Veilig mailen met DMARC en andere technieken
Dat internetoplichters nog steeds heel graag kiezen voor e-mail als hun weapon of choice zal niemand weerleggen. Iedereen krijgt weleens een phishingmail van een adres dat bijna niet van echt te onderscheiden is. Zo’n vervalst e-mailadres kan worden gebruikt om je bank of een andere instantie te imiteren en jouw inloggegevens te achterhalen of je computer te infecteren met schadelijke software. Vervelend genoeg als je zelf zo’n mailtje ontvangt, maar des te vervelender als iemand zich voordoet als jouw bedrijf en mensen uit jouw naam gaat mailen. Gelukkig zijn er, naast de creatieve oplossingen, ook genoeg technische oplossingen die je kunt toepassen zodat jij veilig kunt mailen en het een stuk moeilijker wordt voor spammers om je te imiteren of oplichten.
Spam, egg, spam, spam, bacon and spam
E-mail in z’n vroegste vorm stamt al uit de jaren ’60, maar won aan populariteit en functionaliteit toen het bruikbaar werd via ARPANET, de voorloper van ons huidige internet. De eerste bekende spam-e-mail werd in 1978 verstuurd door Gary Thuerk, maar de term werd pas in de jaren ’80 ingevoerd. Het is een referentie naar een Monthy Python-sketch, waarin het woord veelvuldig wordt herhaald. Spammers gebruikten die referentie in chatrooms en op bulletinboards door het woord ‘spam’ te herhalen en zo het kanaal onbruikbaar te maken voor anderen. In het begin werd deze massale spam-methode in e-mail vooral ingezet voor massamarketingdoeleinden door daadwerkelijke legitieme bedrijven. Tegenwoordig is zo’n 55% van alle verzonden e-mail spam.
Het belang van veilig mailen
E-mail is een van de meestgebruikte communicatiemiddelen geworden. Het totale verbruik is zelfs 3 keer groter dan al het andere internetverbruik! Niet verwonderlijk dus dat oplichters zich hebben gericht op e-mailmanipulatie en veel tijd en moeite doen om hun phishing- en spammail zo echt mogelijk te laten lijken. Tegelijkertijd zijn er ook inspanningen geweest om die criminelen de wind uit de zeilen te nemen. Technieken als STARTTLS en DANE, maar ook SPF, DKIM en DMARC helpen met veilig mailen: ze zorgen ervoor dat het mailverkeer via een beveiligde verbinding wordt verzonden en niet kan worden gemanipuleerd of uitgelezen.
STARTTLS en DANE beveiligen het transport
Er zijn vele verschillende lagen waarop jouw e-mailverkeer versleuteld en beveiligd kan worden. Het TLS-protocol (waar SSL de voorloper van is) versleutelt de transportlaag van je e-mailverkeer. Het werkt echter als een onafhankelijke protocollaag en moet wel aangeroepen en gebruikt worden om nut te hebben. Met STARTTLS kan een mailprotocol, zoals SMTP, IMAP of POP3, een TLS-handshake initiëren voor het verkeer wat er via dat protocol verstuurd gaat worden. Het heeft wel een nadeel: STARTTLS is een opportunistische TLS-initiatie, wat inhoudt dat het protocol kan terugvallen op onversleuteld verkeer als de handshake faalt. Met een man-in-the-middle-aanval kan een aanvaller de mailclient laten denken dat TLS niet beschikbaar is en het verkeer onversleuteld laten versturen zonder dat de eindgebruiker daar weet van heeft.
Gelukkig is daar een extra laag bescherming voor in de vorm van DANE. DANE werkt via het DNSSEC-protocol. Het koppelt een DNS-record aan de keys van een TLS-certificaat via een TLSA-record en geeft daarmee aan dat jouw mailserver alleen te benaderen is over die versleutelde verbinding. Een man-in-the-middle-aanvaller kan zich zo niet voordoen als ontvangende server, omdat de keys niet overeenkomen. Voor SMTP-servers wordt de combinatie van DANE en STARTTLS gezien als een sterke beveiliging voor de transportlaag van het dataverkeer. Het gebruik van deze combinatie voor veilig mailen is sinds 2018 ook voor overheidsinstanties verplicht en opgenomen in de Lijst Open Standaarden.
Er is in de loop der jaren wel veel kritiek gekomen op het gebruik van DNSSEC en DANE als securityprotocol, maar dat gaat vooral om de beveiliging van verkeer tussen webservers, niet tussen mailservers.
