Webmailaanbieders werken aan antiphishingstandaard
Een aantal grote webmailaanbieders, waaronder Google, Microsoft en Yahoo, is met onder andere Facebook, PayPal en partijen uit de financiële wereld een samenwerking aangegaan om tot een antiphishingstandaard te komen.
In totaal vijftien bedrijven gaan samenwerken in de organisatie Dmarc, wat staat voor Domain-based Message Authentication, Reporting and Conformance. Dmarc is een verificatiesysteem waarbij onder andere webmailaanbieders kunnen controleren of een e-mail daadwerkelijk van een bedrijf afkomstig is en niet van een partij die via phishing persoonsgegevens probeert te achterhalen.
Naast enkele grote webmailaanbieders, zoals Google met Gmail en Microsoft met Hotmail, hebben zich nu ook AOL, Bank of America, Fidelity Investments, American Greetings, LinkedIn en Facebook bij de Dmarc-werkgroep aangesloten. De organisatie is echter al langer bezig met het opstellen en implementeren van de Dmarc-standaard. Zo blokkeert PayPal dagelijks al tweehonderdduizend phishingmails door zijn samenwerking met Gmail en Yahoo Mail.
Of de Dmarc-antiphishingstandaard uitgroeit tot een breed omarmde internetstandaard, moet nog blijken, maar door de verbrede samenwerking van een aantal grote internetbedrijven neemt de kans hierop toe. Zo moeten ontwikkelaars van e-mailapplicaties en mailservers de standaard in hun software implementeren.
Reacties (30)
SPF is helaas in niet goed ontworpen, je hebt 2 scenarios:
1: Je geeft je mail servers aan en zecht dat je bijna zeker weet dat je alle normale verzendende mailservers hebt gehad (~all), in dit geval werken fallback servers, maar uiteindelijk weet je dus nog steeds niet zeker dat het wel de goede persoon is.
2: Je geeft aan dat je ALLE mailservers hebt gehad (-all), in dit geval kunnen fall back servers niet meer werken, omdat deze niet in jou dns genoemd staan (heb helaas bedrijven meegemaakt met deze instelling, die "simpelweg" alle andere fallback servers wouden includen
)
1: Je geeft je mail servers aan en zecht dat je bijna zeker weet dat je alle normale verzendende mailservers hebt gehad (~all), in dit geval werken fallback servers, maar uiteindelijk weet je dus nog steeds niet zeker dat het wel de goede persoon is.
2: Je geeft aan dat je ALLE mailservers hebt gehad (-all), in dit geval kunnen fall back servers niet meer werken, omdat deze niet in jou dns genoemd staan (heb helaas bedrijven meegemaakt met deze instelling, die "simpelweg" alle andere fallback servers wouden includen
)
[Reactie gewijzigd door Gieltje op 30 januari 2012 19:33]
SPF is wel goed ontworpen. Dat sommige beheerders er niet mee om kunnen gaan is een tweede.
Het derde scenario is het correcte: -all gebruiken en vervolgens 1 hop verder kijken in het geval dat de remote server een fallback server is.
Het derde scenario is het correcte: -all gebruiken en vervolgens 1 hop verder kijken in het geval dat de remote server een fallback server is.
Tja, Microsoft heeft al jaren Sender-ID (zo heette het toch? Je ziet het wel eens boven emailtjes van webdiensten die je een mailtje sturen met als afzender van een vriend van je) en Google heeft al een hele tijd DKIM zoals blijkbaar ook in deze standaard wordt beschreven.
Het is bijzonder krachtig, want als dit wereldwijd zou worden ingevoerd kun je tenminste fatsoenlijk gaan blacklisten. Immers, je kan geen e-mailadressen meer neppen in de From:-header. Helaas, het zal wel een utopie blijven
edit: het komt niet uit het artikel naar voren, maar het werkt dus ook voor particulieren. Gmail 'ondertekend' mailtjes van gebruikers al jaren met een DKIM-signature en filtert daar ook deels op voor de spam. Deze Dmarc standaard bouwt blijkbaar een policy om het systeem uit, zo lijkt uit het plaatje naar voren te komen.
