KVK de standaard niet (vanwege een hash).
Mijn uitleg: als in de DKIM signature ook de authenticiteit van
de mail zelf wordt meegenomen, ga je geen match krijgen als je alleen de headers laat checken (de mail zelf ook laten checken via copy/paste is echter erg foutgevoelig, één regeleinde meer of minder maakt de handtekening al ongeldig).
De vraag die mij bekruipt is wel hoeveel er rood moet zijn als het om spoofing gaat.
De pagina eindigt met:
Kort samengevat: Headers in MxToolbox controleren en met name op de DMARC en SPF letten. Dat zegt vaak al genoeg.
Vaak? Hoe weet je of de door jou ontvangen mail onder "vaak" valt of juist niet? Russisch roulette anyone?
[/zucht]
SPF, DKIM en DMARC zijn in de praktijk simpelweg onbetrouwbaar. De voorstanders ervan geven eindgebruikers een vals gevoel van veiligheid.