Door Anoniem: Ook jij zit er wel eens grandioos naast.
Absoluut, en meer dan ééns!
Maar niet in dit geval:
1) Aan DMARC heb je
niets (je bent phishable) als de legitieme verzendende server (en/of het verzendende e-mail-account) gehacked is, zoals hier gebeurd is (hoe exact weet ik niet, maar het probleem zit bij Sendgrid).
En, tenzij je weet hoe je e-mail-headers moet uitlezen en interpreteren (
https://dl.acm.org/doi/10.1145/3415231):
2) Als 1) n.v.t. is: aan DMARC heb je
niets (je bent phishable) als de afzender DMARC op de ontvangende server op het verkeerde been weet te zetten, bijvoorbeeld door
twee verschillende afzenderdomeinen in het From: veld op te nemen.
3) Als 2) n.v.t. is: aan DMARC heb je
niets (je bent phishable) als Microsoft jouw e-mails ontvangt en jij de afzender als "safe sender" hebt aangemerkt, wat automatisch geldt voor contacten waarvan het e-mail adres in jouw adresboek staat. Je hebt ook
niets aan DMARC (en SPF en/of DKIM) (je bent phishable) als de ontvangende mailserver van een andere ISP niets checkt of de beheerder ervan vindt dat er andere criteria moeten gelden dan "gebruikelijk" (wat dat ook moge zijn, de meningen zijn verdeeld).
4) Als 3) n.v.t. is: aan DMARC heb je
niets (je bent phishable) als de ontvanger het afzenderdomein niet controleert.
5) Als 4) n.v.t. is: aan DMARC heb je
niets (je bent phishable) als de ontvanger het afzenderdomein wel bekijkt maar niet weet dat het niet van de gesuggereerde organisatie is.
6) Als 5) n.v.t. is: voor een DMARC-match moet minstens één van de twee, SPF
of DKIM, een positief resultaat opleveren. Als SPF klopt mag, voor een DMARC-match, de DKIM handtekening bijvoorbeeld onjuist zijn (of zijn verwijderd door een Attacker in the Middle).
7) Aan DKIM + SPF zonder DMARC heb je
niets (je bent phishable).
8) Aan uitsluitend DKIM heb je
niets (je bent phishable).
9) Aan uitsluitend SPF heb je
niets (je bent phishable).
Indertijd hadden we een significante afname van phishing bij een grote instelling
Ik geloof best dat er een
tijdelijk effect geweest is. Ondertussen hacken scammers Sendgrid om dit probleem te omzeilen, of ze gebruiken lijkt-op afzenderdomeinnamen waar SPF, DKIM, DMARC en ARC perfect voor geregeld zijn, of ze gebruiken willekeurige afzenderdomeinen (met SPF etc. kloppend) omdat geen mens nog afzenderdomeinamen ziet laat staan checkt.
Je hebt er
niets aan als je
wel kunt "bewijzen" dat een e-mail door jouw mailserver is verzonden, maar tegelijkertijd
NIET aan ontvangers duidelijk kunt maken dat een e-mail die door jou verzonden lijkt,
niet door jou verzonden is.
Je kunt natuurlijk vinden dat dit dan een probleem van de ontvanger is, maar uiteindelijk gaat dit -m.i. terecht- wel te koste van het vertrouwen dat klanten of burgers in jouw organisatie hebben.