Waar DKIM en DMARC kunnen helpen in geval van phishing

Begin juni doken er valse e-mailtjes op die afkomstig leken van SIDN. Met een officieel lijkende mail, die in verschillende varianten circuleerde, werd geprobeerd om waardevolle  login-gegevens te stelen.

Bedrieglijk echt?

Voorbeeld phishingmail 20150609

Een deel van de valse mails had als afzender een op het oog echt SIDN e-mail adres (bijvoorbeeld; klanten.mail@sidn.nl). En hoewel de oplettende lezer zich natuurlijk niet op het verkeerde been laat zetten, met zo’n verdachte tekst, maakt die ‘echte’ afzender de verwarring wel wat groter. De gebruiker die de in de e-mail genoemde URL aanklikte, kwam op een soort namaak login-pagina, die ook weer sterk overeen kwam met de loginpagina op onze website, waar werd gevraagd om vertrouwelijke gegevens. Het bekende verhaal dus, al is het natuurlijk wel anders als het de eigen organisatie betreft. Sporen die door de phisher her en der waren achter gelaten, wezen erop dat het niet zijn eerste keer was en dat hij er vermoedelijk een routine in heeft om op deze manier van allerlei bedrijven en personen gegevens te stelen. Het spreekt voor zich dat door ons CSIRT een grondig onderzoek werd ingesteld. Tevens werd aangifte gedaan.

SMTP – een oud en onveilig protocol

Het e-mailprotocol (SMTP, RFC5321) is een van de oudere internetprotocollen en van origine niet goed beveiligd. Eén van de tekortkomingen van SMTP, is dat het echt kinderlijk eenvoudig is om een afzenderadres te vervalsen. Een leek kan dat nauwelijks van echt onderscheiden. Het laat zich raden dat spammers en phishers graag misbruik van maken van deze truc. Zo ook in dit geval. Met een echt ‘@sidn.nl’-adres als afzender, leken de valse e-mails nog betrouwbaarder.

Wat te doen?

Klassieke spamfiltering alleen, is niet afdoende om alle narigheid bijtijds te ontdekken en als verdacht te markeren.Maar in de loop der tijd zijn weldegelijk enkele oplossingen bedacht die goed kunnen helpen bij het terugdringen van het bovenstaande probleem, te weten: de (proposed) internetstandaarden DKIM (RFC6376), SPF (RFC7208) en DMARC (RFC7489).ISP’s zouden deze maatregelen eigenlijk ook allemaal moeten implementeren in hun mailomgevingen (waar mogelijk, want niet in alle gevallen is dit triviaal). Gelukkig doen veel (met name grote) partijen dat ook. Hoe werken ze en waarom is het belangrijk om deze standaarden toe te passen? Hieronder een beknopte uitleg:

