Mailserver verbinding

Onderwerpen

  1. In het kort
  2. Waarom zou jij je hier druk om maken?
  3. Hoe werkt het: SPF, DKIM en DMARC
  4. De diepte in en aan de slag!

1. In het kort

Onze e-mail stamt uit 1973 en de focus was om te communiceren, veiligheid was geen issue en communicatie is sindsdien de focus, beveiliging niet. Mailservers sturen elkaar berichten en daar is geen actieve controle op.

2. Waarom zou jij je hier druk om maken?

Iedereen kan een mailserver bouwen en beginnen met mails te versturen. Mails die namens jouw domeinnaam worden gestuurd, zoals in het voorbeeld hiernaast waar een afperser de indruk geeft dat het toegang heeft tot de mail op het domein en nog veel meer.

2.1. Afpersing

De mail hiernaast is gestuurd aan iemand die ik persoonlijk ken. Met deze intimiderende mail doet de afperser voorkomen alsof hij/zij het account heeft overgenomen.

Jouw klanten of donateurs kunnen ook mails vanaf jouw domein ontvangen die niet door jou of jouw medewerkers zijn verstuurd. Denk aan een link dat ransomware installeert en mensen die jouw domein kennen zullen geen gevaar zien en de ransomware installeren.

In werkelijkheid kan het de mail versturen, omdat de SPF en DMARC instelling (wordt verder uitgelegd) niet is ingesteld. De afperser weet dat weinig mensen hiervan op de hoogte zijn en er is altijd een percentage dat toch het bedrag overmaakt.

2.2. Man-in-the-middle aanval

Dit is een meer geavanceerde manier van aanvallen waarbij iemand tussen twee mailservers de data zo kan aanpassen dat de ontvanger iets heel anders ontvangt dan wat de zender had verzonden. De intentie is kwaadaardig.

Dit kan wanneer de verbinding tussen de mailserver die een mail wil afleveren en de mailserver die deze mail gaat ontvangen niet beveiligd is; dus niet cryptografisch versleuteld is. Met andere woorden op een niet versleutelde verbinding je zou alle gegevens in die communicatie vanaf het netwerk kunnen inzien.

Sterker nog, je kunt het zelfs aanpassen, wat niet mogelijk als dit versleuteld zou zijn.

Deze afpersingsmail wekt de indruk dat het is verstuurd vanuit het domein van het slachtoffer en stelt dat het gehele domein van de 'hacker' is.
Screenshot van een ransomware melding. Er moet binnen een bepaalde tijd worden betaald op een Bitcoin rekening.

2.2. Is jouw domein dan niet meer in jouw handen?

Zolang het domein bij jouw hoster geregistreerd is, blijft het domein van jou. Het is wel mogelijk om te doen alsof en daar schrik je uiteraard van. Het is eenvoudig te beveiligen en het enige wat je hoeft te doen is het beveiligingsgat dat jouw hostingprovider heeft achter gelaten, en waar de criminelen dankbaar gebruiken, te dichten. Dat doe je door 3 instellingen in DNS in orde te maken: SPF, DKIM en DMARC. Je hoeft hiervoor dus geen software voor aan te schaffen.

2.3. Wat kunnen ze dus wel?

Een criminele organisatie kan ook iets meer tijd en aandacht in de aanval steken en namens jouw bedrijf of stichting mails naar klanten of donateurs sturen met een aanbieding of de vraag een speciale donatie te doen. Daar merk je als organisatie niets van totdat er klachten binnen komen. Iets om in gedachte te houden.

3. Hoe werkt het: SPF, DKIM en DMARC

De 3 instellingen in DNS zijn: SPF, DKIM en DMARC. Dit zijn gegevens die je in je DNS administratie opneemt; zgn DNS records. Er is dus geen softwarepakket die dit voor je doet, maar hieronder wordt het hopelijk wat duidelijker. Mocht je er echt niet uit komen, mail mij gerust op info@cadra.nl.

3.1. In het kort

Verderop deze pagina wordt hier dieper op in gegaan. In het kort gaat het hier om:

  1. SPF: Welke mailservers mogen zenden uit naam van jouw domein
  2. DKIM: Digitale ondertekening van elk bericht. Zo weet je zeker dat de mail van jouw domein is.
  3. DMARC: Beleid: wat doen we met het bericht dat niet aan bovenstaande voldoet?
Afbeelding Youtube video "For the Record: SPF, DKIM, and DMARC Records". De afbeelding is ipv ingesloten Youtube ter voorkoming van cookies.

3.1.1. SPF en DMARC

Stel: een mail namens info@voorbeeld.nl wordt aan een GMail gebruiker gestuurd. De GMail mailserver vraagt het domein voorbeeld.nl om een lijstje computers (SPF) die namens voorbeeld.nl mail mogen versturen. Vervolgens kijkt de GMail mailserver of de server die net de mail heeft afgeleverd in dat lijstje voorkomt.

Is dat niet het geval dan kijkt de GMail server in de DMARC regel van het domein voorbeeld.nl (in DNS) wat er met deze mail gedaan moet worden. Bijvoorbeeld markeren als SPAM en afleveren of de mail direct verwijderen.

*) Met deze link ondersteun je Cadra.nl. Naast klant is Cadra.nl ook affiliate bij TransIP.

3.1.2. DKIM en DMARC

Met DKIM wordt de digitale ondertekening van een bericht gecontroleerd. Als deze in de mail niet aanwezig is, dan kijkt de GMail server in de DMARC regel van het domein voorbeeld.nl (in DNS) wat er met deze mail gedaan moet worden. Bijvoorbeeld markeren als SPAM en afleveren of de mail direct verwijderen.

De diepte in en aan de slag

  • SPF – De lijst met mailservers die mogen schrijven uit jouw domeinnaam
  • DKIM – Het verzegelen van elk e-mail toont aan dat het van jouw domein afkomstig is
  • DMARC – Wat doen we met de mail uit naam van jouw domein die niet voldoen aan SPF en DKIM?
  • STARTTLS – Zorg voor een veilige communicatie tussen jouw mailserver en die wat aflevert
  • MTA-STS – Ondersteunt STARTTLS door het af te dwingen

Tot slot

Blijken er nog steeds zaken niet op groen te staan, dan is het een goed idee om over te stappen naar een moderne hostingprovider. Wil je verhuizen? Volg dan deze stappen van SIDN. Noteer wel eerst ergens (met copy/paste) al je regels (records) in de huidige DNS.

In ieder geval veel succes met het oplossen. Als tip kan ik meegeven om te overwegen naar cloud oplossingen van Microsoft of Google over te gaan voor de mail en het samenwerken met bestanden. In combinatie met een cloud-to-cloud backup waardoor alle data veilig in gecertificeerde datacenters ligt opgeslagen heb je een werkomgeving dat klaar is voor nu.

Dank je voor je tijd en moeite!

Heb je vragen, suggesties of een aanvulling / correctie op de artikelen? Stuur dan een bericht naar info@.