Politie implementeert standaard die geverifieerde logo's in e-mailclients toont
De politie heeft als één van de eerste overheidsinstellingen BIMI geïmplementeerd, een e-mailstandaard die geverifieerde logo's in ondersteunende e-mailclients toont. BIMI staat voor Brand Indicators for Message Identification en is een in 2020 geïntroduceerde standaard die het mogelijk maakt om het geverifieerde logo van een organisatie te laten zien in de mailbox van de ontvanger.
Hiervoor moet de organisatie een txt-record in de dns van het betreffende domein opnemen. Daarmee kan een svg-bestand worden opgegeven dat als logo wordt weergegeven. De ontvangende mailprovider verifieert de e-mail en kan vervolgens het opgegeven logo aan gebruikers weergeven. BIMI wordt alleen getoond wanneer de betreffende organisatie ook gebruikmaakt van DMARC. Dit is een protocol dat gespoofte e-mails moet detecteren en voorkomen en wordt boven twee andere standaarden gebruikt, namelijk Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM).
"Voor de Politie is het van maatschappelijk belang dat de communicatie met de Politie veilig, integer en zichtbaar is. En dat wij als organisatie het maximale doen om dit te handhaven", zegt Peter Gelhard van de politie tegenover SIDN. Volgens Gelhard is de politie voor zover hij weet naast de Belastingdienst de enige overheidsorganisatie die BIMI al geïmplementeerd heeft. De acceptatie van BIMI verschilt per mailprovider. Zo accepteert Google het wel, maar Microsoft alleen voor Dynamics 365 en niet voor Exchange en andere producten.
De standaard vereist ook een Verified Mark Certificate (VMC), een certificaat van echtheid dat bevestigt dat het logo daadwerkelijk van de organisatie is. Het logo moet ook een geregistreerd beeldmerk zijn. Een andere drempel is dat niet ieder logo geschikt is. Zo past een langgerekt beeldmerk niet in de cirkelvormige logoruimte van veel mailproviders. Critici stellen dat BIMI vooral belangrijk voor marketeers is. De standaard is bedacht door Google, alsmede Mailchimp, SendGrid, Fastmail, Proofpoint, Validity, Valimail en Yahoo.
Wat is veiliger een logo standaard tonen of media download standaard voorkomen van enige mail.
Rara welke zal het zijn.
Oh wat is dat wordt het logo gebruikt als tracking pixel? Oh jee overtreding van GDPR.
Wel gelukkig kan men het vast wel melden aan de juiste instanties
Wat zeg je door inclusiviteit van een logo functie zit er een nieuwe aanvals vector in de software voor bad actors om gebruik van te maken?
https://www.zone.eu/blog/2024/05/17/bimi-and-dmarc-cant-save-you/
This is not an issue in a particular software product but rather a vulnerability resulting from loose interpretations of the standard across numerous implementations that span the vast e-mail ecosystem.
Using this vulnerability, attackers can create forged emails that still pass DKIM’s cryptographic checks that can then be easily replayed to reach the intended victim. These bogus emails are likely to also pass DMARC (Domain-based Message Authentication Reporting and Conformance) policies. Significant amount of organisations worldwide expect DMARC to prevent certain types of phishing attacks both against themselves but also against their recipients.
The severity of this problem has significantly increased with the advent of BIMI (Brand Indicators for Message Identification). BIMI depends on DMARC to verify the authenticity of messages. As a result, if the message passes all these checks, some email services like for example Apple Mail and Gmail will display a brand logo, but this time next to a forged email. Users are instructed by the UI to trust BIMI-branded e-mails, making these modified letters especially legitimate-looking and trustworthy.
Stelletje ama...
Ik heb even gekeken. Bij Digicert kost zo'n certificaat USD 1488.- per jaar. Bij Entrust USD 1299.-. Veel geld voor iets wat de meeste consumenten toch niets zegt.
Alles zal afhangen hoe goed die aangemelde logo's gecontroleerd worden op gelijkenis met reeds gedeponeerde logo's.
Ja, je kan dan slachtoffer zijn geweest en aangifte hebben gedaan. Dat is best vervelend.
Of moet ik tussen de regeltjes doorlezen dat je denk dat je een email van de politie krijgt als ze een onderzoek naar je gestart zijn?
(Puzzeltje: welke van de 18 domeinnamen in het grijze blok in https://security.nl/posting/845568 zijn hoogstwaarschijnlijk authentiek? Antwoorden graag onderaan die pagina, toelichtingen waarom zijn welkom).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
