Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 62, views: 20.287 •

ING en Xs4all hebben een test gedaan waarbij de Dmarc-technologie werd ingezet om phishingmails uit naam van de bank te filteren. Het aantal afgeleverde phishingmails dat zogenaamd vanaf ing.nl werd verzonden, daalde aanzienlijk.

Door het systeem kunnen de mailservers van Xs4all controleren of een mail die volgens de afzender is verzonden vanaf ing.nl, ook daadwerkelijk van de mailservers van ING afkomstig is. Een dergelijk systeem is niet nieuw; SPF en DKIM bestaan al even. ING is echter voor zover bekend de eerste bank in Nederland die Dmarc op deze manier inzet om de phishingmails bij de klanten van een provider te verminderen.

Dmarc is een verificatiesysteem waarmee onder andere webmailaanbieders kunnen controleren of een e-mail daadwerkelijk van een bedrijf afkomstig is en niet van een partij die via phishing persoonsgegevens probeert te achterhalen. Naast enkele grote webmailaanbieders, zoals Google met Gmail en Microsoft met Hotmail, hebben zich ook AOL, Bank of America, Fidelity Investments, American Greetings, LinkedIn en Facebook bij de Dmarc-werkgroep aangesloten.

De proef met Xs4all loopt nu zes weken en is volgens de provider een succes te noemen. Het aantal phishingsmails dat zogenaamd vanaf ing.nl werd verzonden aan klanten van Xs4all, daalde in de afgelopen periode met 71 procent. Overigens werkt het systeem enkel voor @ing.nl-mails; Dmarc blokkeert geen phishingmail vanaf obscure domeinen.

"Bij het tegenhouden van valse e-mails loop je altijd het risico dat er per ongeluk legitieme berichten worden geblokkeerd", zegt Jan-Pieter Cornet, systeembeheerder bij Xs4all. "Die zogeheten false positives moet je natuurlijk vermijden. Door gebruik te maken van Dmarc kunnen we vaststellen of een bericht echt afkomstig is van ING. False positives worden zo tot het minimum beperkt."

Reacties (62)

Als nu gewoon iedereen zijn reverse-dns parameters goed heeft staan kun je op je firewall een controle daarop toepassen. Echter wordt dat dermate weinig goed toegepast dat je daardoor veel correcte mail misloopt.

Wij hebben het ook eens geprobeerd, maar je blijft aan 't whitelisten...
Reverse DNS lookup gaat nooit werken. Als ik mail verstuur met mijn domeinnaam gaat dat via de XS4ALL smtp-servers. Daar kan ik echt de Reverse DNS niet van aanpassen.

@mjtdevries: google eens op spf-considered-harmful.xs4all.nl en je weet gelijk wat de hierboven geciteerde JP van SPF vindt.

[Reactie gewijzigd door Jan-E op 7 september 2012 13:28]

ISP's krijgen extra werk met het uitleggen van SPF voor hun klanten. Uiteraard vinden ze dat niet fijn.

Maar schadelijke phisingmails worden niet uit naam van consumenten en eenmans bedrijfsjes die bij xs4all zitten verstuurd, maar uit naam van banken etc die gewoon hun eigen mx records hebben.

als alle grote bedrijven spf records zouden maken dan zouden phisingmails niet meer interessant zijn voor criminelen.
En dan mag xs4all fijn aan hun klanten vertellen dat hun spf record alles moet toestaan. Daar heeft dan niemand last van.
Het internet geeft teveel mogelijkheden om te frauderen; de pakkans is gering.
Ten eerste heb je de anonieme registrars die vehullen wie de eigenaar van een domein. Ten tweede wordt bij aanvraag van een domein niet geverfieerd wie het domein koopt en is het zeer eenvoudig valse persoonsgegevens op te geven.
Ten derde zijn er 'aanbieders' die gratis subdomeinen weggeven aan een ieder zonder verificatie wie erachter zit.
Met die ongeverifieerde domeinen en een gestolen creditcard kunnen criminelen vrijwel alles uithalen.

Hoewel SPF niet antwoord op alle ongemakken heeft, werkt het redelijk goed voor bedrijven die een eigen mail server hebben.
SPF werkt ook voor hen die geen eigen mail server hebben en die dus mail via hun ISP versturen maar heeft alleen een zwakkere beveliging omdat andere klanten van de ISP er doorheen kunnen glippen.
Je vergeet in je opsomming de belangrijkste groep: ISPs en hostingproviders die nauwelijks iets aan spam doen, omdat ze dan een klant de deur uit moeten sturen (lees: het kost ze geld). Tel daar bij op dat er maar weinig mensen zijn die klagen bij ISP/providers over spam en ze komen er probleemloos mee weg.

