SIDN ziet obstakels voor e-mailstandaard die geverifieerde logo's toont
Er is een nieuwe standaard waarmee organisaties aan gebruikers en klanten via een geverifieerd logo kunnen laten zien dat een e-mail van hen afkomstig is, maar het is afwachten hoe de adoptie van de standaard zich de komende jaren ontwikkelt, zo stelt Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.
Brand Indicators for Message Identification (BIMI) is een in 2020 geïntroduceerde standaard die het mogelijk maakt om het geverifieerde logo van een organisatie te laten zien in de mailbox van de ontvanger. Hiervoor moet de organisatie een txt-record in de dns van het betreffende domein opnemen. Daarmee kan een svg-bestand worden opgegeven dat als logo wordt weergegeven.
De ontvangende mailprovider verifieert de e-mail en kan vervolgens het opgegeven logo aan gebruikers weergeven. "BIMI heeft een groot voordeel boven andere standaarden: doordat het een visuele bevestiging biedt van de afzender, laat het mail van een organisatie opvallen in de mailbox van de ontvanger. In een tijd van overvolle mailboxen is dat een groot pluspunt", aldus SIDN. Volgens sommigen zou het vooral belangrijk voor marketeers zijn.
BIMI wordt alleen getoond wanneer de betreffende organisatie ook gebruikmaakt van DMARC. Dit is een protocol dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM). Via DMARC kan een organisatie aangeven wat een e-mailserver moet doen met e-mails die niet aan het gepubliceerde SPF- en DKIM-beleid voldoen. Op deze manier kunnen spam en phishingmails worden gestopt.
Verder vereist BIMI een Verified Mark Certificate (VMC), een certificaat van echtheid dat bevestigt dat het logo daadwerkelijk van de organisatie is. Het logo moet ook een geregistreerd beeldmerk zijn. "Daar zit voor Nederlandse bedrijven nu een drempel: Europese beeldmerken komen wel in aanmerking voor een VMC, maar het Benelux Merkenbureau ondersteunt het uitgeven nog niet", laat SIDN weten. Een andere drempel is dat niet ieder logo geschikt is. Zo past een langgerekt beeldmerk niet in de cirkelvormige logoruimte van veel mailproviders.
Daarnaast verschilt de acceptatie van BIMI per mailprovider. Zo accepteert Google het wel, maar Microsoft niet. BIMI is bedacht door Google, alsmede Mailchimp, SendGrid, Fastmail, Proofpoint, Validity, Valimail en Yahoo. Volgens SIDN is het dan ook afwachten hoelang het duurt voordat alle grote mailproviders de standaard ondersteunen. Te meer omdat veel mailproviders eigen voorzieningen voor het weergeven van logo’s hebben.
Was dat maar waar. Het kan alleen spoofing stoppen. Bij de meeste spam en phishing wordt er niet gespoofed.
Ik zie wel dat dit een visuele uitbreiding van DMARC is:
https://bimigroup.org/implementation-guide/
DMARC moet ingesteld zijn in een blokkerende policy en dan gebruikt het mailsysteem een opgegeven link naar een plaatje.
Volgens mij had het al veel geholpen als het mailprogramma een visuele terugkoppeling zou geven van de geslaagde DMARC controle. Op dit moment is stap 3 in de guide nog optioneel. Dus criminelen kunnen een fancy domein maken met een link naar het logo van de echte organisatie.
Zolang de stap 3 en de 'a' optie in stap 4 nog optioneel zijn, voegt het niets toe aan de huidige situatie. Sterker. Het verlaagd de veiligheid omdat criminelen wel een origineel icoontje bij hun valse mail kunnen weergeven.
Of kan het niet de bedoeling zijn dat men straks enkel nog PGP mail ontvangt om aardig spam te filteren.
En wie gaat dan voorkomen dat de logo van mijn buurman niet te veel lijkt op die van mij?
Gaat iemand de hele dag door plaatjes lopen te vergelijken?
Of word dat geautomatiseerd, met als gevolg dat ik mijn plaatje stiekem toch kan laten lijken op die van mijn overbuurman die ik niet zo leuk vind?
Het word tijd om aan known-identity registratie te gaan doen:
1. Op het moment dat je je ergens aanmeld krijg je een aanmeldmail.
2. De mail komt van een domein met een speciaal identity txt record.
3. Je klikt in je email client op "toevoegen".
4. Deze afzender word vanaf nu herkent als "abbonoment x" of "bank y"
5. En hij krijgt een kleurtje om aan te geven dat deze mail "legit" is.
Iemand die al verificatie doet gaat de mailheaders uitlezen. De gemiddelde gebruiker zal blind klikken en de gemiddelde gebruiker die zijn mail niet netjes bijhoud die zal op naam zoeken.
Niks meer dan een sales melk koe wat EV, OV certificaten vroeger waren.
Omdat PGP volkomen mislukt qua key-authenticatie .
Het hele 'web of trust' concept en keyserver was een sympathiek idee maar blijkt gewoon niet te werken.
Voor een X509 gebaseerd systeem zou in theorie iets te zeggen zijn, hoewel het nogal een zwaargewicht is.
Of kan het niet de bedoeling zijn dat men straks enkel nog PGP mail ontvangt om aardig spam te filteren.
Zoals ook Erik zegt - spoofing is amper een oorzaak van het spam probleem .
Nerds moeten gewoon accepteren dat hun hobby-horse PGP als encrypted email concept een faliekante mislukking is.
