Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

ABN Amro is de tweede Nederlandse bank die gebruik gaat maken van Dmarc-technologie om phishingmails uit naam van de bank te filteren. De antiphishingtechnologie werkt niet in combinatie met alle e-mailaanbieders.

Dmarc, dat staat voor Domain-based Message Authentication, Reporting and Conformance, werd begin 2012 door een aantal grote webmailaanbieders, waaronder Google, Microsoft en Yahoo, aangekondigd. Het is een verificatiesysteem waarbij onder andere webmailaanbieders kunnen controleren of een e-mail daadwerkelijk van een bedrijf afkomstig is en niet van een partij die via phishing persoonsgegevens probeert te achterhalen.

Eerder maakte ING, samen met Xs4all, al de stap naar Dmarc om phishing tegen te gaan en tegen Nu.nl maakt ABN Amro bekend er ook gebruik van te gaan maken. In de VS zijn al meerdere banken ertoe overgegaan het verificatiesysteem in te zetten, evenals Paypal.

De bescherming werkt in combinatie met webmaildiensten als die Google, Microsoft en Yahoo, terwijl ook klanten van Xs4all minder phisingmails uit naam van ABN Amro zouden moeten krijgen. Omdat mailaanbieders op het systeem aangesloten moeten zijn, werkt de bescherming niet in combinatie met alle maildiensten.

Werking van Dmarc

Moderatie-faq Wijzig weergave

Reacties (32)

Het groene slotje is in principe tegen phishing, dat helpt niet bij iedereen. Waarom gaat dit dan wel werken?

Of is het zo dat bij alle e-mail met het woord bank of abn erin, een rood block in het e-mailtje kot met "Dit is niet afkomstig van een echte bank"?
Ik neem aan dat je met "groene slotje" het slotje bedoelt wat bij een SSL verbinding word getoond in veel browsers? Dat is niet direct tegen phising maar om de authenticiteit van de server aan te tonen. Phising is slechts een manier om mensen naar een louche site te krjgen. DNS poisoning kan bijvoorbeeld ook.

Wat er gebeurt met een e-mail bij gebruik van DMARC hangt af van de DMARC policy
DMARC standardizes how email receivers perform email authentication using the well-known Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM) mechanisms. This means that senders will experience consistent authentication results for their messages at AOL, Comcast, Gmail, Hotmail, Mail.ru, Netease, XS4ALL, Yahoo! and any other email receiver implementing DMARC.[2] The specification creators hope this will encourage senders to more broadly authenticate their outbound email which can make email a more reliable way to communicate.

A DMARC policy allows a sender to indicate that their emails are protected by SPF and/or DKIM, and tells a receiver what to do if neither of those authentication methods passes - such as junk or reject the message. DMARC removes guesswork from the receiver's handling of these failed messages, limiting or eliminating the user's exposure to potentially fraudulent & harmful messages. DMARC also provides a way for the email receiver to report back to the sender about messages that pass and/or fail DMARC evaluation.
en
DMARC policies are published in the public Domain Name System (DNS) as text (TXT) resource records (RR) and announce what an email receiver should do with non-aligned mail it receives.
Voor je DMARC kunt gebruiken moet je overigens zowel SPF records en DKIM keys gebruiken. DMARC is afhankelijk van deze technology en een bericht moet zowel op SPF als DKIM falen om ook voor DMARC te falen. Een single check faillure op een van beide technieken zal een bericht door DMARC laten komen.

[Reactie gewijzigd door Bor op 10 februari 2014 08:19]

Wat ik begrijp is dat de header van de mail wordt gecontroleerd met de mail server.

Dus als jij een mailtje stuurt met ikmagwel@abnamro.nl maar de in de header staat SMTP:smtp.ikmagniet.nl

Zal DAMRAC het mailtje niet toe laten omdat de server naam niet overeenkomt met het domain name van de server. (dit doet de mail server)

Daarnaast zal dit niet werken als de mail provider niet mee werkt. Dus momenteel een select groepje providers.. Misschien later meer en meer providers en bedrijven.

Gmail en Outlook zijn volgen het systeem veilig. Maar
op die manier, ik begreep uit de tekst dat hij alleen een verificatie geeft als het e-mail wel van de bank komt, en dat er in de overige gevallen niks gebeurd. Maar dat zou voor de meeste gebruikers niet werken.
nog niet maar als meer en meer mail providers dmrac gaan implementeren zal het steeds beter gaan werken :)

Zowel de sender als reciever moet dmrac ondersteunen zover ik het begrijp.

Als de ontvanger geen dmrac in zijn dns records heeft staan kan deze ook niet controleren tegen dmrac dat de domain name en verzender van dezelfde mail server komt.

Daarom hebben Outlook.com Gmail.com en Yahoo.com (toch wel de grootste partijen) dmrac geďmplementeerd. Nu ABN is aangesloten zal Outlook.com bv controleren of de header ook daadwerkelijk van de mail server afkomt als het domain name doet lijken.

Wel een note zover ik weet als je op Outlook.com of Gmail je eigen domain gebruikt. moet je zelf nog de DNS records aanpassen :)
Het groene slotje helpt helemaal niets als je daarnaast ook niet kijkt naar de URL. Een phisingsite kan prima met SSL draaien op een totaal ander domein en dan heeft-ie ook een slotje.

En in feite is kijken naar de URL meer dan genoeg om te zien of je op de echte site zit (bij ABN Amro zal het ALTIJD *.abnamro.nl/* zijn).
...
En in feite is kijken naar de URL meer dan genoeg om te zien of je op de echte site zit (bij ABN Amro zal het ALTIJD *.abnamro.nl/* zijn).
Je moet dan tegenwoordig nog wel nagaan of mogelijk homogliefen gebruikt worden.
Ik vraag me dan af hoe iemand die een eigen mail server heeft en de buurman en buurvrouw van mail voorziet hier zich kan op aansluiten.

Dus met andere worden. Kan jezelf ook zonder gekke fees jezelf op dit systeem aansluiten? Of blijft het gros van de mail providers en Private mail domains toch deze problemen aanlopen?
Ja, er zijn altijd situaties te bedenken dat dit niet werkt. Maar als je een eigen mail server draait ga ik er van uit dat je weet welke informatie wel en niet via een email wordt verstuurd en wat een Phishing mail is. Je buren die geen verstand hebben van computers op je eigen mail server roe laten lijkt me een recept voor problemen, zowel voor jezelf als de buren, als de relatie tussen de twee.
Dit is bedoelt voor 99,9 van de mensen die niet overdreven veel verstand hebben van computers en gewoon een Hotmail of gmail adres hebben. Daarvoor werkt het erg goed en is dit een prima maatregel..
Klopt, als Google, Microsoft en alle grote Nederlandse providers aangesloten zijn heb je waarschijnlijk al 80% van de Nederlanders te pakken, dus dat is al een enorme winst.
Nou ja.. Ik heb mijn eigen mail diensten ook op outlook draaien op mijn eigen domein.

Maar ik kan best wel begrijpen als lowbudget webhoster zijn mail diensten wel beschikbaar stelt voor derden :) Die gaat echt niet zijn mail servers dagelijks controleren op wat wel en niet verstuurd is. hooguit dat hij dagelijks kijkt of de mail en webservices het nog doen en normaal werken.

Zo moeilijk is het ook niet meer om een eigen webhosting te starten..
Servers zijn al voor 500 euro te koop en 50 Euro in de maand voor rackspace..

paar klantjes die 10 euro per maand willen neer tellen of 1 euro houting starten. en je hebt zo wel klanten die jouw webservertje betalen.

Dan aansluiten op DMARC een must. Wordt het lastig en ingewikkeld dan zullen deze hosters echt geen aansluiting zoeken en zijn de privé mensen en de zzp-ers die eigen domeintje hebben nog steeds kwetsbaar. Zeker in die groep valt een hoop te halen gezien Spam filtering sowieso al erg laag is.
Je kunt zelf DMARC implementeren op je eigen mailserver, bijvoorbeeld Postfix. Zie het project en een uitgebreid stappenplan.
Ja, en wat als nu een of andere 3e partij zoiets opzet met de intentie gegevens te stelen zonder dat jij het weet? Dan denk jij dus wederom te maken te hebben met een vertrouwde site en ben je dus in weze weer terug bij af.
Ik snap niet zo goed wat je bedoeld? Je geeft je DMARC policy op in je DNS-records, evenals de voorwaardelijke DKIM- en SPF-records, aan de hand waarvan de legitimiteit wordt bepaald. Waar zie jij die derde partij iets opzetten dat dit onderuit haalt?
Ik doelde dus meer op een man-in-the-middle attack. Iemand die zich voordoet als legaal (tussen) station en dus gegevens steelt en doorsluist naar een of andere malafide server.
Als de grote jongens (KPN/XS4ALL, Gmail, Hotmail) zich hierop aansluiten zal een significant deel tegengehouden worden - en wordt het vanzelf onrendabel om phishingmail voor deze banken te versturen... waardoor alle andere maildiensten er ook van profiteren, lijkt mij.
Ik ben blij dat banken proberen hun klanten te beschermen.
Ik zag ook al een reclame voorbij komen over "online zelfverdediging"
Belt de bank om gegevens te vragen: Hang op.
Vraagt een website om inloggegevens: Klik weg
en bij twijfel bel uw bank.

Beetje domme reclame, maar hopelijk zinvol, een hoop (soms ook oude) mensen trappen er toch in als ze gebeld worden of verzocht worden om login gegevens op een verkeerde site in te kloppen.

Prima dat mensen voorgelicht worden en hopelijk ook wat bewuster met hun gegevens omgaan.
Het kan ook doorschieten dat een bank je verplicht om elke 2 weken je afschriften te controleren of ze kloppen. Doen ze dat niet en je bent te laat dan heb je mooi pech.

http://www.privacynieuws....ser-online-afschrift.html
Bij twijfel vul je de verkeerde gegevens in. Logged hij toch in dan weet je dat het niet klopt. Of je controleert even de adres balk boven in... maar goed, ze bedenken steeds betere manieren. En de polen hongaren en bulgaren leren steeds beter nederlands, want ze worden steeds beter geschreven.
Betekent nu dit dat in de toekomst de banken WEL mails gaan versturen omtrend je bankgegevens?
Waarom zouden ze anders zo'n systeem gaan bouwen, je bank zou toch NOOIT mails sturen?
Je hebt wel nieuwsbrieven. Daarnaast zijn er gewoon veel mensen die erin trappen. Nu kunnen ze dat tegen gaan.
Wat voor meerwaarde heeft Dmarc ten opzichte van Sender Policy Framework (SPF) dat ik nu gebruik?

[Reactie gewijzigd door Woestijn op 10 februari 2014 10:01]

DMARC gebruikt SPF maar ook DKIM keys en is meer policy driven. SPF is slechts een van de onderdelen uit een DMARC systeem.
In mijn ogen zou s/mime een eenvoudigere oplossing zijn, als de grote webmailers signatureverifiatie in hun interfaces inbouwen kunnen de meestgebruikte mailprogramma's er standaard mee overweg.

Allen moet de eindgebruiker zich dan natuurlijk wel bewust zijn van de haken en ogen, net als bij http(tls)...

@ hieronder, dat klopt, maar waarschuwingen zoals moderne browsers ze geven hebben denk ik wel effect. Als iemand een mail opent en vervolgens een apart waarschuwingsscherm krijgt, waarbij je moet aanvinken dat je door wilt, eerst toelichtingen moet lezen etc. zal diegene doorgaans wel wat meer op zijn hoede zijn.

[Reactie gewijzigd door begintmeta op 10 februari 2014 11:52]

Die laatste zin is belangrijk: mensen die nu het slachtoffer worden van phishing zijn zich niet bewust van die haken en hogen, want ook nu heb je die controlemechanismen al (https, simpele adresbalk-controle e.d.), en dat is blijkbaar niet voldoende. Je moet dus gewoon op een veilige manier hard mails kunnen blokkeren als provider. Die mensen zijn blijkbaar niet intelligent genoeg om zelf dingen te controleren, dus dan moet de provider dat maar voor ze regelen, in samenwerking met de banken.
Gaan ongetekende mails nu nog door naar de geadresseerde? Of gaan die de veilige weg, regelrecht naar dev>null?
Dus met DMARC kan een ISP de authenticiteit van de afzender verifieren. Mail die voldoet wordt in elk geval doorgelaten (whitelisting, dus geen legitieme mailtjes van ABN in je spambox) en legitieme mails zijn beter herkenbaar in je inbox (zegeltje).

Maar dat betekent toch niet dat je minder phisingmail krijgt?
Dit zou wel fijn zijn (ook al ben ik geen klant van de ABN). In Outlook heb je dat ook met bijvoorbeeld UPS en PayPal. Maakt het een stuk makkelijker om phising te identificeren!
Toch kan ik AbnAmro`s motivatie mbt gebruikers welzijn niet helemaal serieus nemen aangezien ze nog steeds die vieze Adobe Omniture tracker dependency hebben op hun internet bankier site.
(Is nou niet echt iets waaruit blijkt dat ze het welzijn van de gebruiker erg belangrijk vinden)

[Reactie gewijzigd door enchion op 10 februari 2014 12:56]

Daar kun je ook anders tegenaan kijken omdat op deze manier het gedrag van klanten beter in beeld kan worden gebracht en de dienstverlening geoptimaliseerd kan worden. Om te pesten doen ze het in ieder geval niet vermoed ik zomaar.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True