Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vitens stuurt mail met ongeldige spf

03-12-2022, 13:05 door Briolet, 11 reacties
Vitens heeft 29 november een mailing de deur uit gedaan met de oproep om de stand van de watermeter door te geven. (Vitens in een waterleverancier in oost Nederland)

Dit hebben ze waarschijnlijk uitbesteed aan een bulk-mailer die het enveloppe domein "mailzgczfg.mail.webpower.eu" gebruikt. Op dat domein is de volgende policy ingesteld "v=spf1 a -all". Wat inhoud dat alleen mail dat verzonden wordt via een IP gelijk aan hun A record geldig is. Het IP van dit domein is "91.197.73.67".

De mail werd echter verstuurd vanaf het IP "91.197.72.102". En aangezien ze geen soft-fail maar een echte fail ingesteld hebben, wordt dit soort mail bij ons geblokkeerd. Ik kreeg nu een brief dat mijn mailadres niet werkte, met het verzoek mijn mailadres te controleren.

Nu vraag ik me af hoeveel mail providers dit soort foute mail wel afleveren. Ik neem aan dat hier meerdere lezers zijn die ook water van Vitens krijgen. Laat hier je ervaring horen!

UIt het gegeven dat ze een brief sturen in plaats van zich afvragen waarom er zoveel mail bounced, neem ik aan dat het gros van de providers de mail gewoon geaccepteerd hebben ondanks de fail policy van de afzender. Gewoon jammer, want dan heb je een methode om gespoofde mail te herkennen en dan negeer je de policy van het afzend domein.

De bevestigings mail voor het doorgeven verstuurde Vitens zelf en daarmee was er geen probleem. Alleen bij de mail die ze uitbesteed hadden aan een 'deskundige' op mailing gebied.
Reacties (11)
03-12-2022, 13:40 door Anoniem
Er was mij niets bijzonder opgevallen.
De mail met de vraag om de meterstand door te geven kwam hier gewoon binnen. (Ziggo)
Maar ik vul nooit iets in via een link in een mail bericht maar log dan even apart in, bij in dit geval Vitens, om de meterstand door te geven.
03-12-2022, 17:39 door Anoniem
Bij mijn weten wordt mail met ongeldige SPF gewoon in het putje gemikt en niet geretourneerd.
03-12-2022, 19:59 door Anoniem
Door Anoniem: Bij mijn weten wordt mail met ongeldige SPF gewoon in het putje gemikt en niet geretourneerd.
Dat zal van de implementatie afhangen. Correct zou zijn om de SPF te checken in de mailserver tijdens de SMTP transactie
en een foutcode te geven. Dus niet "het mailtje terug sturen naar het geclaimde verzendadres".
Of het dan in het putje gemikt wordt dat hangt er vanaf wat er bij de verzender ingeregeld is.
Zelf heb ik om dit soort ellende te voorkomen de boel zo ingericht dat dergelijke mail rood gemarkeerd wordt in het mail
programma maar dus wel gewoon "afgeleverd" wordt (modulo de normale spamcriteria). En het komt best wel vaak voor
dat er mail rood gemarkeerd is! (dit gebeurt ook bi DKIM fouten overigens)
03-12-2022, 23:41 door Anoniem
Helaas
04-12-2022, 13:37 door Anoniem
Door Anoniem:
Door Anoniem: Bij mijn weten wordt mail met ongeldige SPF gewoon in het putje gemikt en niet geretourneerd.
Dat zal van de implementatie afhangen. Correct zou zijn om de SPF te checken in de mailserver tijdens de SMTP transactie
en een foutcode te geven. Dus niet "het mailtje terug sturen naar het geclaimde verzendadres".
Of het dan in het putje gemikt wordt dat hangt er vanaf wat er bij de verzender ingeregeld is.
Zelf heb ik om dit soort ellende te voorkomen de boel zo ingericht dat dergelijke mail rood gemarkeerd wordt in het mail
programma maar dus wel gewoon "afgeleverd" wordt (modulo de normale spamcriteria). En het komt best wel vaak voor
dat er mail rood gemarkeerd is! (dit gebeurt ook bi DKIM fouten overigens)

Inderdaad. Er is teveel "valide" mail met SPF of DKIM fouten om blindelings te weigeren , dan is fors markeren de betere keuze.
04-12-2022, 17:22 door Erik van Straten
Door Anoniem: Er is teveel "valide" mail met SPF of DKIM fouten om blindelings te weigeren
Deze draad bevestigt mijn stelling dat SPF, DKIM, DMARC, ARC en whatever een grote mislukking is. Iedereen geeft er zijn of haar eigen invulling aan (zoals Microsoft, https://security.nl/posting/767981) en legt het probleem bij de ontvanger van de e-mail.

