Dagelijks wordt uw mailbox geteisterd door SPAM partijen die op ongeldige wijze berichten sturen zonder goedkeuring. De oorlog tegen SPAM wordt deels succesvol tegengegaan met verschillende beveiligingen. DMARC (Domain-based Message Authentication, Reporting & Conformance) is de nieuwste specificatie op dit gebied.
Phishing mails (het versturen van nieuwsbrieven onder een valse domeinnaam) gebeurt namelijk steeds vaker en was tot op heden moeilijk te voorkomen. DMARC gaat de strijd aan tegen deze phishing mails.
Wat is DMARC?
DMARC is ontwikkeld door oud medewerkers van Google en wordt al gebruikt door grote organisaties als Facebook, Yahoo en Google. Het is een extra laag bovenop de (veelgebruikte) e-mail authenticatie methoden SPF en DKIM. Met DMARC is er de mogelijkheid dat ISP’s kunnen controleren of domeinbeheerders hun zaken op orde hebben.
Op www.dmarc.org (ook handig om te bekijken voor meer informatie en tools) is te lezen dat DMARC bezig is om opgenomen te worden als Internet Standard RFC. Gezien de snelle ontwikkelingen en het ingebruikname van grote organisaties (Microsoft, PayPal, ReturnPath, LinkedIn, Facebook, Yahoo) is de kans groot dat DMARC een groot aandeel gaat leveren in de markt.
Door het publiceren van een DMARC record kunnen domeinbeheerders aangeven hoe zij hun domeinstructuur geregeld hebben. Hierdoor kunnen verzenders die er zeker van zijn dat hun e-mail correct wordt verstuurd (met SPF/DKIM handtekening), aangeven wat hun beveiligingsniveau is. Met deze informatie kunnen ISP’s e-mails die zonder correcte SPF records of DKIM handtekening binnenkomen, de e-mail direct in de junk folder plaatsen of verwijderen.
Wat is nieuw aan DMARC?
Het meest vernieuwende aan DMARC is dat er de mogelijkheid is om rapportages te ontvangen van de ISP’s. Op deze manier krijgt de verzender inzicht in de hoeveelheid e-mail die bij de ISP’s wordt ontvangen, maar belangrijker is: hoeveel van deze e-mail is mogelijk frauduleus (phishing)?
Voor het versturen van de rapporten kan worden gekozen voor een batch verzending waarbij de ISP’s per dag een e-mail verzenden naar een opgegeven e-mailadres (aggregate reports). Daarnaast is het ook mogelijk om specifieke foutieve e-mails te ontvangen (forensic reports).
De aggregate reports worden momenteel verstuurd door Google, Yahoo, XS4All en Netease. Gezien de snelle ontwikkelingen zijn de verwachtingen dat dit aanbod snel zal uitbreiden naar andere ISP’s. De forensic reports worden momenteel alleen door Netease verstuurd, maar ook dit aantal zal toenemen.
Naast het onderdeel ‘rapportage’ bevat DMARC nog een andere vernieuwing. Naast het controleren van de SPF records en DKIM handtekening, controleert het ook of deze overeenkomen met het afzenderadres van de e-mail. Als deze controle, de ‘alignment’, goed is, slaagt de e-mail voor de DMARC tests en wordt die doorgelaten bij de ISP’s. Door het controleren van het afzenderadres is, kunnen de mailings dus beschermd worden tegen phising.
Interessant! Waar begin ik?
Starten met DMARC is vrij eenvoudig en zijn in principe slechts drie stappen. Welke stappen moeten doorlopen worden?
1. Ontvangen van de rapporten: publiceer een nieuw DNS record
2. Inzichtelijk maken van de DMARC rapporteren: gebruik een tool
3. Analyseren en aanpassen
Let op: voor onderstaande stappen is er enige technische kennis nodig. Mogelijk kunt u sommige handelingen ook door uw systeembeheerder laten uitvoeren.
1. Ontvangen van de rapporten: publiceer een nieuw DNS record
Om de DMARC rapporten te ontvangen moet er een DNS record toegevoegd worden in uw DNS instellingen. Het is handig om hier een DNS record generator voor te gebruiken. Ongeveer 24 uur nadat u de DNS record heeft geplaatst, zullen de eerste aggregate rapporten binnenkomen.
Tip: Het is handig om eerst 2 dedicated e-mailboxen aan te maken waar u alle rapporten heen stuurt. Hierdoor houdt u de rapporten gescheiden van uw andere e-mail.
2. Inzichtelijk maken van de DMARC rapporteren: gebruik een tool
Schrik niet zodra de rapporten binnenkomen want het zijn er nogal veel! Om tijd te besparen zijn er tools die al deze rapporten verwerken en automatisch analyseren. Door het gebruiken van een tool kan je in een makkelijk overzicht zien waar mogelijke problemen liggen.
3. Analyseren en aanpassen
Nadat alle data verzameld is, is het tijd om deze te analyseren. Hierbij is het belangrijk om opzoek te gaan naar welke e-mails niet ‘aligned’ zijn. Dit betekent dat de controle tussen SPF en DKIM niet overeenkomen met het opgegeven DMARC domein. Dit betekent dus dat uw domein mogelijk door ongeldige partijen wordt misbruikt, wat dus gecontroleerd moet worden.
In de revu: een stappenplan om aan de slag te gaan
Hieronder in het kort een samenvattend stappenplan om te starten met DMARC en uw e-mail te beveilingen:
Maak 2 dedicated e-mailboxen aan voor de rapporten
- Publiceer een DNS record
- Analyseer de rapporten
- Breng uw e-mailflows in kaart en test deze. Per flow dient u na te gaan of de betreffende flow correct wordt ondertekend met DKIM en ook correcte SPF records bevat. Naast de flows is het ook belangrijk om alle apparatuur te testen (wellicht verstuurt uw iPhone mail via een andere SMTP server waardoor dit niet wordt ondertekend).
- Als u alle flows heeft nagelopen kunt u langzaam de DNS records naar een andere policy zetten. Begin altijd op een laag percentage en verhoog dit langzaam. Check uiteraard tijdens dit proces dagelijks of er problemen ontstaan en wees alert op meldingen dat mail mist en/of niet aan komt.
Ik ben erg benieuwd wie in Nederland hier nog meer actief mee is, of voor wie dit erg interessant kan zijn.
Remon, hartelijk welkom als nieuwe auteur bij het emailblog!
En direct een mooi overzicht van wat DMARC betekent en hoe je er mee start. Ik ga ervan uit dat er nog vele interessante artikelen zullen volgen en zie uit naar je volgende artikel