Innovatie

DMARC voor beveiliging & een betere aflevering van e-mail

0

Ondanks alle veiligheidsmaatregelen om e-mail beter te beschermen, neemt de cybercriminaliteit in dat kanaal elk jaar toe. In dit artikel laat ik je kennismaken met DMARC, een e-mailvalidatiesysteem waarmee je een domein kunt beveiligen.

Wereldwijd zijn er bijna 5 miljard e-mailaccounts. Er is geen kanaal met een groter bereik dan e-mail. Dit zorgt ervoor dat cybercriminelen het graag misbruiken. Zo is 85 procent van alle wereldwijd verzonden e-mails kwaadaardig. 30 procent van de phishing-mails wordt daadwerkelijk geopend. En 95 procent van alle hackaanvallen en datalekken hebben betrekking tot e-mail (pdf).

Soorten beveiliging

De eerste veiligheidsmaatregelen die mensen nemen zijn vaak organisatorisch van aard. Denk aan het gebruik van sterkere wachtwoorden, je software up-to-date houden etc. Helaas zitten fraudeurs niet stil en lopen ze vaak voor op ontwikkelingen. Zo moet een lek in de software eerst geconstateerd worden, voordat je deze kunt verhelpen.

Beveiliging op domeinniveau

Naast de hierboven genoemde organisatorische methoden, zijn er ook e-mailauthenticatie-technieken beschikbaar die je kunt gebruiken om bescherming te bieden tegen phishing– en spoofingaanvallen. Dit zijn technieken zoals DKIM en SPF. Het voordeel van deze technieken is dat je ze op domeinniveau kunt inrichten, zonder dat het een belasting vormt voor de gebruiker.

  • E-mailauthenticatie via DKIM (DomainKeys Identified Mail)
    DKIM is een techniek die een ontvanger toestaat om te controleren of een e-mail echt verstuurd en geautoriseerd is door de eigenaar van het domein. Dit gebeurt op basis van een sleutel die in het bericht wordt meegestuurd.
  • E-mailauthenticatie via SPF (Sender Policy Framework)
    SPF is een techniek die ontvangende mailservers de aanwezigheid van een SPF record bij de verzender kan laten opvragen. Daarmee wordt gecontroleerd of de verzender e-mails uit naam van het betreffende domein mag versturen.

Bovengenoemde methodes voor e-mailauthenticatie zijn helaas niet toereikend, omdat ze omzeild kunnen worden. Om deze reden hebben diverse marktleiders – zoals PayPal, Google, Microsoft en Yahoo! – samengewerkt om de specificatie DMARC (Domain-based Message Authentication, Reporting & Conformance) te creëren.

DMARC: wat is het en hoe werkt het?

Als domeineigenaar wil je er zeker van zijn dat jouw publiek enkel berichten ontvangt waarvan jouw domein de zender is. Dit is dan ook de reden dat domeineigenaren DMARC nodig hebben. Het beveiligen van een e-mailkanaal met deze techniek geeft de ontvanger zekerheid dat berichten daadwerkelijk afkomstig zijn van de zender.

Na publicatie van een DMARC-record, worden ISP’s (internet providers) verzocht om rapporten te versturen naar het daarvoor opgegeven e-mailadres. Deze rapporten geven inzicht wie er namens het opgegeven domein e-mails verstuurt.

Weergave van e-mailbeveiliging

Bron afbeelding: DMARC Analyzer

DMARC maakt gebruik van een goed ingesteld SPF- of DKIM-record. Het controleert of het “header from“-veld in de e-mail gelijk is aan het veld “envelope from“, zoals dat door SPF gecontroleerd wordt. Het controleert ook of het “header from”-veld overeenkomt met het deel “d=domeinnaam.nl” uit de DKIM-handtekening. Bovendien kan er een DMARC-beleid worden afgedwongen dat ISP’s instrueert om e-mailberichten, waarbij de DMARC-check faalt, niet af te leveren in de inbox.

Adoptietrend

DMARC werd aanvankelijk gebruikt door beveiligingsexperts in de financiële sector. Tegenwoordig maken er steeds meer organisaties gebruik van. E-mailmarketeers zien het steeds vaker als een verplicht aspect van online beveiliging en de verbetering van e-mailaflevering. Net als SPF en DKIM is het opgenomen op de pas-toe-of-leg-uitlijst met open standaarden van het Forum Standaardisatie van de Rijksoverheid.

In de loop van 2018 is het aantal DMARC-records dat in de DNS is gepubliceerd iets meer dan twee en een half keer toegenomen. Eind 2017 waren er ongeveer 240.151 records gepubliceerd en eind 2018 is dit aantal gestegen naar ongeveer 630.000.

Een verstandige keus

Alhoewel je het nooit als enige beveiliging zou moeten gebruiken, zijn er wel een aantal voordelen van DMARC ten opzichte van andere e-mailbeveiligingsmethoden:

  • Het legt geen extra druk op gebruikers
  • Het draagt bij aan een betere e-mailaflevering, doordat het een positieve invloed heeft op de e-mailserverreputatie
  • Het geeft direct inzicht in alle e-mailberichten verzonden uit naam van het opgegeven domein

De implementatie van DMARC is een technische aangelegenheid en er zijn vaak meerdere afdelingen (of externe partijen) van een organisatie bij betrokken. Mocht je vragen hebben na het lezen van dit artikel, stel ze gerust via een reactie onderaan dit artikel.