SPF, DKIM, DMARC

Alle drie de technieken leunen op het Domain Name System (kortweg DNS). In het geval van SPF wordt er een DNS-record opgenomen dat (onder meer) aangeeft welke systemen mail voor het betreffende domein mogen versturen. Een simpel voorbeeld: Stel dat het SPF-record (feitelijk gewoon een TXT-record) van example.nl er zo uitziet:example.nl.  IN TXT "v=spf1 ip4:203.0.113.0/24 ip6:2001:db8::/32 ~all"Dan betekent dit, dat mail die als afzender een @example.nl adres heeft, alleen verzonden mag zijn vanaf de genoemde IP-adresreeksen. En als dat niet het geval is, dan zal de betreffende e-mail als verdacht moeten worden aangemerkt (door de ontvangende partij). Met andere woorden; de ontvanger krijgt een instrument in handen waarmee beter kan worden ingeschat of sprake is van een valide e-mail. Helemaal triviaal is het niet; wie SPF wil aanzetten op zijn uitgaande e-mail, of erop wil controleren bij ontvangst, zal er even goed voor moeten gaan zitten. Maar eenmaal goed ingeregeld (zie ook RFC7001), zal SPF bijdragen aan het kunnen herkennen van malafide e-mails.Bij DKIM maakt de verzendende server (MTA) met behulp van een ‘private key’ een cryptografische handtekening en voegt die toe aan de mail in de vorm van een zogenaamde DKIM-header. Een soort echtheidskenmerk dus.De ontvangende partij ziet deze handtekening, zoekt in het DNS de bijbehorende publieke sleutel op en valideert de handtekening (en dus de mail) daarmee. Als de digitale handtekening correct is, dan staat daarmee het afzenderdomein vast en is zeker dat de e-mail onderweg niet is aangepast. Een kwaadwillende beschikt immers niet over de private key en is niet in staat om DKIM-beschermde mails te maken. Dergelijke valse mails zullen een slechtere reputatie krijgen in de e-mailreputatiesystemen die steeds meer partijen gebruiken.In de praktijk is meer mogelijk. Zo kan in het DKIM-record worden opgenomen of sprake is van een ‘testmodus’. Deze kan bijvoorbeeld worden aangezet wanneer men DKIM nog aan het inregelen is. Hiermee wordt voorkomen dat mails ongewild worden geweigerd wanneer zaken nog niet helemaal goed zijn geconfigureerd.Verder kan, net als bij SPF overigens, het ‘forwarden’ van e-mail roet in het eten gooien, omdat een ‘forward’ de mail kan wijzigen (er worden extra headers toegevoegd) wat de oorspronkelijke DKIM-handtekening ongeldig maakt. Dus ook voor DKIM geldt: ga er even goed voor zitten als je het wilt implementeren in je mail-omgeving.Alle grote partijen, zoals Yahoo!, Gmail en Live gebruiken overigens al jaren DKIM. Bovendien is deze standaard opgenomen op de pas-toe-of-leg-uit-lijst van de overheid. Het is dus een bewezen techniek, die ook steeds relevanter wordt wanneer je zeker wilt zijn van een soepele bezorging van e-mails.Met een DMARC-record tenslotte, kan in het DNS een soort beleid kenbaar worden gemaakt. Bijvoorbeeld (in versimpelde vorm): “als de DKIM-handtekening niet klopt, of als SPF faalt, stop deze mail dan in de spamfolder”.Zo’n record zou er dan zo uit kunnen zien in DNS:_dmarc.example.nl.    IN TXT “v=DMARC1; p=quarantine” De ontvangende MTA vraagt dit record op, om te bepalen wat er moet gebeuren met een verdachte e-mail.Het spreekt voor zich dat DKIM, DMARC en SPF-records in DNS het beste tot hun recht komen, als ze beschermd zijn tegen manipulatie met behulp van DNSSEC.

Samenvattend

Uiteraard maakt SIDN gebruik van zowel SPF, DKIM als DMARC.  Vervalste e-mails, die uit naam van SIDN worden verzonden (en waar het afzenderadres ook daadwerkelijk …@sidn.nl is), kunnen zodoende vrij simpel door ontvangende partijen als verdacht worden aangemerkt (als zij e.e.a. ondersteunen). Via het DMARC-mechanisme vragen wij ook om zogenaamde feedback-reports, wat een handige feature is. Wanneer er iets niet in de haak is, zullen ontvangende partijen (in de regel) dergelijke rapporten sturen. Dit was dan ook één van de manieren waarop wij al snel op de betreffende phishing-aanval werden geattendeerd.Dus, wie het probleem van spam- en phishingmails wil verkleinen, moet zeker het toepassen van deze standaarden overwegen.Een goede manier om te checken hoe het op dit gebied is gesteld met een bepaalde domeinnaam, is deze te checken op https://internet.nl/. Deze site biedt een makkelijke en snelle manier om te controleren of wordt voldaan aan moderne (en veilige) standaarden.

Reacties

  • maandag 16 juli 2018

    Veilig internet

    Opgelet! Vervangers en vakantiekrachten doelwit van cybercriminelen

    Thumb-out-of-office

    De zomervakantie is weer begonnen

    Lees meer
  • donderdag 6 december 2018

    .nl-domeinnaam

    Meedenken, meepraten, meedoen

    Thumb-lagerhuis-SIDN-Connect-2018

    Pittige discussies tijdens het SIDN Lagerhuis

    Lees meer
  • donderdag 21 februari 2019

    Veilig internet

    Denk mee over het internet, internetgebruik, veiligheid, privacy en domeinnamen

    SIDN-panel-dame-thumbnail

    Meld je aan voor het SIDN Panel!

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.