Het is mogelijk om uw relaties beter te beschermen tegen phising mail vanaf uw domein (mailadres). Dat kan gedaan worden door bijvoorbeeld de DNS van uw domein aan te passen.

Het probleem

Steeds vaker ontvangen medewerkers mailtjes van (zakelijke) bekenden. In die mail wordt verzocht om even een password aan te passen of andere gegevens te wijzigen. Dit in vervolg op phising mailtjes van banken. Dus wat blijkt? Deze mail is vaak helemaal niet afkomstig van de vermeende zakelijke bekende, maar van een crimineel die probeert gevoelige gegevens los te weken. We spreken hier dus over een serieuze vorm van oplichting.

Mail ontvangen van bekenden wordt veel sneller vertrouwd en daarmee neemt de kans op succes van deze oplichting toe. Dat deze methode werkt, moge blijken uit de enorme bedragen die op deze manier nog steeds worden ontvreemd en het aantal phising mailtjes dat per dag wordt verstuurd. Als het niet werkt, zou men het niet meer doen. Bedenk dat meer dan 60% van alle mail wereldwijd behoort tot spam en phising mail.

Uitgeven als een ander

Technisch gesproken is het niet erg moeilijk om een mailtje te sturen voorzien van een willekeurig verzendadres. Dat kan omdat hierop niet gecontroleerd wordt. Hierdoor kan gemakkelijk een mail verstuurd worden met als emailadres b.gates@microsoft.com of w.a.van.oranje@nederland.nl. In een voor gebruikers standaard verborgen deel van het mailtje (de zogenaamde header) kan bekeken worden vanaf welke machines de mail verstuurd werd en daarmee aannemelijk worden gemaakt dat het bericht waarschijnlijk niet van bijvoorbeeld Microsoft verstuurd werd, maar dat is een heel gedoe voor de gemiddelde gebruiker en zeker wanneer dit voor iedere mailtje afzonderlijk ondernomen moet worden.

Spamfilters of contentfilters nemen deze taak deels over, maar er is natuurlijk een grens aan de technische mogelijkheden en het moet ook wel werkbaar blijven. Veel spamfilters controleren bijvoorbeeld niet de mail verstuurd van een domein waartoe de ontvanger zelf ook behoort. Een mailtje van een collega wordt dus niet altijd door spamfilters gecontroleerd. Ook kunnen andere domeinen, vaak van bevriende bedrijven of klanten, op zogenaamde whitelists zijn geplaatst zodat ze altijd worden doorgelaten. De mazen in het net dus voor phising mailtjes die gebruik maken van juist deze mail adressen.

Het minimale wat gedaan zou moeten worden is controleren of een mailtje van een bepaald mailadres wel is verstuurd van een mailserver die mail voor dat domein mag versturen. En dat kan wanneer daar een zogenaamd SPF record voor is aangemaakt.

SPF Records

Het echte ei van Columbus is er nog niet om dergelijke mail te voorkomen, maar er worden wel goede pogingen toe ondernomen. Bij de gegevens van het domein (in de zogenaamde DNS servers) kan bijvoorbeeld een SPF record worden opgenomen. SPF staat voor Sender Policy Framework en beschrijft vanaf welke servers mail namens het desbetreffende domein mogen versturen. Een ontvangende mailserver kan op basis van dit SPF-record controleren of de verzendende server daadwerkelijk tot de toegestane servers behoort en hiermee besluiten om het mailtje door te laten, als onveilig te beschouwen of zelfs te weigeren.

Stel dat u gebruikt maakt van email binnen Microsoft Office 365 maar ook email verstuurd vanaf uw website die bij een hosting partij staat opgesteld. In dat geval bevat het SPF record dus de Microsoft mailservers en die van de hosting partij.

Het kan voorkomen dat uw provider geen SPF record voor u heeft aangemaakt. In dat geval kan niet worden of de verzendende emailserver toegestaan is en wordt daardoor altijd geaccepteerd. Dat is dus niet raadzaam en het is aan te raden dit zo snel mogelijk te veranderen. Bedrijven die domeinnamen bij Panthera BV hebben vastgelegd hoeven zich daar overigens geen zorgen over te maken: wij hebben dit voor onze relaties al gedaan.

DKIM Records

Naast een SPF Record kan ook een DKIM record worden aangemaakt. DKIM staat voor DomainKeys Identified Mail en het principe is vergelijkbaar met het meesturen van een digitale handtekening. Verzendende emailservers sturen hiermee namelijk een digitale handtekening met email berichten mee. De ontvangende emailservers kunnen op basis van deze digitale handtekening controleren via het DNS van het versturende domein of het ontvangen emailtje daadwerkelijk wel is verstuurd vanaf een server die deze handtekeningen kan plaatsen. 

DMARC Records

Zoals hierboven beschreven verzamelen emailverwerkers zoals Microsoft en Google dus gegevens over de ontvangen emails en kan op basis hiervan op twee manieren bekeken worden of de mail wel van de servers komt waar hij vandaan zou moeten komen door naar de SPF en DKIM records te kijken. Door nog een record in DNS aan te maken, het zogenaamde DMARC record, kan de eigenaar van de domeinnaam onder andere een voorstel doen aan de ontvangende mailserver wat hij moet doen met de mail wanneer deze daar via een andere server naar toe is gestuurd. Ook kan hij om bijvoorbeeld rapportages vragen zodat hij kan zien of zijn domein wordt geweigerd dan wel misbruikt.

In het DMARC record kan aangeven worden dat mail die niet van de juiste plak afkomstig is, geweigerd zou moeten worden. Daarmee zal het niet de mailbox van de ontvanger kunnen bereiken. De mail wordt al bij de poort tegen gehouden op advies van de domeinhouder, mits de ontvangende emailserver de instructie van het DMARC record hiervoor accepteert. Deze ontvangende mailserver kan dit namelijk overrulen. 

Grote emailproviders, zoals Microsoft, Facebook en Google hebben hun emailservers zo ingesteld dat zij gehoor geven aan dergelijke instructies en daarmee wordt een belangrijk deel van waarschijnlijk ook uw relaties beschermt met een DMARC record voor uw domeinen omdat dit beschermd wordt tegen misbruik zoals phishing en spoofing. Verwacht wordt dat andere emailproviders snel zullen volgen als zij dit nog niet hebben gedaan.

Het moge duidelijk zijn dat een DMARC record alleen zin heeft wanneer er ook een SPF record en/of DKIM record is aangemaakt.

Voordelen

Naast het voorkomen van deze mail richting uw relaties, zorgt het gebruik van SPF, DKIM en DMARC records ook voor een imago verbetering van uw eigen organisatie. Uw domeinnaam heeft daardoor immers veel minder kans om misbruikt te worden door kwaadwillenden.