Sinds geruime tijd biedt Microsoft verbeterde e-mail authenticatie aan middels het gebruik van SPF, DKIM en DMARC. Als we echter naar de praktijk kijken, kunnen we vaststellen dat een schrikbarend laag aantal bedrijven daadwerkelijk gebruik maakt van deze technologie. Dit betekent dat het voor criminelen redelijk eenvoudig is om berichten te vervalsen die afkomstig lijken te zijn van uw domein. Om te voorkomen dat criminelen van deze situatie profiteren, wordt ten zeerste aangeraden om op zijn minst een SPF-record te publiceren. Willen we het echter écht goed doen? Dan implementeren we naast SPF ook DKIM en DMARC.
SPF – Sender Policy Framework
SPF is in wezen slechts een TXT-record dat via DNS wordt gepubliceerd, met als doel om iedereen te informeren wie geautoriseerd is om mail namens uw domein te verzenden. Bij het aanmaken van dit TXT-record is het van belang om inzichtelijk te hebben wie allemaal namens uw domein mag mailen.
Stel: U heeft een bedrijf, gespecialiseerd in zonweringen, genaamd Sunnydays. Na onderzoek is gebleken dat de volgende systemen mailen namens het domein van Sunnydays;
- Exact Online (facturatie via de mail)
- Sunscreen (applicatie voor het ontwerp van zonweringen)
- All-in-one printers (scannen naar E-mail)
Om een goede mailafhandeling te realiseren, is het van belang dat bovenstaande systemen worden opgenomen in het SPF-record van het domein. Zodoende kunnen ontvangende mailservers verifiëren dat de mails van Sunnydays van een valide bron afkomstig zijn. Vervolgens wordt het desbetreffende mailbericht netjes in het Postvak IN van de geadresseerde afgeleverd.
DKIM – Domain Keys Identified Mail
DKIM is een authenticatiesysteem welke gebaseerd is op een asymmetrische cryptografie. Hierbij wordt gebruik gemaakt van twee aparte sleutels; één sleutel (privé) wordt gebruikt om een mailbericht te ondertekenen (men kan dit zien als een soort handtekening), en de tweede sleutel (openbaar) wordt gebruikt om de integriteit van het bericht te verifiëren.
De openbare sleutel wordt gepubliceerd via een DNS CNAME-record, zodat ontvangende mailservers hiermee de handtekening van het mailbericht kunnen valideren. Is er een match tussen de openbare en de privésleutel, dan is de integriteit van het mailbericht gehandhaafd. Indien er geen match is, kan het zijn dat er onderweg geknoeid is aan het mailbericht, waardoor de integriteit van de mail verloren is gegaan.
DMARC – Domain-based Message Authentication, Reporting & Conformance
Voordat men begint met de implementatie van DMARC is het van belang dat eerst SPF en DKIM actief zijn. DMARC is een DNS TXT-record dat ontvangende mailservers vertelt hoe deze om moeten gaan met berichten die afkomstig zijn van uw domein. Zo kunt u bijvoorbeeld mailberichten die falen op een SPF en/of DKIM controle;
- laten bezorgen in de ongewenste mail van de geadresseerde;
- laten verwijderen door de ontvangende mailserver, waardoor de mail niet bezorgd wordt bij de geadresseerde.
Voordat men DMARC instelt op één van deze manieren, is het van belang dat het SPF-record zo compleet mogelijk is en dat het DKIM-record ook goed getest is. Het is immers onwenselijk dat uw valide mails bij klanten tussen de ongewenste mail belanden, of helemaal niet worden bezorgd. Om hiervoor te zorgen wordt aangeraden om te beginnen met de implementatie van DMARC in de ‘monitoring’ mode. In deze modus wordt er geen beleid toegepast, maar worden de mails bezorgd alsof er geen DMARC-record aanwezig is. Het fijne hierbij is dat men feedback/rapporten kan krijgen over berichten die niet zijn geverifieerd door ontvangende servers. Door deze rapporten kan men eventuele systemen die men vergeten is op te nemen in het SPF-record traceren.
Conclusie
Over het algemeen hoop ik dat steeds meer organisaties de tijd nemen om deze vorm van E-mail authenticatie in te (laten) stellen. In de praktijk spreek ik bijna dagelijks organisaties die ofwel zelf een phishing bericht ontvangen in hun Postvak IN, ofwel van derden te horen krijgen dat zij phishing berichten hebben ontvangen van die organisatie. Het ontbreken van een ‘juiste’ SPF/DKIM/DMARC configuratie is hierbij in 99,9% de oorzaak.
Ik adviseer alle organisaties om onderstaande stappen in volgorde uit te (laten) voeren:
- Configuratie SPF
- Toevoegen van Microsoft Advanced Treat Protection services en de configuratie hiervan
- Configuratie DKIM
- Configuratie DMARC in monitoring mode
- Analyseren van DMARC rapporten
- Pas, indien nodig, het SPF- of DKIM-record aan (afhankelijk van analyse)
- Schakel monitoring mode uit en kies voor een strenger beleid (mail naar ongewenste mail of prullenbak)