Veilig mailen met SPF en DKIM
SPF en DKIM zijn twee protocollen die ontvangende mailservers moeten helpen met de bescherming en authenticatie van de verzendende partij van een mail. SPF staat voor Sender Policy Framework. Met een SPF-record kun je vastleggen wie er namens een domein e-mail mag versturen. Dat doe je aan de hand van een TXT-record, waarin je IP-adressen, A-records of MX-records opneemt. De ontvangende mailserver kan daarmee controleren of de e-mail afkomstig is van het daadwerkelijke domein, of dat iemand alleen doet alsof. SPF-records werken om die reden echter niet zo goed samen met forwarders, dus worden ze bij voorkeur niet al te strikt ingericht.
Daarnaast is er het DKIM-protocol. DKIM stuurt een handtekening mee in de headers van een e-mail die door de ontvangende mailserver gecheckt kan worden tegen een sleutel op de DNS-server. Komen deze overeen, dan is de verstuurder wie hij zegt te zijn. Daarnaast bevestigt deze handtekening dat de inhoud van de mail niet is aangetast nadat hij is verstuurd.
Wat is DMARC?
Afzonderlijk zijn SPF en DKIM wellicht een verbetering, maar ze werken pas optimaal wanneer ze samen worden gebracht in het DMARC-protocol. DMARC geeft een domeinhouder de mogelijkheid om in de DNS vast te leggen of één van de twee of juist beide protocollen moeten worden gecontroleerd. Daarnaast kan een domeinhouder zelfs eisen dat een e-mail niet alleen door de SPF- en DKIM-checks heen komt, maar dat de domeinnamen in de FROM-header gedeeltelijk of compleet overeenkomen.
Het DMARC-record in de DNS bevat vervolgens een regel over het afhandelen van e-mail die niet door de controle heen komt. Zo kan alle e-mail die niet voldoet meteen worden afgewezen zonder ooit in de buurt van een mailbox te komen. Dat klinkt wellicht als de beste optie, maar het instellen van DMARC en de bijbehorende DNS-records is nog steeds mensenwerk en dus gevoelig voor fouten. Het zou zomaar kunnen betekenen dat je onnodig mailtjes blokkeert. Een andere optie is om mail die de test niet door is gekomen, in quarantaine te plaatsen. De mail wordt dan wel afgeleverd, maar wordt automatisch als spam aangemerkt en in je spambox gezet.
De laatste optie is om alles maar gewoon te accepteren. Deze optie is alleen handig als je je DMARC-record aan het instellen bent, omdat dit ervoor zorgt dat er rapportages gegenereerd worden van alle e-mail die aankomt. Aan de hand van deze gegevens pas je je DMARC-policy aan tot het naar wens is ingesteld. Zo kun je een policy toevoegen die bijvoorbeeld alleen exacte matches met de domeinnamen in het SPF- en DKIM-record doorlaat, en alle andere mails in quarantaine stopt of zelfs helemaal weert.
ARC voor de forwarders
Een te strenge DMARC-policy kan alsnog tegen je werken wanneer je bijvoorbeeld gebruikmaakt van externe platformen die namens jou mogen mailen of forwarden. Externe mailplatformen zullen de body van je mail vaak aanpassen met hun eigen footer of header, wat DKIM invalideert. Een forwarder zal niet door de SPF-check heen komen. Om dat probleem op te lossen is het ARC-protocol in het leven geroepen. ARC voegt één of meerdere headers toe aan de mail die een referentie toevoegen aan de voorgaande entiteit die het mailtje behandeld heeft. Zo kan de ontvangende mailserver alsnog zien dat de e-mail weliswaar door betrouwbare tussenliggende servers is behandeld, maar wel eerst door de SPF- en DKIM-controles heen is gekomen. Op dit moment is ARC echter nog steeds in de experimentele fase en zal nog behoorlijk wat ontwikkeling doorgaan voor het als industriestandaard kan worden aangenomen.
De adoptie van DMARC
Op dit moment is DMARC al door een overgroot deel van de mailontvangers geïmplementeerd. Office 365 is zelfs al mondjesmaat bezig met het implementeren van ARC, al is dat nog gelimiteerd tot mails die binnen Office zelf verstuurd worden. Daarnaast is DMARC ook toegevoegd aan de Lijst Open Standaarden van de Nederlandse Overheid, waarmee het gebruiken ervan verplicht wordt gesteld voor alle overheidsinstanties. Dit, in combinatie met de STARTTLS en DANE implementatieverplichting, zal in elk geval een boost geven aan e-mailveiligheid binnen de Nederlandse overheid en wellicht een impuls betekenen voor het bedrijfsleven om zich ook aan die standaarden voor veilig mailen te gaan houden.
Bedankt voor het toelichten!