Xs4all filtert ING-phishingmails actief met Dmarc-technologie

ING en Xs4all hebben een test gedaan waarbij de Dmarc-technologie werd ingezet om phishingmails uit naam van de bank te filteren. Het aantal afgeleverde phishingmails dat zogenaamd vanaf ing.nl werd verzonden, daalde aanzienlijk.

Door het systeem kunnen de mailservers van Xs4all controleren of een mail die volgens de afzender is verzonden vanaf ing.nl, ook daadwerkelijk van de mailservers van ING afkomstig is. Een dergelijk systeem is niet nieuw; SPF en DKIM bestaan al even. ING is echter voor zover bekend de eerste bank in Nederland die Dmarc op deze manier inzet om de phishingmails bij de klanten van een provider te verminderen.

Dmarc is een verificatiesysteem waarmee onder andere webmailaanbieders kunnen controleren of een e-mail daadwerkelijk van een bedrijf afkomstig is en niet van een partij die via phishing persoonsgegevens probeert te achterhalen. Naast enkele grote webmailaanbieders, zoals Google met Gmail en Microsoft met Hotmail, hebben zich ook AOL, Bank of America, Fidelity Investments, American Greetings, LinkedIn en Facebook bij de Dmarc-werkgroep aangesloten.

De proef met Xs4all loopt nu zes weken en is volgens de provider een succes te noemen. Het aantal phishingsmails dat zogenaamd vanaf ing.nl werd verzonden aan klanten van Xs4all, daalde in de afgelopen periode met 71 procent. Overigens werkt het systeem enkel voor @ing.nl-mails; Dmarc blokkeert geen phishingmail vanaf obscure domeinen.

"Bij het tegenhouden van valse e-mails loop je altijd het risico dat er per ongeluk legitieme berichten worden geblokkeerd", zegt Jan-Pieter Cornet, systeembeheerder bij Xs4all. "Die zogeheten false positives moet je natuurlijk vermijden. Door gebruik te maken van Dmarc kunnen we vaststellen of een bericht echt afkomstig is van ING. False positives worden zo tot het minimum beperkt."

IT-banen

Reacties (62)

Vastloper 7 september 2012 13:55

Dit is simpel te omzeilen door te vermelden dat het van INFO@lNG.NL komt oid, hoeveel mensen zullen hier wel niet overheen kijken?

mjtdevries @Vastloper • 7 september 2012 14:29

Tja, als het bedrijf achter LNG.nl ook gewoon een SPF record had gemaakt dan was dat geen probleem geweest.
Maar nu ze geen spf record hebben kun je het op die manier omzeilen ja.

Fairy 7 september 2012 12:57

Als nu gewoon iedereen zijn reverse-dns parameters goed heeft staan kun je op je firewall een controle daarop toepassen. Echter wordt dat dermate weinig goed toegepast dat je daardoor veel correcte mail misloopt.

Wij hebben het ook eens geprobeerd, maar je blijft aan 't whitelisten...

mjtdevries @Fairy • 7 september 2012 13:16

Reverse-dns is echt de verkeerde methode om spam aan te maken.
Ten eerste zou het geen zier helpen ook al heeft iedereen het goed staan, en ten tweede is het niet eens toegestaan volgens RFC2821.

Vandaar dat dingen als SPF bedacht zijn. Helaas word dat ook nog veel te weinig toegepast.

Aan de andere kant kun je met SPF en Spamhouse 90% van de spam al tegen houden terwijl het je server vrijwel geen resources kost.

[Reactie gewijzigd door mjtdevries op 22 juli 2024 20:39]

eerdepeer @mjtdevries • 7 september 2012 17:36

Ik vraag me toch af waarom XS4ALL dan toch voor Dmarc heeft gekozen als SPF al zou (kunnen) volstaan? Is dit niet onnodig een alternatief gebruiken?

mjtdevries @eerdepeer • 7 september 2012 19:21

Tja, dat is een goede vraag.

Aan de ene kant kan het altijd beter, mooier, complexer en duurder. Op zich is het niet slecht om naar nog betere systemen op zoek te gaan.