Nerds moeten gewoon accepteren dat hun hobby-horse PGP als encrypted email concept een faliekante mislukking is.[/quote]
PGP is zeker geen mislukking, wel als je het niet begrijpt. Voor mail encryptie met bekende partijen werkt het goed. Het is niet schaalbaar, maar dat hoeft ook niet voor elke toepassing. Ontvangen van spam staat hier volkomen los van.
Dat is alleen voor het certificaat, je moet ook nog even een merk registratie doen. De doorloop tijd van zo'n certificaat aanvraag is gemiddeld 8 maanden las ik elders. Voor een international leuk, maar voor een normaal MKB bedrijf niet te doen. Gelukkig is het certificaat optioneel, maar dan ben je lang niet overal zichtbaar.
Ik heb het eenmaal toegepat gezien bij LinkedIn berichten enkele jaren terug.
wie iets geschreven heeft
naar
van wie een public key is
en het niet (willen?) snappen dat en waarom het laatste probleem überhaupt een probleem is (ik voel me roepende in een enorme woestijn).
Tenzij je uitsluitend publieke sleutels zou uitwisselen op het moment dat personen elkaar in levende lijve ontmoeten (hetgeen voor geen meter schaalt, vooral niet in het Zoom/Teams etc. tijdperk), en elke gebruiker begrijpt waarom dit van fundamenteel belang is (en dus waarom je geen public keys moet mailen), en elke ontvanger elk unsigned bericht onmiddelijk ongelezen wegflikkert, gaat dit niks worden.
Door een sleutel te voorzien van meerdere (potentieel valse) signatures van allerlei derden, zorg je ervoor dat authenticiteit-checkers door de bomen het bos niet meer zien - "ah, veel signatures, geen idee waarom je zou moeten checken of die legitiem zijn en zo ja, hoe dan". PGP key servers en spoofable 4-byte-lange "thumbprints" hebben flink bijgedragen aan gebruikersonbegrip en daarmee het verzuipen van PGP.
M.i. ontkom je er niet aan om publieke sleutels door een door ontvangers vertrouwde derde partij te laten signeren (dat noemen we x.509 certificaten). Helaas stikt het van de onbetrouwbare signerende derde partijen die je voordelige of zelfs gratis MIME certificaten willen verstrekken zonder fatsoenlijke authenticatie, nl. als je (ook onterecht) toegang hebt tot een e-mail-account - waardoor dit net zoveel aan authenticiteit toevoegt als een DV https servercertificaat aan de betrouwbaarheid van DNS.
Bijna niets dus, en door wijdverbreid onbegrip zeer veel schijnveiligheid.
Die addon gebruik ik ook. Mooi, maar validatie zou op de server moeten gebeuren. Hier haalt de server b.v. alle tracking pixels uit de mail, waardoor thunderbird geen dkim meer kan controleren en je toch weer in de header moet kijken om de zien wat de mailserver beoordeeld heeft. Overigens heeft dit BIMI systeem dezelfde beperking als het zelf de DKIM wil verifiëren en dit niet aan de server overlaat.
Tot nu toe had ik alleen bij de GMail webversie gezien dat je de DMARC status kon zien door op de ontvanger te klikken. Maar die zinvolle optie is er later weer uit gehaald.
Daarom is dit nu nog optioneel. Als ik nu de mail van de rabobank wil imiteren, hoef ik alleen maar bij punt 4 de url in te vullen van het icoontje dat de rabobank gebruikt. Zolang de verificatie optioneel is, is dit systeem gedoemd te mislukken, want het gebruikt vergroot dan alleen maar het risico van misleiding.
Die addon gebruik ik ook. Mooi, maar validatie zou op de server moeten gebeuren. Hier haalt de server b.v. alle tracking pixels uit de mail, waardoor thunderbird geen dkim meer kan controleren en je toch weer in de header moet kijken om de zien wat de mailserver beoordeeld heeft.
En wie gaat dan voorkomen dat de logo van mijn buurman niet te veel lijkt op die van mij?
Gaat iemand de hele dag door plaatjes lopen te vergelijken?
Probeer maar eens een merkrecht aan te vragen, dan merk dat bovenstaande nagenoeg onmogelijk is. Kijk maar eens rond op boip.int.
BIMI is juist wel goed bedacht, alleen de uitvoering is zo jammer beperkt op dit moment (en kost vrij veel moeite). Goed dat SIDN hier aandacht aan geeft.
Het voorstel wat je daarnaast beschrijft lijkt wel erg op wat onderliggend DKIM al doet, alleen dan zonder die klik. Of bedoel je het anders?
Overigens zouden ze al die mailstandaarden: DMARC, SPF, DKIM, BIMI wel eens morgen terugbrengen tot 1 standaard die ook 1 DNS record nodig heeft (desnoods met dezelfde parameters als nu), het begint een beetje een lappendeken te worden om een domein goed te beveiligen (zelfs DNS wildcards zijn nodig).
Ik moet zeggen dat ik Thunderbird alleen voor tests gebruik en deze dkim add-on heb ik al lang en update ik ook, maar ik zie dat er inmiddels settings bij gekomen zijn.
Als ik de optie aanzet om ook Authentication-Results headers te gebruiken, dan valideert deze add-on inderdaad de mail op basis van de resultaten van de mailserver en niet de eigen validatie. Ik heb ook de indruk dat ik nu sneller door de mail kan scrollen omdat hij niet meer elke mail opnieuw extern moet valideren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