Zodra ISP/providers een boete gaan krijgen van een paar duizend euro als ze spammers langer dan een dag of 2 laten doorspelen zal dat stoppen. Tuurlijk verhuizen spammers dan voor hun hosting en activiteiten naar andere landen [1], maar dat kan dan simpel geblokeerd worden door veel bedrijven/prive-personen.

De hoeveelheid spam die ik dagelijks binnenkrijg is 30x zo hoog (was 15 eerder dit jaar, maar de laatste 2 maanden lijkt het verdubbelt) als in +/- 1995. En dat is met diverse middelen om die voorgenoemde spam in te perken....

En nog blijven we aankakken met allerlei "filter" methodes...

[1] Het merendeel van de spam die ik zie komt gewoon uit de USA en Europa. "Men" denkt nogal eens dat bijna alle spam uit "duistere" landen komt, maar dat is niet het geval.

[Reactie gewijzigd door J.J.J. Bokma op 7 september 2012 18:03]

Reverse-dns is echt de verkeerde methode om spam aan te maken.
Ten eerste zou het geen zier helpen ook al heeft iedereen het goed staan, en ten tweede is het niet eens toegestaan volgens RFC2821.

Vandaar dat dingen als SPF bedacht zijn. Helaas word dat ook nog veel te weinig toegepast.

Aan de andere kant kun je met SPF en Spamhouse 90% van de spam al tegen houden terwijl het je server vrijwel geen resources kost.

[Reactie gewijzigd door mjtdevries op 7 september 2012 13:17]

Ik vraag me toch af waarom XS4ALL dan toch voor Dmarc heeft gekozen als SPF al zou (kunnen) volstaan? Is dit niet onnodig een alternatief gebruiken?
Tja, dat is een goede vraag.

Aan de ene kant kan het altijd beter, mooier, complexer en duurder. Op zich is het niet slecht om naar nog betere systemen op zoek te gaan.

Aan de andere kant vinden ze SPF blijkbaar maar niks, maar vervolgens gebruiken ze DMARC dat op SPF en DKIM gebaseerd heeft en dus precies dezelfde nadelen voor hen heeft als SPF.
Hier gebruiken we Grey Listing met een extensie. Grey Listing heeft normaliter als probleem dat email dan vertraagd wordt. Echter kan je in milter-greylist een externe url raadplegen voor verificatie.

Dezelfde check welke jij hier voorstelt pas ik hier in toe. Daardoor worden emails waarvan we zendende partij kunnen verifieren door middel van reverse DNS niet vertraagd en krijgen deze een Whitelist status. Bijkomende voordeel is dat de SpamAssassin filters op hun beurt de email ook niet als Spam zullen markeren.

De bouwer van milter-greylist zag er geen toegevoegd waarde in om dat als standaard functionaliteit in te bouwen. Daarnaast is mijn C kennis ontoereikend.

Zie mijn post, toen, hier. http://tech.groups.yahoo....ter-greylist/message/3505
whitelisten als de reverse dns klopt? Dat is wel naief hoor.
Als de reverse dns klopt kan de mail nog steeds wel kwaadaardig zijn.
Ik ben dik tevreden over de spamfilters van Xs4all. Ik krijg nagenoeg helemaal geen spam meer in mijn normale mailboxen. In een speciale spam mailbox komen maar iets van 10 mails per maand en dat zijn dan ook bijna allemaal echte spam berichten.
ik heb de laatste tijd gemerkt dat het aantal spam berichten sterk is afgenomen bij mijn xs4all account. Volgens mij zijn er ook de nodige botnets om zeep geholpen die daar verantwoordelijk voor zijn. Maar ook de ing mails zijn ineens gestopt, lijkt het wel.

Krijg nu echter regelmatig emails die van xs4all zelf zouden moeten komen en die niet als spam worden herkend. Waarom dat nu weer is, begrijp ik niet. Dat moet toch een peuleschilletje zijn om die tegen te houden. Xs4all weet toch wel welke mails ze zelf uit sturen die komen nooit van 'buiten'.
Ik kan mij de laatste keer niet meer herinneren dat ik nog spam gekregen heb in mijn gmail inbox. In mijn spamfolder zelf ontvang ik misschien 1 tot 2 spammails per week, dat lijkt me enorm weinig.