Aan de andere kant vinden ze SPF blijkbaar maar niks, maar vervolgens gebruiken ze DMARC dat op SPF en DKIM gebaseerd heeft en dus precies dezelfde nadelen voor hen heeft als SPF.

Jan-E @Fairy • 7 september 2012 13:15

Reverse DNS lookup gaat nooit werken. Als ik mail verstuur met mijn domeinnaam gaat dat via de XS4ALL smtp-servers. Daar kan ik echt de Reverse DNS niet van aanpassen.

@mjtdevries: google eens op spf-considered-harmful.xs4all.nl en je weet gelijk wat de hierboven geciteerde JP van SPF vindt.

[Reactie gewijzigd door Jan-E op 22 juli 2024 20:39]

mjtdevries @Jan-E • 7 september 2012 13:42

ISP's krijgen extra werk met het uitleggen van SPF voor hun klanten. Uiteraard vinden ze dat niet fijn.

Maar schadelijke phisingmails worden niet uit naam van consumenten en eenmans bedrijfsjes die bij xs4all zitten verstuurd, maar uit naam van banken etc die gewoon hun eigen mx records hebben.

als alle grote bedrijven spf records zouden maken dan zouden phisingmails niet meer interessant zijn voor criminelen.
En dan mag xs4all fijn aan hun klanten vertellen dat hun spf record alles moet toestaan. Daar heeft dan niemand last van.

mhkool @mjtdevries • 7 september 2012 17:16

Het internet geeft teveel mogelijkheden om te frauderen; de pakkans is gering.
Ten eerste heb je de anonieme registrars die vehullen wie de eigenaar van een domein. Ten tweede wordt bij aanvraag van een domein niet geverfieerd wie het domein koopt en is het zeer eenvoudig valse persoonsgegevens op te geven.
Ten derde zijn er 'aanbieders' die gratis subdomeinen weggeven aan een ieder zonder verificatie wie erachter zit.
Met die ongeverifieerde domeinen en een gestolen creditcard kunnen criminelen vrijwel alles uithalen.

Hoewel SPF niet antwoord op alle ongemakken heeft, werkt het redelijk goed voor bedrijven die een eigen mail server hebben.
SPF werkt ook voor hen die geen eigen mail server hebben en die dus mail via hun ISP versturen maar heeft alleen een zwakkere beveliging omdat andere klanten van de ISP er doorheen kunnen glippen.

J.J.J. Bokma @mhkool • 7 september 2012 18:02

Je vergeet in je opsomming de belangrijkste groep: ISPs en hostingproviders die nauwelijks iets aan spam doen, omdat ze dan een klant de deur uit moeten sturen (lees: het kost ze geld). Tel daar bij op dat er maar weinig mensen zijn die klagen bij ISP/providers over spam en ze komen er probleemloos mee weg.

Zodra ISP/providers een boete gaan krijgen van een paar duizend euro als ze spammers langer dan een dag of 2 laten doorspelen zal dat stoppen. Tuurlijk verhuizen spammers dan voor hun hosting en activiteiten naar andere landen [1], maar dat kan dan simpel geblokeerd worden door veel bedrijven/prive-personen.

De hoeveelheid spam die ik dagelijks binnenkrijg is 30x zo hoog (was 15 eerder dit jaar, maar de laatste 2 maanden lijkt het verdubbelt) als in +/- 1995. En dat is met diverse middelen om die voorgenoemde spam in te perken....

En nog blijven we aankakken met allerlei "filter" methodes...

[1] Het merendeel van de spam die ik zie komt gewoon uit de USA en Europa. "Men" denkt nogal eens dat bijna alle spam uit "duistere" landen komt, maar dat is niet het geval.

[Reactie gewijzigd door J.J.J. Bokma op 22 juli 2024 20:39]

databeestje @Fairy • 7 september 2012 13:29

Hier gebruiken we Grey Listing met een extensie. Grey Listing heeft normaliter als probleem dat email dan vertraagd wordt. Echter kan je in milter-greylist een externe url raadplegen voor verificatie.

