Security - 24.10.2017

Hoe u e-mails verstuurt die écht van u komen

e-mail-spoofing-webserver
e-mail-spoofing-webserver
Home / Blog & Nieuws / Security / Hoe u e-mails verstuurt die écht van u komen

“De e-mailbeveiliging op het Binnenhof is lek.” stelt Follow the Money. Een onderzoeksjournalist van dit online magazine onthulde gister dat zij vanuit de officiële e-mailadressen van verschillende kamerleden e-mails hebben verstuurd. En dat er onvoldoende technische maatregelen zijn getroffen om dergelijke e-mails als frauduleus te markeren. Met een simpele ingreep heeft de overheid dit probleem in dezelfde nacht verholpen. Maar moet u zich zorgen maken over deze kwetsbaarheid in e-mailinstellingen?

Welke kwetsbaarheid brengt dit aan het licht?

E-mail is sinds het ontstaan nooit ontworpen als veilig middel om informatie tussen gebruikers uit te wisselen. Toch zijn er voldoende middelen beschikbaar om e-mails betrouwbaar van verzender naar ontvanger te vervoeren.
De technische handelingen die dit vraagt zijn klein; met 15 tekens in een DNS record (“v=spf1 mx –all”, zie MXToolbox voor een uitleg) is een eerste stap in de beveiliging gezet. Dit is een goede eerste stap.

Voordat je kan beperken wie mail mag sturen namens een domein, moeten alle diensten die e-mails mogen verzenden in kaart worden gebracht.

De gevolgen voor gebruikers kunnen groot zijn. ineens komen e-mails die de gebruiker thuis verzend bij de ontvanger in de spambox. De veelvoorkomende tegenstelling in IT-beveiliging komt hierbij naar voren: gebruikers willen zo min mogelijk gehinderd worden maar de infrastructuur moet voldoende dichtgetimmerd zijn. Tóch zou de afweging in het voordeel van IT-beveiliging moeten worden gemaakt.

Wat kan u doen?

Het valideren of een e-mail rechtmatig verzonden is gebeurt aan twee kanten. Bij het verzenden moeten voldoende maatregelen getroffen worden om een e-mail als valide te kunnen herkennen.

  1. Authenticatie: zorg ervoor dat e-mails alleen verzonden kunnen worden vanuit uw mailserver als de verzender een gebruikersnaam en wachtwoord heeft.
  2. SPF, DKIM en DMARC: zorg ook dat op te vragen is welke mailservers namens uw domein mogen verzenden.
  3. Spamfilters: bij het ontvangen van e-mails moet gecontroleerd worden of de e-mail vanuit een gevalideerde mailserver is verzonden. Spamfilters gebruiken dit als effectieve methode om ongewenste e-mail te voorkomen.

Het verzenden en ontvangen van e-mail wordt vaak als hetzelfde gezien. U gebruikt één programma voor verzenden en ontvangen van e-mails. Vaak gebruikt u één aanbieder waarmee uw e-mails worden verzonden en ontvangen. Maar als we kijken naar de techniek zijn het verzenden en ontvangen van e-mails twee gescheiden processen, elk met een eigen protocol en service die de verzoeken afhandelen.

Authenticatie

E-mails worden verzonden door een SMTP-server. De SMTP-server kan geïnstrueerd worden enkel e-mails te verzenden als de verzender zich met een gebruikersnaam en wachtwoord heeft geïdentificeerd. De mailserver kan dan ook ingesteld staan om enkel vanuit dat domein of dat e-mailadres e-mails te verzenden. Microsoft Exchange biedt deze optie bijvoorbeeld al standaard aan.

SPF, DKIM en DMARC

Met SPF (Sender Policy Framework) wordt in de DNS-gegevens van het domein een TXT-record opgenomen. Dit record bevat een uitleg welke servers namens dit domein e-mails mogen verzenden. Geef hier bijvoorbeeld de eerdergenoemde SMTP-server op. Maar denk ook aan contactformulieren op websites of de partij die marketingcampagnes verzorgt.

DKIM (Domain Key Identified Mail) is een variant waarin in een DNS-record een key wordt opgenomen. De verzendende mailserver verwerkt ook een key in de e-mail. Met een combinatie van deze twee kan de validiteit van de e-mail worden gecontroleerd. DKIM is een variant op SPF-records die, als er veel verschillende partijen verantwoordelijk zijn voor het verzenden van e-mails, tot een beheersbare situatie kan leiden.