[zucht]
Intro, uit https://www.kvk.nl/service-en-contact/e-mail-van-kvk/:
KVK gebruikt voor verzending de volgende e-mail extensies, maar deze kunnen ook nagemaakt worden.

• @e.kvk.nl
• @onderzoek.kvk.nl
• @ondernemerspanel.kvk.nl

Voorbeeld spoofing
De eerste mail is wel van KVK (noreply@kvk.nl)
[...]
Heb je een uitnodiging voor een onderzoek ontvangen en twijfel je of deze namens KVK is verstuurd? Controleer dan nauwkeurig of de uitnodiging verzonden is vanuit een e-mailadres eindigend met e.kvk.nl, kvk.nl, onderzoek.kvk.nl of ondernemerspanel.kvk.nl. Deze e-mailextensies kunnen ook nagemaakt worden.

Ook wordt het e-mailadres KVKonderzoek@dvjresearchgroup.com gebruikt voor onderzoek om uw mening te horen over KVK. Dit onderzoek wordt ieder kwartaal in opdracht van KVK uitgevoerd.
Advies: lees alle webpagina's van de KVK om te zien welke legitieme "e-mail extensies" (afzenderdomeinen) er nog meer zijn (dan de nu gevonden 5). Aan de andere kant heb je daar niets aan, want "e-mailextensies kunnen ook nagemaakt worden".

Gelukkig geeft de KVK advies: https://www.kvk.nl/service-en-contact/hoe-controleer-ik-of-een-mail-van-kvk-komt/. Je kunt bellen, maar de kans lijkt mij erg groot dat de persoon, die je aan de lijn krijgt, niet weet of de mail die jij ontving daadwerkelijk door de KVK (of één van hun opdrachtnemers) is verzonden.

Plan B in die pagina is headers kopiëren naar mktoolbox.com. Overigens zou daar uit blijken dat de door Briolet genoemde Vitens-mail gespoofed is.

Uiterst vaag in die (m.i. voor leken onbegrijpelijke) pagina vind ik de uitleg over de gedeeltelijke DKIM faal:
NB. In dit geval haalt enkel de DKIM Authenticated van KVK de standaard niet (vanwege een hash).
Mijn uitleg: als in de DKIM signature ook de authenticiteit van de mail zelf wordt meegenomen, ga je geen match krijgen als je alleen de headers laat checken (de mail zelf ook laten checken via copy/paste is echter erg foutgevoelig, één regeleinde meer of minder maakt de handtekening al ongeldig).

De vraag die mij bekruipt is wel hoeveel er rood moet zijn als het om spoofing gaat.

De pagina eindigt met:
Kort samengevat: Headers in MxToolbox controleren en met name op de DMARC en SPF letten. Dat zegt vaak al genoeg.
Vaak? Hoe weet je of de door jou ontvangen mail onder "vaak" valt of juist niet? Russisch roulette anyone?
[/zucht]

SPF, DKIM en DMARC zijn in de praktijk simpelweg onbetrouwbaar. De voorstanders ervan geven eindgebruikers een vals gevoel van veiligheid.
04-12-2022, 19:21 door Anoniem
Door Erik van Straten:
Door Anoniem: Er is teveel "valide" mail met SPF of DKIM fouten om blindelings te weigeren
Deze draad bevestigt mijn stelling dat SPF, DKIM, DMARC, ARC en whatever een grote mislukking is. Iedereen geeft er zijn of haar eigen invulling aan (zoals Microsoft, https://security.nl/posting/767981) en legt het probleem bij de ontvanger van de e-mail.
Maar dat is ook de enige scope van deze mechanismen: de ontvanger van de mail een mechanisme bieden om te
checken of de verzender van de mail legitiem is. De ontvanger moet er op acteren, de verzender kan daar niet aan
bijdragen.
Dit is ook de reden dat ik zelf mijn mail ben gaan hosten: ik kan niet leven met de situatie dat een of andere mailhoster
voor mij gaat bepalen welke mail wel en welke niet binnen komt, in de situatie dat er met een mail "iets mis is".
En faciliteiten om voor de gebruiker instelbaar te maken wat er met een mail als hierboven precies gebeurt, dat had zelfs
een kwaliteitsprovider als XS4ALL (toen die nog bestond) niet! Die weigerden dergelijke mail ook. Of die voor jou
belangrijk was daar keken ze niet naar.
Nu host ik de mail zelf, breng bij SPF/DKIM/DMARC fouten een lokale extra header aan, en in Thunderbird match ik
op die header en zet de berichtkleur op rood (in een berichtfilter). Nu werkt het zoals ik wil.
04-12-2022, 19:58 door Anoniem
Door Erik van Straten:
Door Anoniem: Er is teveel "valide" mail met SPF of DKIM fouten om blindelings te weigeren
Deze draad bevestigt mijn stelling dat SPF, DKIM, DMARC, ARC en whatever een grote mislukking is. Iedereen geeft er zijn of haar eigen invulling aan (zoals Microsoft, https://security.nl/posting/767981) en legt het probleem bij de ontvanger van de e-mail.