Dezelfde check welke jij hier voorstelt pas ik hier in toe. Daardoor worden emails waarvan we zendende partij kunnen verifieren door middel van reverse DNS niet vertraagd en krijgen deze een Whitelist status. Bijkomende voordeel is dat de SpamAssassin filters op hun beurt de email ook niet als Spam zullen markeren.

De bouwer van milter-greylist zag er geen toegevoegd waarde in om dat als standaard functionaliteit in te bouwen. Daarnaast is mijn C kennis ontoereikend.

Zie mijn post, toen, hier. http://tech.groups.yahoo....ter-greylist/message/3505

mjtdevries @databeestje • 7 september 2012 13:43

whitelisten als de reverse dns klopt? Dat is wel naief hoor.
Als de reverse dns klopt kan de mail nog steeds wel kwaadaardig zijn.

I.R. Overclocked 7 september 2012 13:32

Weet iemand hoe ze dit hebben getest:

De proef met Xs4all loopt nu zes weken en is volgens de provider een succes te noemen. Het aantal phishingsmails dat zogenaamd vanaf ing.nl werd verzonden aan klanten van Xs4all, daalde in de afgelopen periode met 71 procent.

Het lijkt mij sterk dat ze de mailboxen van alle klanten gaan nalezen op spam? Hoe weet je als provider wat voor mail je klanten krijgen en welk deel daarvan spam is, zonder het te lezen?

viviel @I.R. Overclocked • 7 september 2012 13:48

DMARC kent een test parameter waarin je wel gegevens verzamelt maar nog geen beleid doorvoert. Door deze gegevens te verzamelen voor en na het invoeren van een beleid op basis van DMARC kun je de resultaten meten.

Bovengenoemde informatie wordt overigens ontvangen door de domeinhouder (ING in dit geval).

vascot @I.R. Overclocked • 7 september 2012 13:43

Misschien hebben de onderzoekers daar ook zelf een mailbox. Je hebt dan wel een kleine steekproef.

Verder zal het spamfilter wel alle mail lezen, en dan rapporteren hoeveel procent van de emailtjes mogelijk spam bevat oid.

flabber @I.R. Overclocked • 7 september 2012 14:02

Ik weet niet of het zo gedaan is, maar het lijkt me vrij simpel:

1. je meet hoeveel mail er "namens"de ING wordt verzonden.
2. je implementeert een nieuw filter
3. je meet de hoeveelheid mail die door het filter heenkomt.
4. je berekent het verschil.

En hiervoor hoeft XS4ALL geen enkele mail te lezen.
Wat je namelijk doet is mail, die zogenaamd van de ING afkomstig is, tegenhouden.
Die mail is dus prive en mag enkel door de ontvanger OF de verzender gelezen worden.
Welnu, de verzender is toch de ING?
Dus je levert de afgevangen mail aan bij de ING en die kan je vervolgens prima vertellen welke mail wel en niet valide was.
Een 100% zekerheid zonder dat XS4ALL 1 mailtje hoeft in te zien.

eborn 7 september 2012 13:00

Kan iemand in een paar korte zinnen uitleggen wat nu exact het verschil is tussen Dmarc en SPF? Beide adverteren toch 'iets' in de DNS, waar de ontvangende server 'iets' mee kan. Ik snap niet helemaal wat het voordeel is van Dmarc bovenop de SPF standaard. Of heeft het er mee te make dat SPF nog wel eens anders wordt geinterpreteerd?

viviel @eborn • 7 september 2012 13:30

DMARC werkt met SPF & DKIM om een verzender te authenticeren, respectievelijk de inhoud van de e-mail te controleren. DMARC is vervolgens een mechanisme wat zorgt dat domeinhouders rapportages kunnen ontvangen (zowel geaggregeerd als direct) over e-mail die niet op basis van SPF of DKIM valideert. Er staat letterlijk een e-mail adres in de DNS regel van DMARC waar deze feedback (xml formaat) op ontvangen wordt. Het geeft simpelweg meer inzicht in de herkomst van phishing voor partijen die DMARC hebben geimplementeerd. Daarnaast kan er in het DMARC record een beleid afgegeven worden om berichten te weigeren die niet valideren volgens eerder genoemde mechanismen.