Het is bijzonder krachtig, want als dit wereldwijd zou worden ingevoerd kun je tenminste fatsoenlijk gaan blacklisten. Immers, je kan geen e-mailadressen meer neppen in de From:-header. Helaas, het zal wel een utopie blijven
edit: het komt niet uit het artikel naar voren, maar het werkt dus ook voor particulieren. Gmail 'ondertekend' mailtjes van gebruikers al jaren met een DKIM-signature en filtert daar ook deels op voor de spam. Deze Dmarc standaard bouwt blijkbaar een policy om het systeem uit, zo lijkt uit het plaatje naar voren te komen.
[Reactie gewijzigd door ktf op 30 januari 2012 13:35]
Leuk bedacht allemaal, maar als je dan een mailing wil doen, moet je die ineens ook vanaf je eigen server doen ipv dat je een professionele service inschakelt die voor jou de verzending regelt vanaf hun servers.
En voor consumenten betekent het dat ze alleen nog maar het mailadres van hun provider kunnen gebruiken, geen eigen domeintje. En providers sluiten vaak poort 25 af, dus ben je aangewezen op webmail
En dat terwijl gmail/hotmail juist verkeerd bezig zijn (maar ja, dat is hun opzet). Als ik een mail stuur vanaf 'mijn' gmail-adres ben ik helemaal gmail niet die een mailtje stuurt, het bericht komt niet eens vanuit gmails netwerk, het komt via http vanaf een ongecontroleerde bron. Dat webmailsysteem is hetgeen dat fundamenteel incorrect is, maar waar met alle macht geprobeerd wordt om dat in stand te houden.
Zolang mensen voor de gek te houden (of gewoon dom) zijn, gaat dit allemaal niet helpen. Het maakt alleen e-mail gecompliceerder en daarmee minder bruikbaar.
Als ik een mail stuur vanaf jouwbank.veilig.tv en mensen vullen domweg hun bankgegevens in, is elke beveiliging kansloos.
En voor consumenten betekent het dat ze alleen nog maar het mailadres van hun provider kunnen gebruiken, geen eigen domeintje. En providers sluiten vaak poort 25 af, dus ben je aangewezen op webmail
En dat terwijl gmail/hotmail juist verkeerd bezig zijn (maar ja, dat is hun opzet). Als ik een mail stuur vanaf 'mijn' gmail-adres ben ik helemaal gmail niet die een mailtje stuurt, het bericht komt niet eens vanuit gmails netwerk, het komt via http vanaf een ongecontroleerde bron. Dat webmailsysteem is hetgeen dat fundamenteel incorrect is, maar waar met alle macht geprobeerd wordt om dat in stand te houden.
Zolang mensen voor de gek te houden (of gewoon dom) zijn, gaat dit allemaal niet helpen. Het maakt alleen e-mail gecompliceerder en daarmee minder bruikbaar.
Als ik een mail stuur vanaf jouwbank.veilig.tv en mensen vullen domweg hun bankgegevens in, is elke beveiliging kansloos.
[Reactie gewijzigd door Roland684 op 30 januari 2012 14:45]
Het garandeert dat de mail vanaf een GMail server verstuurd is. Hoe die daar komt staat niet vast. Het enige dat je zeker weet is dat de mail vanaf GMail komt en dat die door een gmail server naar jou toe gestuurd is - dwz, als er iets mis mee is kun je gmail verantwoordelijk houden.
De andere kant van hun security is natuurlijk letterlijk een ander verhaal.
De andere kant van hun security is natuurlijk letterlijk een ander verhaal.
In je DNS kan je via een SPF record aangeven dat die professionele service geauthoriseerd is om mail met jou als afzender te sturen. De ontvangende partij leest vervolgens jou SPF record uit en kijkt of de versturende host in de allowed list staatmaar als je dan een mailing wil doen, moet je die ineens ook vanaf je eigen server doen ipv dat je een professionele service inschakelt die voor jou de verzending regelt vanaf hun servers.