Met DMARC (Domain-based Message Authentication, Reporting and Conformance) is het mogelijk om op te geven hoe de eigenaar van het domein verwacht dat mailservers en spamfilters omgaan met berichten die namens het domein worden gestuurd. Het is een suggestie aan ontvangende e-mailpartijen hoe streng om te gaan met de e-mailvalidatie, maar ook wanneer foutieve e-mails gerapporteerd dienen te worden.

Spamfilters

Bovenstaande maatregelen voorkomen niet dat uw e-mailadres als verzender kan worden gebruikt door een kwaadwillende. Om te zorgen dat eerdergenoemde maatregelen effect hebben, dient de ontvangende mailserver te controleren of de e-mail rechtmatig verzonden is. Door gegevens op te vragen die staan opgeslagen in het SPF- of DKIM-record kan de e-mailserver controleren of de e-mail van de verzender afkomstig is.

Deze taak ligt vaak bij spamfilters, die als taak hebben onrechtmatige e-mails uit de inbox van de gebruiker te houden. Het is dan ook zeker verstandig te controleren of de e-mailserver SPF- en DKIM-records controleert en afhandelt volgens DMARC-richtlijnen.

Moet u zich zorgen maken?

Ja. Het artikel van Follow the Money bewijst hoe makkelijk het is een e-mail te sturen die door de ontvanger vertrouwd wordt. Omdat iedereen kan inzien of een SPF of DKIM-record is ingesteld voor uw domein weten kwaadwillenden vooraf of een poging tot phishing effectief is of niet.

True engineers en specialisten controleren graag samen met u de instellingen van uw domein zodat u weet op welke manier u beveiligd bent tegen spoofing. Dien een ticket in via TrueCare en wij kijken samen met u naar uw instellingen en mogelijkheden.

Lees ook hoe SIDN DKIM en DMARC inzet tegen phishing. NOS volgt met een opsomming van andere instanties waar de e-mailbeveiliging ook voor verbetering vatbaar is. Lees ook over mogelijkheden om uw e-mailberichten te versleutelen.

E-book: veilig gedrag en slimme technologie

IT-security gaat over veilig gedrag en slimme technologie. Hoe bereik je de goede balans tussen menselijk gedrag, processen en technologie? In het e-book zoomen we in op de volgende onderwerpen:

  • Veiligheid is meer dan technologie
  • Hoe bereik je compliance en security?
  • Oplossingen en tools
  • Checklist #1: Ga de uitdaging aan
  • Checklist #2: Is mijn IT-securityplan compleet?
Download e-book
e-book-veiligheid-van-gegevens
True Ligan
Managed hosting sinds 2000
Categorie: Security
Tags: , ,

Meer blog & nieuws

0-day kwetsbaarheid in Log4j
0-day kwetsbaarheid in Log4j
Zero-day kwetsbaarheid in Java logging service Log4j
Lees blog
Managed detection & response
Managed detection & response
INSPIRE 2021 – Managed detection & response: een blik onder de motorkap bij andere organisaties  
Lees blog
security by design & security by default
security by design & security by default
IT-beveiliging centraal stellen in het ontwerp en de ontwikkeling van applicaties
Lees blog
Bekijk alle berichten

Blijf op de hoogte en schrijf je in voor True Insights, onze maandelijkse nieuwsbrief

Schrijf je hier in voor de nieuwsbrief

Bel mij

Bel mij

Direct een specialist aan de lijn.

mail ons

mail ons

Bereik de True specialisten via e-mail.

chat direct

chat direct

Voor een snelle vraag, gebruik de chat.
Deze website maakt gebruik van cookies
True B.V. gebruikt cookies en vergelijkbare technieken om meer informatie over je locatie, surfgedrag, apparaten en browser te verzamelen. Naast functionele cookies om true.nl goed te laten werken, plaatsen wij ook analytische cookies om de website te verbeteren. Soms gebruiken wij marketing cookies zodat wij en derde partijen een profiel van jou kunnen bouwen om gepersonaliseerde content en producten aan te bieden. Hiervoor vragen we je toestemming via onderstaande “Alle cookies” knop. Als je hiermee niet akkoord gaat, dan plaatsen wij alleen de toegestane functionele- en analytische cookies. Wil je op een later moment je cookie voorkeuren aanpassen? In ons Cookies lees je meer over onze cookies en hoe je achteraf je cookie voorkeuren kunt aanpassen.