Jasper Janssen @viviel • 7 september 2012 14:08

Okee, dus dmarc is spf+dkim maar met een extra plusje?

segil 7 september 2012 13:12

Hoe zit het als een bedrijf een mailing vanaf een mailinglist provider verstuurt? Dan komen de mx records van het bedrijf niet overeen met de smtp server waar vandaan de mail komt. Idem dito als je gebruik maakt van een smtp relay systeem op internet.

viviel @segil • 7 september 2012 13:37

Dan neem je het IP adres of het a-record van de smtp relay op in het SPF record van je domein en/of plaats je de privé sleutel van DKIM op de verzendende server (als je SMTP relay of mailinglist provider dit ondersteunt). DMARC gaat over het valideren van verzenders en heeft verder niets te maken met waar e-mail wordt afgeleverd (oftewel het mx record, tenzij deze in het SPF record wordt gebruikt)

[Reactie gewijzigd door viviel op 22 juli 2024 20:39]

Franckey 7 september 2012 12:57

Ik ben dik tevreden over de spamfilters van Xs4all. Ik krijg nagenoeg helemaal geen spam meer in mijn normale mailboxen. In een speciale spam mailbox komen maar iets van 10 mails per maand en dat zijn dan ook bijna allemaal echte spam berichten.

snrwo1 @Franckey • 7 september 2012 13:06

ik heb de laatste tijd gemerkt dat het aantal spam berichten sterk is afgenomen bij mijn xs4all account. Volgens mij zijn er ook de nodige botnets om zeep geholpen die daar verantwoordelijk voor zijn. Maar ook de ing mails zijn ineens gestopt, lijkt het wel.

Krijg nu echter regelmatig emails die van xs4all zelf zouden moeten komen en die niet als spam worden herkend. Waarom dat nu weer is, begrijp ik niet. Dat moet toch een peuleschilletje zijn om die tegen te houden. Xs4all weet toch wel welke mails ze zelf uit sturen die komen nooit van 'buiten'.

Verwijderd @Franckey • 7 september 2012 13:11

Ik kan mij de laatste keer niet meer herinneren dat ik nog spam gekregen heb in mijn gmail inbox. In mijn spamfolder zelf ontvang ik misschien 1 tot 2 spammails per week, dat lijkt me enorm weinig.

Alle banken zouden dit verplicht moeten gebruiken, veel myserie begint bij dit soort mails...

daan.timmer @Verwijderd • 7 september 2012 13:41

Ik had er laatst eentje betrapt die er door kwam in gmail.

ik heb gemiddeld zo'n 70-80 mails in mijn spam staan. Die laat ik lekker staan tot gmail ze zelf verwijderd.

mkools24 @Franckey • 7 september 2012 13:15

Ik vind die van gmail toch een stuk beter, die herkent direct of het om phising gaan en moved ze naar je spamfolder.

Jan-E 7 september 2012 13:00

False positives komen op een onverwachte manier voor. Ik had een formulier op een website draaien, waar de naam+mail van de afzender in de From-header werd verwerkt (zodat je direct kunt replyen). Als zo'n invuller van de ing.nl komt, wordt het bericht ook gefilterd.

Edit: het werkt nu trouwens al voor meer domeinen. LinkedIn en Amazon zijn bekende voorbeelden.

@Repsaj_Nav: weet ik. Overigens is daarbij de vraag hoe XS4ALL dmarc heeft ingericht. Niemand belet ze om behalve naar de From-header ook naar de Reply-To header te kijken.

Gecontroleerd: ze kijken niet naar de Reply-To header. @mjtdevries: het was een 14 jaar oud script, nog uit de PHP3-tijd.