Het idee hierachter is uiteraad dat alleen de eigenaar van een domein DNS records kan veranderen en dus de geauthoriseerde mailservers kan opgeven
dan moet jij jouw externe professionele partij maar toelaten om als sender van jouw domain te fungeren of je mailing zelf verzorgen
Lees ik nu heel scheef, of staat er gewoon wij kijken zo`n beetje de mail in om te kijken of hij wel door jou of een ander is verstuurd?Dmarc is een verificatiesysteem waarbij onder andere webmailaanbieders kunnen controleren of een e-mail daadwerkelijk van een bedrijf afkomstig is en niet van een partij die via phishing persoonsgegevens probeert te achterhalen.
Weet nu niet heel erg of we daar blij mee moeten zijn.
Deze informatie wordt uit de header van de e-mail gehaald, niet uit de body die eventueel gevoelige informatie bevat.
Het From adres in een E-mail wordt gebruikt om een DNS record op te vragen. Aan de hand van dit DNS record worden bepaalde anti-spam maatregelen gebruikt.
Wat betreft het inkijken van E-mail, dat gebeurt sowieso wel. Een spamfilter vergelijkt de inhoud, de headers en de SMTP transactie van een E-mail met duizenden bekende spam en phishing regels en stuurd hashes van de E-mail op naar (meestal) meerdere andere partijen waar dit weer wordt vergeleken met een enorme database bekende hashes.
Wat betreft het inkijken van E-mail, dat gebeurt sowieso wel. Een spamfilter vergelijkt de inhoud, de headers en de SMTP transactie van een E-mail met duizenden bekende spam en phishing regels en stuurd hashes van de E-mail op naar (meestal) meerdere andere partijen waar dit weer wordt vergeleken met een enorme database bekende hashes.
Als ik naar het begeleidende plaatje kijk dan wordt dit gedaan door middel van het inserten van een DKIM header. Later wordt deze geverifieerd. Denk dat je je alu-hoedje nog wel ff af kan laten ;-)
Ik weet niet hoe je bij die conclusie komt. Je leest wel heeeeel erg scheef.
Dmarc is een soort whitelist-systeem waardoor je bij kunt houden welke adressen illegaal of legaal zijn. Daarvoor gebruiken ze dus DKIM en SPF in headers.
Dmarc is een soort whitelist-systeem waardoor je bij kunt houden welke adressen illegaal of legaal zijn. Daarvoor gebruiken ze dus DKIM en SPF in headers.
[Reactie gewijzigd door Relief2009 op 30 januari 2012 13:42]
Via het SMTP protocol worden altijd de afzender en ontvanger doorgegeven. Pas later (als de mailserver de afzender en ontvanger(s) accepteert kan via het data commando de daadwerkelijk email worden doorgegeven.
SPF, Sender-ID, DKIM en Dmarc maken gebruik van het DNS systeem of te bepalen of de SMTP client (wat ook de mail server van jouw provider kan zijn als hij de mail doorstuurt) vanaf een IP komt welke toehoort van de oorsponkelijke partij.
DNSSEC zorgt ervoor dat DNS poisoning niet mogelijk is en een 3rd party ook niet even een aantal records kan aanpassen. DKIM zorgt voor de ondertekening van de email zodat ook de belangrijkste headers onderweg niet aangepast kunnen worden.
Met andere woorden is dmarc niet zo zeer niet, maar het is een combinatie van al bestaande methodes en dat zorgt ervoor dat partijen snel kunnen meedoen aan de dmarc standaard..
SPF, Sender-ID, DKIM en Dmarc maken gebruik van het DNS systeem of te bepalen of de SMTP client (wat ook de mail server van jouw provider kan zijn als hij de mail doorstuurt) vanaf een IP komt welke toehoort van de oorsponkelijke partij.
DNSSEC zorgt ervoor dat DNS poisoning niet mogelijk is en een 3rd party ook niet even een aantal records kan aanpassen. DKIM zorgt voor de ondertekening van de email zodat ook de belangrijkste headers onderweg niet aangepast kunnen worden.
Met andere woorden is dmarc niet zo zeer niet, maar het is een combinatie van al bestaande methodes en dat zorgt ervoor dat partijen snel kunnen meedoen aan de dmarc standaard..
Zoalng je je emails niet pgp encrypt, is elke email die verstuurt gewoon een ansichkaart ipv een brief in een envelop. En dus kan je gewoon verwachten dat anderen, buiten de postbodes om, je ansichkaart gewoon kunnen lezen
Ik hoop dat hier wel goed over nagedacht wordt... anders heb je meteen een leuk DDos systeempje... gooi een bulk spam de wereld in met @eenofanderewebsite.nl en de "ontvangende" server krijgt een dikke bulk "heb jij dit mailtje wel verstuurd?" aanvragen.