Alle banken zouden dit verplicht moeten gebruiken, veel myserie begint bij dit soort mails...
Ik had er laatst eentje betrapt die er door kwam in gmail.

ik heb gemiddeld zo'n 70-80 mails in mijn spam staan. Die laat ik lekker staan tot gmail ze zelf verwijderd.
Ik vind die van gmail toch een stuk beter, die herkent direct of het om phising gaan en moved ze naar je spamfolder.
False positives komen op een onverwachte manier voor. Ik had een formulier op een website draaien, waar de naam+mail van de afzender in de From-header werd verwerkt (zodat je direct kunt replyen). Als zo'n invuller van de ing.nl komt, wordt het bericht ook gefilterd.

Edit: het werkt nu trouwens al voor meer domeinen. LinkedIn en Amazon zijn bekende voorbeelden.

@Repsaj_Nav: weet ik. Overigens is daarbij de vraag hoe XS4ALL dmarc heeft ingericht. Niemand belet ze om behalve naar de From-header ook naar de Reply-To header te kijken.

Gecontroleerd: ze kijken niet naar de Reply-To header. @mjtdevries: het was een 14 jaar oud script, nog uit de PHP3-tijd.

[Reactie gewijzigd door Jan-E op 7 september 2012 14:45]

Je kunt ook in de header een reply-to opgeven naar het ingevulde e-mailadres, en de from-header op het eigen domein laten staan.
Niemand belet ze om behalve naar de From-header ook naar de Reply-To header te kijken.
Je mag er vanuit gaan dat ze zich gewoon netjes aan de RFC houden. Dus waarom gebruik je niet gewoon de mogelijkheden die de RFC je speciaal voor die situaties bied?
Omdat ook niet alle mail clients dat doen, en als ik me niet vergis dan zijn er redelijk veel die de reply to negeren.
Kan iemand in een paar korte zinnen uitleggen wat nu exact het verschil is tussen Dmarc en SPF? Beide adverteren toch 'iets' in de DNS, waar de ontvangende server 'iets' mee kan. Ik snap niet helemaal wat het voordeel is van Dmarc bovenop de SPF standaard. Of heeft het er mee te make dat SPF nog wel eens anders wordt geinterpreteerd?
DMARC werkt met SPF & DKIM om een verzender te authenticeren, respectievelijk de inhoud van de e-mail te controleren. DMARC is vervolgens een mechanisme wat zorgt dat domeinhouders rapportages kunnen ontvangen (zowel geaggregeerd als direct) over e-mail die niet op basis van SPF of DKIM valideert. Er staat letterlijk een e-mail adres in de DNS regel van DMARC waar deze feedback (xml formaat) op ontvangen wordt. Het geeft simpelweg meer inzicht in de herkomst van phishing voor partijen die DMARC hebben geimplementeerd. Daarnaast kan er in het DMARC record een beleid afgegeven worden om berichten te weigeren die niet valideren volgens eerder genoemde mechanismen.
Okee, dus dmarc is spf+dkim maar met een extra plusje?
Voor bankzaken gebruik ik nog de post. Elektronisch bankieren doe ik wel, maar wachtwoordwijzigingen/ informatie aanvragen gewoon lekker via de post. Zo kan je makkelijk elke ING mail die je krijgt weg gooien. Misschien niet het handigste, maar wel het veiligste, want voor sommige dingen is openbare technologie gewoon nog niet geschikt.

Het is natuurlijk hartstikke sneu dat mensen op deze manier geld proberen af te troggelen, maar die zul je altijd blijven houden. Gebruik dan iets zoals post en het wordt onaantrekkelijk: het kost namelijk geld. Hierdoor is spam ook niet meer te realiseren.

Vooral heel vuil tegenover goedgelovige oudere mensen en/of onervaren internetgebruikers..
Ach, vroeger stonden ze post uit de brievenbus te vissen (wie weet nogsteeds).
Ach, vroeger stonden ze post uit de brievenbus te vissen (wie weet nogsteeds).
Neen, tegenwoordig onderscheppen ze de bulk reeds in het sorteercentrum of postkantoor.