[Reactie gewijzigd door Jan-E op 22 juli 2024 20:39]

mjtdevries @Jan-E • 7 september 2012 14:04

Niemand belet ze om behalve naar de From-header ook naar de Reply-To header te kijken.

Je mag er vanuit gaan dat ze zich gewoon netjes aan de RFC houden. Dus waarom gebruik je niet gewoon de mogelijkheden die de RFC je speciaal voor die situaties bied?

David Mulder @mjtdevries • 8 september 2012 10:21

Omdat ook niet alle mail clients dat doen, en als ik me niet vergis dan zijn er redelijk veel die de reply to negeren.

Repsaj_Nav @Jan-E • 7 september 2012 13:02

Je kunt ook in de header een reply-to opgeven naar het ingevulde e-mailadres, en de from-header op het eigen domein laten staan.

zvbhvb 7 september 2012 15:00

Waarom zou een bank een e-mail versturen?
Zeker in het geval van de ING is het voor particulieren veiliger om gewoon alle e-mail afkomstig van de ING te blokken.Tenzij je er gesolliciteerd hebt natuurlijk:-)Omdat er voor particulieren heelaas nog geen mogelijkheid is om gebruik te maken van een digipas.Een extra beveiligingslaag in de vorm van een digipas is wel zo fijn.Ipv alleen een gebruikersnaam/wachtwoord combinatie waarbij je ook nog eens te weinig "vreemde" tekens en of een super lang wachtwoord mag gebruiken.

arjankoole

Spam
Beveiliging

@zvbhvb • 7 september 2012 15:26

Ik krijg gewoon nieuwsbrieven van de rabobank hoor.

mjtdevries @arjankoole • 7 september 2012 16:27

Daarom is het extra triest dat de rabobank geen spf record heeft.

arjankoole

Spam
Beveiliging

@mjtdevries • 7 september 2012 21:15

Daarom is het extra triest dat de rabobank geen spf record heeft.

SPF noch DKIM zijn standaarden. Dat is het probleem.

mjtdevries @arjankoole • 7 september 2012 22:11

Ja, laten we vooral 20 jaar wachten tot RFC4408 een officiele standaard word en in de tussentijd de klanten bloot stellen aan phising attacks.
Echt een heel goed idee van de banken.

Als de banken de internet standaarden zo gigantische belangrijk zouden vinden dan zouden ze onderling wel secure email uitwisselen via een officiele standaard.
Maar dat doen ze niet. Daarvoor gebruiken ze methode die zelfs niet in een experimentele RFC vast gelegd is.

Erg onhandig als je zaken met ze doet.

stresstak @arjankoole • 7 september 2012 21:00

Ik krijg gewoon nieuwsbrieven

Maar geen phishingmail of andere spam, neem ik aan.
Ik krijg diverse nieuwesbrieven maar eigenlijk nooit spam en andere meuk van die instellingen. Dat komt van andere servers, domeinen, filters, weetikhet.

vascot 7 september 2012 13:41

Het wordt tijd dat iedereen zijn e-mail signed met OpenPGP (bijvoorbeeld met http://www.enigmail.net/), dan weet je tenminste zeker wie het mailtje heeft verstuurd.

FiscBiker @vascot • 7 september 2012 13:59

Dan moet eerst Microsoft zijn boycot tegen OpenPGP / GnuPG implementaties opheffen, iedere Windows-gebruiker naar Thunderbird met enigmail verwijzen is ook weer zo rigoreus

Polderdijk @FiscBiker • 7 september 2012 15:12

Je kan toch gewoon S/MIME gebruiken, ondersteund elk bekend mailprogramma/webmail en voor iig particulier gebruik kan je gewoon gratis een S/MIME certificaat aanvragen, via bijvoorbeeld www.startssl.com.

Dit dan ook nog eens in samenwerking met een SPF -all record en DKIM, weet de ontvanger echt 100% zeker dat de mail correct is.

arjankoole

Spam
Beveiliging

@FiscBiker • 7 september 2012 15:24

Dan moet eerst Microsoft zijn boycot tegen OpenPGP / GnuPG implementaties opheffen, iedere Windows-gebruiker naar Thunderbird met enigmail verwijzen is ook weer zo rigoreus

Idem voor Apple trouwens. Apple Mail ondersteunt ook alleen S/MIME.

