Het aantal bedrijven dat slachtoffer wordt van phishing neemt nog steeds snel toe. Phishers, maar ook spammers en malware-verzenders vervalsen vaak het mailadres van de afzender. Zo lijkt het bijvoorbeeld of dat ze mailen vanuit de Belastingdienst of het eigen bedrijf. We leggen uit waarom DKIM, DMARC en SPF effectieve manieren zijn om phishing tegen te gaan.
Phishing is het ‘hengelen’ naar persoonlijke gegevens van mensen. Slachtoffers ontvangen een bericht dat lijkt te komen van een bonafide organisatie. Vervolgens verstrekken ze vaak via een nagemaakte site gegevens waar cybercriminelen misbruik van maken. Bekende vormen van phishing zijn CEO-fraude en corona-phishing.
Phishing kan plaatsvinden via bijvoorbeeld WhatsApp, social media en sms, maar e-mail-phishing komt veruit het vaakst voor. Met het klassieke en verouderde SMTP-protocol is het simpel om een afzendadres te vervalsen (‘spoofing’ in vaktaal): een leek zal het niet opvallen dat adres niet echt is. De standaarden voor e-mail DKIM, DMARC en SPF zijn robuuste(re) wapens tegen phishing, aangezien het daarmee lastig is voor cybercriminelen om zich voor te doen als een betrouwbare organisatie. Ontvangende mailservers moeten dan namelijk controleren of de afzender daadwerkelijk is wie hij zegt te zijn.
Wat is SPF?
SPF, dat staat voor Sender Policy Framework, is een protocol waarmee de ontvanger controleert of de daadwerkelijke verzender het bericht mag verzenden vanuit de genoemde afzender. Daarvoor kijkt de ontvangende mailserver naar het SPF-record in de DNS. Is de verzendende mailserver niet in het record vermeld? Dan komt de mail doorgaans in de spambox terecht.
Op papier is dit een mooi systeem, maar in de praktijk loop je als bedrijf tegen een paar grote nadelen aan. Stuurt een server bijvoorbeeld mails via een niet bij het domein horende mailinglijst, dan komen de mails niet door de SPF-controle. En een typefout kan ervoor zorgen dat alle uitgaande mails worden tegengehouden. Of juist dat je spammers een vrijbrief geeft.
Wat is DKIM?
DKIM, oftewel DomainKeys Identified Mail, is een authenticatiemethode waarmee e-mailberichten kunnen worden gewaarmerkt. Aan de hand van dit waarmerk kan de ontvanger afleiden of de e-mail daadwerkelijk van het domein van de verzender komt én of de inhoud van het bericht na het versturen door derden is gemanipuleerd.
Hoe werkt DKIM? De verzendende e-mailserver berekent aan de hand van een private key een cryptografisch controlegetal. De ontvangende partij kan de publieke sleutel opzoeken in het DNS en daarmee de mail valideren. Omdat kwaadwillenden niet beschikken over de private key, kunnen ze geen mails versturen die door DKIM worden beschermd. Met als gevolg dat dit soort valse mails (in principe) in de spambox belanden.
Wat is DMARC?
DMARC is de afkorting van Domain-based Message Authentication, Reporting and Conformance. Het is geen nieuwe techniek, maar een manier om met SPF en DKIM om te gaan. Met DMARC kun je als verzendende partij beleid vastleggen in het DNS. Wat moet er met e-mails gebeuren waarvan niet kan worden vastgesteld dat ze van het vermelde afzenderdomein komen? Je kunt bijvoorbeeld vastleggen dat een mail in de spambox moet komen als SPF mislukt of het DKIM-waarmerk niet juist is.
Een handige functionaliteit van DMARC zijn de reports. Maakt iemand misbruik van jouw domein? Dan krijg je hier direct een rapport van, waarmee je een vinger aan de pols houdt voor je e-maildomein.
Hoe SPF, DKIM en DMARC helpen tegen phishing
SPF, DKIM en DMARC voorkomen dat kwaadwillenden jouw domein kunnen spoofen, dus dat ze jouw e-mailidentiteit kunnen aannemen. Het verhindert dus dat anderen slachtoffer worden van phishing (of spam) uit naam van jouw bedrijf.
Indirect kan het er wel voor zorgen dat medewerkers van jouw organisatie niet ingaan op phishing-pogingen. Malicieuze e-mails komen door deze drie e-mailprotocollen namelijk eerder in de spambox terecht. Organisaties van wie de identiteit wordt gekaapt voor phishing moeten dan wel zelf aan de slag zijn gegaan met SPF, DKIM en DMARC. Helaas is dit geen vanzelfsprekendheid. Zo bleek recent uit een onderzoek van het Forum Standaardisatie dat de helft van ruim 500 onderzochte overheidsdomeinen kwetsbaar is voor spoofing.
Hoe kun je e-mail phishing voorkomen als bedrijf?
In ons artikel Phishing: betekenis, voorbeelden en tips voor het mkb geven we tips over het voorkomen van phishing. Maak bijvoorbeeld medewerkers bewust van de gevaren en klik nooit zomaar op links. Op e-mailgebied kun je ook het een en ander regelen. Zo kun je goede spamfilters installeren, je mailservers beveiligen en externe mails automatisch laten labelen.
De dienst Extra Veilig Internet van het totaalpakket KPN EEN MKB biedt extra bescherming tegen onder meer phishing. Ondernemers in het midden- en kleinbedrijf zijn zo verzekerd van meer veiligheid.