Ach, mensen met een rekening geld aftroggelen dat is toch banken eigen. Niet,, Dirk S....
.. en de rest.
Moest mijn bank me ooit vragen om een wachtwoord te wijzigen (dat hebben ze de laatste 10 jaar nog nooit gedaan), dan bel ik ze sowieso op of ga ik even langs in het kantoor en pas ik daar mijn paswoord aan...
ik stuur het bericht meestal even naar abuse@bank of spoofing@bank om ze het bericht te laten verifieren.

pas hadden we er eentje waarvan zelfs ik niet heel goed kon zien of 't nou bogus of niet was, en toen heb ik m'n vriendin ook verteld dat ze spoofing@paypal.com even moest laten kijken.

bleek dus inderdaad phishing te zijn :)

Sowieso _altijd_ naar spoofing@bank of abuse@bank sturen. (of nepemail@, ze hanteren allemaal andere adressen helaas). Dan nemen ze namelijk heel snel actie om die site offline te laten halen heb ik gemerkt. Paypal zat in het bovenstaande voorbeeld ook al in dat traject toen onze melding binnen kwam.

[Reactie gewijzigd door arjankoole op 7 september 2012 15:21]

Hoe zit het als een bedrijf een mailing vanaf een mailinglist provider verstuurt? Dan komen de mx records van het bedrijf niet overeen met de smtp server waar vandaan de mail komt. Idem dito als je gebruik maakt van een smtp relay systeem op internet.
Dan neem je het IP adres of het a-record van de smtp relay op in het SPF record van je domein en/of plaats je de privÚ sleutel van DKIM op de verzendende server (als je SMTP relay of mailinglist provider dit ondersteunt). DMARC gaat over het valideren van verzenders en heeft verder niets te maken met waar e-mail wordt afgeleverd (oftewel het mx record, tenzij deze in het SPF record wordt gebruikt)

[Reactie gewijzigd door viviel op 7 september 2012 13:51]

Ik hoop dat iemand van tele2 dit bericht leest. Ik krijg al maanden spam binnen welke wordt verzonden via (volgens mij slecht geconfigureerde) tele2 servers en na een tijdje zelfs mails welke in *mijn* naam zijn verzonden.
Toen ik keek op hun forum een paar maand geleden zag ik dat dit bekend is bij tele2, maar aangezien ik gisteren weer spam kreeg nemen ze volgens mij de problemen niet serieus.
Onder de spam zaten ook phising mails :(
Ik hoop dat iemand van tele2 dit bericht leest. Ik krijg al maanden spam binnen welke wordt verzonden via (volgens mij slecht geconfigureerde) tele2 servers
Als jij een emailadres van je provider hebt ( @tele2.nl ) dan zal je per definitie spam krijgen via de tele2 mailservers. ook kan het zijn dat je een forward ingestelt hebt naar een eigen emailadres.
en na een tijdje zelfs mails welke in *mijn* naam zijn verzonden.
dat is kinderspel met e-mail. Altijd al geweest ook. Ik kan ook uit naam van b.obama@whitehouse.gov mailen, zonder dat iemand daar iets aan kan doen. Daarom heeft email geen enkele juridsche waarde. (ook die disclaimers niet). Behalve ondertekende email (S/MIME en GPG/PGP) is de afzender nooit te verifieren.
Ik weet de details niet meer exact na al die maanden, maar destijds heb ik eens grondig gekeken naar de mail headers en daarbij kon ik zien dat de tele2 servers mail accepteerden van "rare" hosts. Hierop heb ik een aantal filters aangemaakt welke specifiek keken naar die headers.
Als ik dat kan zien, horen ze dat bij tele2 ook te kunnen.

Daarnaast is mijn internet provider (wienst smtp server ik dus normaal gebruik, dus niet tele2) behoorlijk streng in het accepteren van emails en moet ik eerst via vpn inloggen op mijn netwerk, voordat ik deze kan gebruiken.

Voor zover ik kan zien relayen (een aantal) tele2 servers emails zonder verdere controle. Ik wil niet beweren dat email 100% veilig is en dat spoofing niet bestaat, maar dat ze bij tele2 emails accepteren namens mij zonder de juiste inloggegevens is gewoon slecht. Voor de zekerheid heb ik mijn naam en wachtwoord veranderd en dat hielp niets.

(Mocht ik een aantal termen niet helemaal goed gebruiken dan kan dat kloppen want ik zit er niet heel diep (meer) in)
Als de mail voor iemand @tele2 zijn zal de server het accepteren. Als het van een Tele2 IP komt ook.

De situatie die jij schetst zou behelzen dat Tele2 open relays heeft, wat genoeg uitgeloten is. (Die worden ogenblikkelijk geblokkeerd door andere isp's)

Ook moet je er rekenen dat spam en phishing software vaak eigen headers toevoegd om het moeilijker te maken te traceren waar het vandaan kwam.

