Mail Spoofing: Hoe je e-mails veilig houdt en fraude voorkomt

E-mails zijn al tientallen jaren onderdeel van ons dagelijks leven, maar weinigen realiseren zich hoe eenvoudig het is voor kwaadwillenden om de afzenderinformatie te vervalsen wanneer de beveiliging van jouw organisatie niet op orde is. In deze blogpost vertel ik wat spoofing is, ontdekken we hoe dit mogelijk is en deel ik informatie om je organisatie te beschermen tegen deze vorm van fraude.

Wat is mail spoofing? #

Mail spoofing is het vervalsen van de afzenderinformatie in een e-mailbericht om de ontvanger te laten geloven dat de e-mail afkomstig is van een andere bron dan de werkelijke verzender. Een voorbeeld kan zijn dat iemand met frauduleuze doeleinden mails stuurt via facturen@mijn-organisatie.nl naar klanten met de vraag om geld over te maken, zonder dat de verzender daadwerkelijk toegang heeft tot dit e-mailadres.

Hoe is mail spoofing mogelijk? #

Zonder de juiste beveiligingsmaatregelen kunnen mensen dus eenvoudig doen alsof ze e-mails via jouw domein sturen, omdat er geen manier is om de echtheid van deze e-mails te controleren. Mail spoofing is mogelijk door de manier waarop het e-mail protocol is opgezet. E-mails bevatten afzenderinformatie die door de verzender kan worden aangepast, e-mailontvangers vertrouwen op de DNS om de juistheid van de afzender van een e-mail te valideren. Bij het ontvangen van een e-mail worden de DNS-records van de afzender geraadpleegd om te bepalen of de afzender geautoriseerd is om namens dat domein e-mails te verzenden, zijn deze regels in het DNS niet- of niet goed opgezet dan is het zomaar mogelijk dat de e-mails als vertrouwd worden gezien.

E-mail authenticatie via DNS #

Om dit probleem op te lossen en er voor te zorgen dat mails daadwerkelijk gevalideerd worden kan gebruik worden gemaakt van SPF en DKIM:

• Sender Policy Framework (SPF) is een techniek waarbij de DNS-records van een domein worden gebruikt om te specificeren welke e-mailservers gemachtigd zijn om e-mails te verzenden namens dat domein. Ontvangers van e-mails controleren het SPF-record in de DNS om te verifiëren of de verzendende server legitiem is. Als er geen SPF-record aanwezig is of als de server niet overeenkomt met het record, kan de e-mail als verdacht worden beschouwd.

• DomainKeys Identified Mail (DKIM) is het gebruik van digitale handtekeningen om e-mails te valideren. Het publieke deel van de DKIM-sleutel wordt opgeslagen in DNS. Wanneer een e-mail wordt ontvangen, wordt de digitale handtekening van de mail vergeleken met de in DNS opgeslagen sleutel om ervoor te zorgen dat de e-mail niet is gewijzigd sinds deze is verzonden. Kunnen de sleutels niet vergeleken worden dan kan de e-mail niet gevalideerd worden.

Het is dus verstandig om SPF en DKIM op te zetten voor alle tools die je gebruikt om via jouw domein mails te versturen, denk aan een boekhoud tool die mails stuurt naar werknemers via bijvoorbeeld een e-mailadres als officemanager@mijn-organisatie.nl. SPF gebruik je om te specificeren welke e-mailservers gemachtigd zijn om e-mails te verzenden namens dat domein. DKIM gebruik je om te valideren dat de e-mail niet is gewijzigd sinds deze is verzonden.

De SPF records en DKIM records zijn vaak te vinden via de instellingen van de desbetreffende tool, of moet je hiervoor contact opnemen met de klantenservice. De records kun je instellen in de DNS van jouw domein. Een SPF record ziet er bijvoorbeeld als volgt uit:

v=spf1 include:_spf.google.com ~all

En een DKIM record ziet er bijvoorbeeld als volgt uit:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwJ

Wat te doen met e-mails die niet voldoen aan de verificatie? #

Wanneer je SPF en DKIM hebt ingesteld is het verstandig om een DMARC record op te zetten. DMARC staat voor Domain-based Message Authentication, Reporting & Conformance en is een techniek die je in staat stelt om te bepalen wat er moet gebeuren met e-mails die niet voldoen aan de SPF en/of DKIM-verificatie.

DMARC kent drie beleid opties die e-mailprogramma’s verteld wat het moet doen met een e-mail wanneer het niet voldoet aan de SPF en/of DKIM-verificatie:

• Quarantine: E-mails die niet aan de verificatie voldoen, worden in de spamfolder geplaatst of gemarkeerd als verdacht, maar ze worden nog steeds afgeleverd.
• Reject: E-mails die niet aan de verificatie voldoen, worden volledig geweigerd en niet afgeleverd.
• None: Er wordt niets specifieks gedaan met e-mails die niet aan de verificatie voldoen, maar er wordt wel een rapportage gestuurd naar het gedefinieerde e-mailadres dat in de DMARC regel is ingesteld. Deze optie zou ideaal kunnen zien wanneer je DMARC wil instellen maar niet weet wat er om zou vallen.

Ook een DMARC record is in te stellen in de DNS van jouw domein. Een DMARC record ziet er bijvoorbeeld als volgt uit:

v=DMARC1; p=none; ruf=mailto:persoon@mijn-organisatie.nl;

Bij ‘p’ kan je de beleidsoptie kiezen, in dit geval ’none’. Bij ‘ruf’ kan je het e-mailadres invullen waar de rapportage naartoe gestuurd moet worden. In deze rapportages kan je zien welke e-mails niet voldoen aan de verificatie en welke acties er zijn ondernomen.

Is mijn organisatie kwetsbaar voor mail spoofing? #

Het is verstandig om te controleren of jouw organisatie kwetsbaar is voor mail spoofing. Gelukkig is dit eenvoudig met een gratis tool als mxtoolbox.com, hier kun je jouw domeinnaam in vullen. Zodra je een rood kruis of geel uitroepteken ziet staan bij DMARC weet je dat je kwetsbaar bent voor mail spoofing.

Conclusie #

In deze blogpost hebben we besproken wat mail spoofing is en hoe het mogelijk is. We hebben ook gekeken naar de beveiligingsmaatregelen die genomen kunnen worden om je organisatie te beschermen tegen deze vorm van fraude, zoals het gebruik van SPF en DKIM. Daarnaast hebben we het belang van een DMARC-record benadrukt om te bepalen wat er moet gebeuren met e-mails die niet voldoen aan de verificatie. Tot slot hebben we gekeken hoe je kunt controleren of jouw organisatie kwetsbaar is voor mail spoofing.