E-mail Authenticatie: Zo houd je je domein én je klant beschermd tegen phishing
Als je in je inbox kijkt, kan het moeilijk zijn om goede van slechte e-mails te onderscheiden. De meeste e-mails komen van een legitieme afzender, maar welke niet? Hoe vaak het nieuws of organisaties ook waarschuwen voor neppe e-mails - erop wijzend dat ze nooit om persoonlijke gegevens zouden vragen in een e-mail: mensen blijven in de neppe e-mails geloven, en verliezen daarmee veel geld.
Waarom (e-mail)domeinen vatbaar zijn voor spoofing
Stel je voor dat je een e-mail stuurt naar je klant die John heet. In het e-mailproces gebeurt het volgende:
Je stelt een bericht op, dat via verschillende systemen ('de cloud') bij John terechtkomt. Het bericht dat je hebt gemaakt - de e-mail - krijgt een digitale envelop van je mailserver. De mailserver van John controleert die enveloppe, gooit hem weg en laat John de inhoud van het bericht lezen. In dit proces speelt de enveloppe een cruciale rol.
De enveloppe heeft een "Van"- en een "Aan"-adres. Met andere woorden: wie verzendt en wie ontvangt. Als deze niet overeenkomen met de namen op de brief zelf, gaat er een belletje rinkelen. John ziet de enveloppe echter nooit - en de mailserver leest niet altijd de inhoud van de e-mail. Het 'Van'-adres op de enveloppe kan dus verschillen van het adres dat John te zien krijgt. Je kunt je naam op de envelop schrijven en je in de inhoud van de e-mail voordoen als iemand anders - of andersom.
Kwetsbaarheden in het e-mailprotocol
Standaard e-mailprotocollen hebben geen mechanisme om de e-mails die worden verzonden te authenticeren. Dit maakt frauduleus gedrag op verschillende manieren mogelijk:
Spoofing
Door zich voor te doen als (iemand van) jouw bedrijf, kunnen zogenaamde spoofers namens jouw domein e-mails versturen. Meestal wordt dit gebruikt voor "phishing" - de poging om persoonlijke of financiële informatie te verkrijgen van de persoon naar wie de e-mail wordt gestuurd. Duizenden mensen vallen nog steeds ten prooi aan dit soort oplichterij - via e-mail, telefoon, WhatsApp, of anderszins - met jaarlijks honderdduizenden dollars schade tot gevolg.
Verspreiding van virussen
Hoewel het versturen van virussen via e-mail vooral in de begintijd van het medium gebeurde, zijn er in deze tijd nog steeds gevallen van. Ontvangers ontvangen een e-mail met een bijlage in hun inbox van een ogenschijnlijk bekende persoon, die ze vervolgens openen. De bijlage lijkt onschuldig, maar in werkelijkheid is het een virus of worm, die zich razendsnel kan verspreiden.
Blacklisting
Wanneer je e-mails plots niet meer in je inbox belanden, kan het zijn dat je op een blacklist terecht bent gekomen. Zelfs als je zelf nooit spam hebt verstuurd, kunnen anderen dat wel via jouw domein of als ze op hetzelfde IP-adres zitten.
Tegenmaatregelen
In de loop der jaren hebben specialisten op het gebied van e-mailbeveiliging protocollen ontwikkeld om e-maildomeinen te beschermen tegen de eerder genoemde aanvallen. In chronologische volgorde: SPF, DKIM, en DMARC.
Sender Policy Framework (SPF)
Met SPF kan een domeineigenaar aangeven welke IP-adressen namens zijn domein e-mails mogen versturen. IP adressen die niet aan deze lijst voldoen, maar toch proberen te e-mailen uit naam van dat domein, worden vervolgens geweigerd door de ontvangende mailserver. SPF alleen is echter niet voldoende. Het record is moeilijk up-to-date te houden, omdat grotere merken vaak nieuwe e-mailstromen toevoegen of van serviceprovider veranderen. Een verouderd maar functioneel SPF-record zal deze afzenders niet erkennen en dus hun e-mails weigeren.
ESP's (zoals Gmail of Outlook) weten dit, en daarom zijn spamprotocollen zelden alleen op SPF gebaseerd. Bovendien heeft alleen het beschermen van "de envelop" geen invloed op het feit dat de ontvanger alleen het bericht kan lezen. Wanneer alleen SPF wordt gebruikt, is het voor spoofers nog steeds eenvoudig om zich voor te doen als iemand anders. Dat is waar DKIM om de hoek komt kijken.
DomainKeys Identified Mail (DKIM)
Zodra de server de enveloppe heeft verwijderd, blijft alleen het bericht zelf over. DomainKeys Identified Mail (DKIM) is een e-mail authenticatie protocol dat de authenticiteit van de brief garandeert door het bericht cryptografisch te ondertekenen.
Domain-based Message Authorization, Reporting & Conformance (DMARC)
Als u e-mailbeveiliging en -authenticatie serieus neemt, laat het de wereld dan weten met een DMARC-record. Het DMARC-protocol zorgt ervoor dat uw legitieme e-mails in de inbox terechtkomen en dat uw klanten beschermd zijn tegen phishing. Met een functioneel DMARC record laat u de ontvangende mailserver weten wat er moet gebeuren met e-mails die niet overeenkomen met uw SPF en DKIM protocollen. Als domeineigenaar heeft u drie opties:
- een 'none' beleid - waarbij er niets hoeft te gebeuren met falende controles, dus alles is toegestaan;
- een 'quarantaine' beleid - als de e-mail niet door de controles komt, wordt deze tijdelijk tegengehouden en niet afgeleverd;
- een 'reject' beleid - waarbij onwelgevallige e-mails direct naar de prullenbak/spambox worden gestuurd.
De laatste is de meest ideale situatie. Met 'reject' heb je al het punt bereikt waarop je domein niet meer kan worden gespoofed. Helaas is de adoptiegraad van DMARC wereldwijd nog relatief laag.