Ik ken die geintjes maar al te goed, ik werkte ooit bij een ISP en deed daar ook de abuse afdeling.
SPF heb ik aanstaan op mijn server, maar je ziet dat heel veel domeinen een ~all modifier hebben, wat betekend dat ze niet definitief kunnen zeggen dat alle opgegeven mailservers alleen gebruikt worden. Wel handig bij spam indicatie, maar dus niet compleet geblocked wordend.
als die domeinen niet zo heel spannend is, dan is dat niet zo erg.
zoveel phisingmails zullen er niet verstuurd worden namens de bakker op de hoek.

Wat wel heel triest is, is dat er veel grote nederlandse banken zijn die dat doen of helemaal geen spf record hebben.

Ik heb nu een vijftal grote banken bekeken en ING is de enige die een net spf record heeft....
Er staats iets raars in de tekst. Er staat dat als je met een verificatiesysteem kan controleren of iets echt is, of een phish. Maar dat klopt niet.
Het feit dat iets via dmarc, spf, dkim, of zelfs allemaal tegelijk gecontroleerd en geverifieerd is, betekend namelijk helemaal niet dat het geen spam, phishing, virus, scam, of zelfs maar valide is!
Zelfs als de eigenaren van de computers niet zulke email zouden versturen, kan er nog steeds door iemand ingebroken worden bij een computer die voor zo'n geverifieerd systeem mag emailen, en dan komen er gewoon geverifieerde gecontroleerde door dmarc, spf, dkim, pgp, gpg, etc, spam/phish/etc emails uitrollen, die volgens alle gegevens kloppen, maar dan toch die rotzooi bevatten.
Die theoretische mogelijkheid blijft natuurlijk altijd bestaan.

Als iemand voor jouw neus staat met zijn passpoort uittreksel van het bevolkingsregister enzovoort, dan kan het ook nog steeds vervalst zijn. Ergens houdt het natuurlijk op.
Er staats iets raars in de tekst. Er staat dat als je met een verificatiesysteem kan controleren of iets echt is, of een phish. Maar dat klopt niet.
Nou, dat staat echt niet in de tekst hoor.
Het enige dat men beweert is het volgende:
Door het systeem kunnen de mailservers van Xs4all controleren of een mail die volgens de afzender is verzonden vanaf ing.nl, ook daadwerkelijk van de mailservers van ING afkomstig is.
en
Door gebruik te maken van Dmarc kunnen we vaststellen of een bericht echt afkomstig is van ING.
Dus als de ING mailservers zijn gehackt en misbruikt, houdt Dmarc ze niet tegen want ze zijn nog steeds afkomstig van de ING.
Weet iemand hoe ze dit hebben getest:

De proef met Xs4all loopt nu zes weken en is volgens de provider een succes te noemen. Het aantal phishingsmails dat zogenaamd vanaf ing.nl werd verzonden aan klanten van Xs4all, daalde in de afgelopen periode met 71 procent.

Het lijkt mij sterk dat ze de mailboxen van alle klanten gaan nalezen op spam? Hoe weet je als provider wat voor mail je klanten krijgen en welk deel daarvan spam is, zonder het te lezen?
Misschien hebben de onderzoekers daar ook zelf een mailbox. Je hebt dan wel een kleine steekproef.

Verder zal het spamfilter wel alle mail lezen, en dan rapporteren hoeveel procent van de emailtjes mogelijk spam bevat oid.
DMARC kent een test parameter waarin je wel gegevens verzamelt maar nog geen beleid doorvoert. Door deze gegevens te verzamelen voor en na het invoeren van een beleid op basis van DMARC kun je de resultaten meten.

Bovengenoemde informatie wordt overigens ontvangen door de domeinhouder (ING in dit geval).
Ik weet niet of het zo gedaan is, maar het lijkt me vrij simpel:

1. je meet hoeveel mail er "namens"de ING wordt verzonden.
2. je implementeert een nieuw filter
3. je meet de hoeveelheid mail die door het filter heenkomt.
4. je berekent het verschil.

En hiervoor hoeft XS4ALL geen enkele mail te lezen.
Wat je namelijk doet is mail, die zogenaamd van de ING afkomstig is, tegenhouden.
Die mail is dus prive en mag enkel door de ontvanger OF de verzender gelezen worden.
Welnu, de verzender is toch de ING?
Dus je levert de afgevangen mail aan bij de ING en die kan je vervolgens prima vertellen welke mail wel en niet valide was.
Een 100% zekerheid zonder dat XS4ALL 1 mailtje hoeft in te zien.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013