[..]

SPF, DKIM en DMARC zijn in de praktijk simpelweg onbetrouwbaar. De voorstanders ervan geven eindgebruikers een vals gevoel van veiligheid.

In een pessimistische bui zeg ik dat dat geldt voor _alle_ modellen van feitelijk erg complexe software bouwwerken met een veelheid aan beheerders van soms matige competentie .

Dezelfde redenering kun je houden (sterker - aimgh houd jij die al) over het hele TLS/SSL verhaal - tussen vergeten/verlopen , gesigned door dubieuze CAs en de summiere garantie van domain validated certs .
(DANE heb ik dan ook niet meteen veel hoop voor , hoe technisch fraai het ook is ).

In het alternatieve universum waarin PGP (voor email) wel een succes geworden was hadden we beslist ook vage net-niet namen en signers gezien, en lang geleuter over wat signers en trust nu betekenen , en keyserver vervuiling.

En helaas - in de walled garden van een google, fb speelt dat probleem minder : gmail-to-gmail is wel een strakke controle op afzender .
04-12-2022, 20:33 door Briolet
Door Anoniem: Inderdaad. Er is teveel "valide" mail met SPF of DKIM fouten om blindelings te weigeren , dan is fors markeren de betere keuze.

Maar dan gaan verzenders ook nooit hun fouten aanpassen. Als verzender kun je een 'soft fail' en een 'fail' instellen. Als je als verzender niet op je systeem durft te vertrouwen, dan kies je voor 'soft fail'. Maar als je voor een fail kies, dan wil je ook echt dat ontvangende mailservers dit soort foute mail gaan weigeren, want je wilt voorkomen dan vervalste false mail bij de ontvangers aankomt. Waarom gebruik je anders spf en een fail instelling?

Als een bedrijf als Ziggo en KPN dit soort mail direct zouden weigeren en dus de wens van de verzender zouden volgen, dan lossen de afzenders dit probleem direct op omdat ze merken dat het gros van de mail niet af te leveren is.

@Erik, Ik heb best wel veel vertrouwen in DKIM. Zelf open ik direct de header van dubieuze mail en kijk of hij dkim ondertekend is door het domein zelf. (Anders zegt het idd weinig)

Ik kreeg afgelopen week b.v mail van de kvk en als ik dan in de header lees:

Authentication-Results: xxx; dmarc=pass (p=reject dis=none) header.from=kvk.nl
Authentication-Results: xxx; dkim=pass (1024-bit key) header.d=kvk.nl

dan heb ik er wel vertrouwen in.
04-12-2022, 21:16 door Erik van Straten
Door Briolet: dan heb ik er wel vertrouwen in.
Goedgekeurde authentieke (en geblokkeerde gespoofde) mails zijn niet het probleem. Het probleem is de rest, waaronder ontvangende partijen die afzenderverzoeken zoals SPF "-all" negeren, waardoor spoofers hun gang kunnen gaan - met als bijwerking dat ontvangers met correcte instellingen verweten wordt dat hun (uit jouw bovenste post) "mailadres niet werkte".

Je klaagt zelf dat het systeem niet altijd werkt, hoe kun je er dan vertrouwen in hebben?
06-12-2022, 07:55 door Anoniem
Door Anoniem: Er was mij niets bijzonder opgevallen.
De mail met de vraag om de meterstand door te geven kwam hier gewoon binnen. (Ziggo)
Maar ik vul nooit iets in via een link in een mail bericht maar log dan even apart in, bij in dit geval Vitens, om de meterstand door te geven.

Correct en veilig gedaan. NOOIT iets doen mbv een link!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.