Nou is S/MIME meer vertrouwd door dezelfde verificatie procedures als voor SSL certificaten gelden. (sterker nog, in principe is het gewoon zo'n certificaat), maar de drempel is te hoog voor de normale gebruiker.

Verwijderd 7 september 2012 13:18

Ik hoop dat iemand van tele2 dit bericht leest. Ik krijg al maanden spam binnen welke wordt verzonden via (volgens mij slecht geconfigureerde) tele2 servers en na een tijdje zelfs mails welke in *mijn* naam zijn verzonden.
Toen ik keek op hun forum een paar maand geleden zag ik dat dit bekend is bij tele2, maar aangezien ik gisteren weer spam kreeg nemen ze volgens mij de problemen niet serieus.
Onder de spam zaten ook phising mails

arjankoole

Spam
Beveiliging

@Verwijderd • 7 september 2012 15:30

Ik hoop dat iemand van tele2 dit bericht leest. Ik krijg al maanden spam binnen welke wordt verzonden via (volgens mij slecht geconfigureerde) tele2 servers

Als jij een emailadres van je provider hebt ( @tele2.nl ) dan zal je per definitie spam krijgen via de tele2 mailservers. ook kan het zijn dat je een forward ingestelt hebt naar een eigen emailadres.

en na een tijdje zelfs mails welke in *mijn* naam zijn verzonden.

dat is kinderspel met e-mail. Altijd al geweest ook. Ik kan ook uit naam van b.obama@whitehouse.gov mailen, zonder dat iemand daar iets aan kan doen. Daarom heeft email geen enkele juridsche waarde. (ook die disclaimers niet). Behalve ondertekende email (S/MIME en GPG/PGP) is de afzender nooit te verifieren.

Verwijderd @arjankoole • 7 september 2012 16:11

Ik weet de details niet meer exact na al die maanden, maar destijds heb ik eens grondig gekeken naar de mail headers en daarbij kon ik zien dat de tele2 servers mail accepteerden van "rare" hosts. Hierop heb ik een aantal filters aangemaakt welke specifiek keken naar die headers.
Als ik dat kan zien, horen ze dat bij tele2 ook te kunnen.

Daarnaast is mijn internet provider (wienst smtp server ik dus normaal gebruik, dus niet tele2) behoorlijk streng in het accepteren van emails en moet ik eerst via vpn inloggen op mijn netwerk, voordat ik deze kan gebruiken.

Voor zover ik kan zien relayen (een aantal) tele2 servers emails zonder verdere controle. Ik wil niet beweren dat email 100% veilig is en dat spoofing niet bestaat, maar dat ze bij tele2 emails accepteren namens mij zonder de juiste inloggegevens is gewoon slecht. Voor de zekerheid heb ik mijn naam en wachtwoord veranderd en dat hielp niets.

(Mocht ik een aantal termen niet helemaal goed gebruiken dan kan dat kloppen want ik zit er niet heel diep (meer) in)

arjankoole

Spam
Beveiliging

@Verwijderd • 7 september 2012 21:05

Als de mail voor iemand @tele2 zijn zal de server het accepteren. Als het van een Tele2 IP komt ook.

De situatie die jij schetst zou behelzen dat Tele2 open relays heeft, wat genoeg uitgeloten is. (Die worden ogenblikkelijk geblokkeerd door andere isp's)

Ook moet je er rekenen dat spam en phishing software vaak eigen headers toevoegd om het moeilijker te maken te traceren waar het vandaan kwam.

Ik ken die geintjes maar al te goed, ik werkte ooit bij een ISP en deed daar ook de abuse afdeling.

Op dit item kan niet meer gereageerd worden.

Xs4all filtert ING-phishingmails actief met Dmarc-technologie

Lees meer

IT-banen

Reacties (62)

Sorteer op:

Weergave: