Het simple mail transfer protocol, of smtp, geschreven in 1982, vormt de basis van e-mail zoals we het vandaag de dag gebruiken. En het is zo lek als een mandje. Niet alleen cybercriminelen weten dat, ook beheerders van domeinen erkennen het en passen steeds vaker moderne(re), aanvullende e-mailstandaarden toe. In cijfers van SIDN, die onder meer het .nl-domein beheert en zich richt op een beter, veiliger internet, is dit goed terug te zien.
Zoals met wel meer standaarden uit de begindagen van internet is de beveiliging van smtp minimaal. Mails gaan over het netwerk in cleartextformaat, waardoor iemand anders dan de ontvanger ze heel eenvoudig kan meelezen. En nog erger: er is geen validatie op afzender en inhoud.
Elmer Lastdrager, die vorig jaar promoveerde op het onderwerp phishing aan de Universiteit Twente en werkt als research engineer bij SIDN Labs, bevestigt het probleem. “Ontvangers van e-mail weten vaak niet zeker wie de afzender is, zeker als het verzendende of ontvangende domein geen andere standaarden dan het klassieke smtp toepast.” Phishers maken gebruik van deze kwetsbaarheid door nepmails te sturen die vaak nauwelijks te onderscheiden zijn van authentieke mails, gestuurd door banken, verzekeraars of andere organisaties. “De meeste mensen controleren de verborgen headers van hun e-mails niet, want dat is een vrij technisch verhaal. En als phishers ook nog eens een gevoel van urgentie inbouwen, waar mensen gevoelig voor zijn, worden ze al snel onvoorzichtig.”
Moderne standaarden vaker aangezet
Op stats.sidnlabs.nl publiceert SIDN actuele statistieken over het gebruik van de .nl-zone, waaronder e-mail. Uit de recentste cijfers wordt duidelijk dat moderne standaarden, met name spf, inmiddels een belangrijke positie hebben ingenomen. “Zeker het aanzetten van standaarden als dane en dmarc door enkele grote internetproviders heeft bijgedragen aan een grotere veiligheid”, zegt Lastdrager. “Wij proberen dit ook te stimuleren, onder meer door een incentive-regeling voor providers in de vorm van kortingen op domeinregistraties.”
Al deze inspanningen ten spijt zijn lang niet alle e-mails - wereldwijd gaan er momenteel zo’n drie miljoen per seconde over internet - even veilig. “Vooral bedrijven die veel mail versturen, doen er dan ook goed aan eens te kijken naar de protocollen die zij hanteren, zoals dkim, dmarc, spf en starttls.” Met uitzondering van spf en in mindere mate dkim, zijn deze lang niet overal bekend.
Spf het populairst
De meest gebruikte aanvullende standaard op smtp is spf, of sender policy framework. Hoe het werkt: door het plaatsen van een spf-record in de dns, in een txt-record, bepaalt de beheerder welke systemen mail mogen versturen en hoe de ontvangende mailserver hiermee moet omgaan. De ontvangende mailserver kan dit controleren. Enkele voordelen zijn: minder ‘valse mails’, meer controle over mailstromen en een betere e-mailreputatie. Een klein aandachtspunt is dat het doorsturen van mails door de ontvanger problemen kan opleveren, maar dit is op te lossen door het inrichten van een ‘softfail’. Wie meer wil weten over hoe dit gaat, kan onder meer hier terecht voor een gedetailleerde uitleg.
Waar spf als het ware de envelop is om de e-mail, is dkim, of domain keys identified mail, de verzegeling daarvan. Het is een wat gecompliceerd protocol dat gebruikmaakt van encryptie. Het bevat zowel een private sleutel, waarover de verzendende mailserver beschikt, als een publieke sleutel, waarmee de headers en de zogenaamde body van de mail door de ontvangende mailserver kunnen worden gecontroleerd. Dkim is een jongere standaard dan spf en ook de wat hogere complexiteit en beheerlast is een reden dat deze nog wat minder wordt gebruikt.
Dmarc: het sausje over spf en dkim
Dan is er nog dmarc, of domain-based message authentication, reporting & conformance, dat als het ware een ‘sausje’ is over spf en dkim. Het plaatsen van een dmarc-record in de dns helpt de ontvangende mailserver te bepalen wat er met een mail moet gebeuren als spf- en dkim-gegevens niet kloppen. Voor de beheerder is deze standaard interessant, vanwege de mogelijkheid om feedbackrapporten te ontvangen, waardoor de alarmbellen sneller gaan rinkelen als er phishingmails of malware worden verstuurd namens het domein.
Een misvatting van veel beheerders is dat ze standaarden daadwerkelijk moeten afdwingen, waardoor ze de aanvankelijke beheerlast al snel te hoog schatten. Lastdrager: “Net als dkim kun je ook dmarc toepassen zonder direct iets af te dwingen. Dit maakt het mogelijk om mailstromen te monitoren en te zien hoe het protocol werkt, zonder het risico te lopen dat mails niet aankomen. En als je standaarden wilt gaan afdwingen, hoeft dit ook echt niet direct voor het volledige mailverkeer. Je kunt je ook eerst op tien procent van het totaal richten om het effect van de genomen maatregelen te controleren. Hierbij loop je geen al te grote risico’s als gevolg van bijvoorbeeld een onjuiste configuratie.”
Opportunistisch starttls biedt kansen
Weer een andere standaard is starttls. Dit is het bekende tls, of transport layer security, maar dan voor mails. Het is een wat opportunistisch protocol, waarbij de verzendende mailserver aangeeft deze te ondersteunen en de ontvangende mailserver dit kan bevestigen, waarna de mail wordt versleuteld. Hackers kunnen die versleuteling eruit halen door de bevestiging van de ontvangende kant te verstoren, waardoor het protocol niet in werking treedt en mails alsnog in cleartext worden verstuurd. Iets wat tegen is te gaan met aanvullende protocollen als dane, rfc7672 en mta/sts. Vooral dane is in opkomst, blijkt uit cijfers van SIDN. Tussen augustus 2018 en augustus 2019 verdubbelde het aantal domeinnamen waarbij dane is toegepast: van 205.000 naar bijna 383.000. Voor wie meer wil weten over dane, hield SIDN onlangs een praktisch webinar. Dit is hier te vinden.
Door standaarden aanvullend op smtp te gebruiken en in sommige gevallen aanvullend op aanvullende standaarden, zoals dane bij starttls, wordt e-mail daadwerkelijk veiliger, maar ook ingewikkelder voor de beheerder. “Iedere keer dat je de keys aanpast, zul je dat moeten aanpassen in de records van de aanvullende protocollen. Als je iets gaat afdwingen, moet het wel kloppen. Als je hele organisatie geen mail meer kan verzenden of ontvangen, levert dat schade op,” aldus Lastdrager. Toch kan geen bedrijf meer om moderne e-mailstandaarden heen. Klassieke e-mail met smtp is onveilig en standaarden als spf, dkim, dmarc en starttls met dane maken het e-mailverkeer veiliger. “Ze zijn effectief en wat ook meehelpt bij de bredere adoptie ervan, is dat veel organisaties, waaronder de overheid in het geval van dmarc, ze inmiddels ook verplicht hebben gesteld in hun eigen e-mailbeleid.”
Weten of een domeinnaam gebruikmaakt van de in dit artikel genoemde moderne e-mailstandaarden? Op de website https://internet.nl/ kun je dit testen.
Dit artikel is geen redactioneel artikel, maar een advertorial. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen, daar zullen collega's aanwezig zijn om jouw vragen en/of opmerkingen te bespreken/beantwoorden.
/i/2001415023.png?f=fpa)
:strip_exif()/i/2003050352.jpeg?f=fpa)
/u/56336/schimpy.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/268386/crop56fea987ec56c_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/32282/ik0n.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
/u/1269654/crop5db82fb3efc17_cropped.png?f=community){kind=small}
:strip_exif()/u/44006/main.gif?f=community){kind=small}
/u/371053/crop5daf43db97da3.png?f=community){kind=small}
:strip_icc():strip_exif()/u/144633/crop643e593ea432f_cropped.jpg?f=community){kind=small}
:strip_exif()/u/30785/gryffindor.gif?f=community){kind=small}
/u/8/oog3.png?f=community){kind=small}
/u/947547/crop5baa4dbf26cca.png?f=community){kind=small}
:strip_exif()/u/131025/avatar15.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/959/auron.jpg?f=community){kind=small}