Punt is dat DKIM meestal via DNS gaat (je vraagt de publieke sleutel op om de handtekening te controleren), dus bombardeer je alleen de lokale DNS provider plat, niet de website. Ik weet niet waar de Dmarc policy opgeslagen zal worden, maar allicht dat die ook gecached wordt.
[Reactie gewijzigd door ktf op 30 januari 2012 13:45]
Waarom gebruiken ze geen openpgp: http://www.openpgp.org/
ideaal voor het verifiëren van de afzender... als de mail aanbieders dan gewoon een lijstje aanbieden van banken enzo ben je al meteen binnen
ideaal voor het verifiëren van de afzender... als de mail aanbieders dan gewoon een lijstje aanbieden van banken enzo ben je al meteen binnen
Dit is gebaseerd op de afzender, wat nu als ik een mail stuur met als afzender rRabobank.nl , geen mens die dit in de gaten heeft. De ontvanger kijkt alleen naar de inhoud van de email en als die er een beetje professioneel uitziet geloven ze toch wel dat het een legitiem mailtje is
Het punt van dit systeem is nou juist dat de mailservers al controleren of het wel echt van rabobank.nl afkomstig is. Als dit goed en breed wordt geimplementeerd, dan komt jouw mailtje dus niet eens op het scherm van een mens te staan maar wordt het al meteen na ontvangst naar de bittenbak omgeleid (of zelfs nog sterker: als het mailtje als afzender @rabobank.nl gebruikt maar niet afkomstig is van een server die via SPF wordt goedgekeurd, dan wordt het mailtje domweg niet eens in ontvangst genomen).
[Reactie gewijzigd door anboni op 30 januari 2012 14:38]
In het e-mailadres dat Prozaq beschreef staat dan ook een extra R in het begin van het domein. Als hij rrabobank.nl koopt (en daar evt. de nodige SPF-records aan hangt) wordt dat mailtje gewoon goedgekeurd en doorgelaten...
dan wordt het nog steeds tegengehouden door andere phisingfilters. Die domeinnaam gaat binnen de paar uur op een blacklist staan.
Oops, ik vond het al raar dat die extra hoofdletter R er stond... Totaal niet bij stilgestaan dat dat zo bedoeld was...
Heh... terwijl het probleem uiteraard is dat phish sites gewoon 50+ uur overeind staan bij toko's zoals ServInt.
Als de phishing mailtjes niet meer bij de gebruikers terechtkomen, is het niet meer zo relevant hoe lang de sites in de lucht blijven 
Dit systeem gaat dus niet werken, want als dit soort dingen nodig zijn, wordt er gewoon ingebroken op de email-servers, of op de computer van de email-client of andere computers in die regio die via die email-server mogen emailen, via virussen, bugs, sociale phising, enzovoort.
En dan krijg je dus geheel valide en gecontroleerde, compleet verifieerbaar en goedgekeurde vervalste email.
En dan krijg je dus geheel valide en gecontroleerde, compleet verifieerbaar en goedgekeurde vervalste email.
Dit is een top-down oplossing die in het voordeel van grote toko's werkt. Het zou voor de gebruikers zinvol zijn een bottom-up oplossing te kiezen. Omdat de grote toko's dan niets meer te zeggen hebben zullen zij dit niet snel voorstellen. Maar er er zijn vast vele methodes te bedenken om de macht bij de ontvanger te leggen.
Maak een eenmalig bruikbaar (e-mail) adres. Dan is voor spammers het bijhouden van lijsten en deze doorverkopen zinloos geworden.
Maak een eenmalig bruikbaar (e-mail) adres. Dan is voor spammers het bijhouden van lijsten en deze doorverkopen zinloos geworden.
Dat heeft hotmail al:
http://hothardware.com/Ne...To-Help-You-Manage-Email/
http://hothardware.com/Ne...To-Help-You-Manage-Email/
Op dit item kan niet meer gereageerd worden.
Onderwerpen
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
