Briolet
Forum Gebruiker
- Berichten
- 4.358
- Internet
- Ziggo
- Digitale TV
- Ziggo
Sinds eind augustus schrijft Ziggo de resultaten van hun SPF, DKIM en DMARC tests in de mailheaders van binnenkomende mail. Het betreft drie testen om de authenticiteit van mail te kunnen beoordelen. Die testen deed Ziggo al langer, maar nu kunnen we het resultaat zelf in de header zien.
Dit is een mooie aanleiding om hier wat dieper op in te gaan. Mail op zich is niet ontworpen om de echte afzender te authenticeren. In principe kan iedereen elke willekeurige naam als afzender invullen. Misschien kan jouw mail programma dat niet, maar dan kun je altijd een ander programma pakken dat het wel kan.
Toch gebruiken de meeste phishing mailtjes niet de afzendernaam die ze willen imiteren. Ik denk dat een belangrijke reden is dat hun phishing mail dan snel door de mand valt door de testen die ontvangende mailservers doen. Op die manier voorkomen ze dat hun mail direct bounced of in de spambox terecht komt.
Om de beveiligingschecks te omzeilen, bevat een phishingmail meestal een afzender die een beetje op de echte afzender lijkt. Voor de gelijkende afzender kunnen ze het wel instellen dat alle testen kloppen, want de mail komt ook van die gelijkende afzender. Een mail beoordelen begint dus bij het goed kijken of het afzender domein, het stuk achter het apenstaartje, wel de goede naam is. Klopt die naam niet, dan is de mail direct al behoorlijk verdacht.
Klopt die afzender naam wel, dan wordt het tijd om de mail eens echt te bekijken. En dan bedoel ik niet de spelling, want dat is een zeer dubieuze controle. Nee, je moet echt in de header kijken. Veel mensen schrikken misschien van die brij aan tekst, maar als je weet waar je naar op zoek bent, kun je vrij snel het relevante deel opzoeken. De rest negeer je dan gewoon.
Als je op zoek bent naar de controles, zoek je die regel op die begint met Authentication-Results:. Direct erachter staat welke server de test uitgevoerd heeft en na de semicolon staan de resultaten. Bij Ziggo staat elk test resultaat op een eigen regel. De resultaten van een mailtje die je van “mijnbank.nl” gekregen hebt, kunnen er b.v. zo uitzien:
mail.iss.as9143.net is de naam van de Ziggo server die de controle uitgevoerd heeft. Niet direct herkenbaar, maar het zal altijd dezelfde naam zijn bij Ziggo, dus herken je hem wel na een paar mailtjes bekeken te hebben.
spf is een test of de mail wel van het goede IP adres afkomstig is. De naam op het eind, ‘mijnbank.nl’, heeft ergens een lijst gepubliceerd met IP adressen die voor hun mail gebruikt worden. Bij een ‘pass’ komt de mail vanaf een correct IP adres. BIj een fail komt de mail vanaf een foutief IP adres dat niet op de lijst staat. En bij ‘none’ of ‘neutral’ heeft ‘mijnbank.nl’ geen beveiliging ingesteld.
dkim is een digitale handtekening die in de mail zelf staat. Als er maar één teken in de mail verandert is, dan zal dkim een fail geven. De handtekening is geplaatst door het domein dat op het eind staat. In dit voorbeeld “mijnbank.nl”.
Een mail kan meerdere dkim handtekeningen bevatten. Ziggo geeft dan voor elke handtekening het resultaat.
Nu zijn spf en dkim zo ontworpen dat ook mailing bedrijven mail voor anderen kunnen versturen. Dus de naam die achter de spf of dkim test staat, is soms een andere dan die in het leesbare ‘from’ of ‘van’ veld. Het kan ook de naam van het mailingbedrijf zijn.
dmarc combineert de spf en de dkim test, maar voegt er een extra eis aan toe. Minimaal één van de spf en dkim tests moet een pass geven op het domein dat zichtbaar in het ‘van’ veld staat. Bij een pass op spf of dkim, moet je zelf nog kijken of er achter de test ‘mijnbank.nl’ staat, of dat er een ander domein staat dat je kunt vertrouwen. Als dmarc een pass geeft weet je zeker dat het mailtje van de zichtbare afzender komt. De dmarc beveiliging is nog relatief nieuw. Dmarc is in 2012 geïntroduceerd en pas de laatste jaren beginnen bedrijven hun afzender hiermee te beveiligen. Gelukkig lopen bedrijven die interessant zijn voor phishers voorop. Volgens mij hebben alle Nederandse banken inmiddels wel een dmarc beveiliging.
Als vergelijk geef ik hier het resultaat van een phishing mail die zogenaamd van een creditcard maatschappij kwam:
Neutral bij spf geeft aan dat elk IP geaccepteerd wordt. (geen beveiliging dus)
None bij dkim geeft aan dat er geen handtekening is om te controleren. (nosigs)
None bij dmarc geeft aan dat er geen beveiliging ingesteld is. (no_record)
Hier is duidelijk niet de naam van de creditcard maatschappij gebruikt als afzender om geen fail te krijgen. Merk wel op dat support.net geen beveiliging ingesteld had, maar als ze dat wel gedaan hadden, dan waren het 3 passes geweest voor die naam. Dus controle van de afzender naam is eerste prioriteit.
Het bekijken van de ‘Authentication-Results’ is voldoende voor de beoordeling. Als je in meer detail wilt weten hoe de methodes werken, moet je verder lezen in de volgende berichten.
Dit is een mooie aanleiding om hier wat dieper op in te gaan. Mail op zich is niet ontworpen om de echte afzender te authenticeren. In principe kan iedereen elke willekeurige naam als afzender invullen. Misschien kan jouw mail programma dat niet, maar dan kun je altijd een ander programma pakken dat het wel kan.
Toch gebruiken de meeste phishing mailtjes niet de afzendernaam die ze willen imiteren. Ik denk dat een belangrijke reden is dat hun phishing mail dan snel door de mand valt door de testen die ontvangende mailservers doen. Op die manier voorkomen ze dat hun mail direct bounced of in de spambox terecht komt.
Om de beveiligingschecks te omzeilen, bevat een phishingmail meestal een afzender die een beetje op de echte afzender lijkt. Voor de gelijkende afzender kunnen ze het wel instellen dat alle testen kloppen, want de mail komt ook van die gelijkende afzender. Een mail beoordelen begint dus bij het goed kijken of het afzender domein, het stuk achter het apenstaartje, wel de goede naam is. Klopt die naam niet, dan is de mail direct al behoorlijk verdacht.
Klopt die afzender naam wel, dan wordt het tijd om de mail eens echt te bekijken. En dan bedoel ik niet de spelling, want dat is een zeer dubieuze controle. Nee, je moet echt in de header kijken. Veel mensen schrikken misschien van die brij aan tekst, maar als je weet waar je naar op zoek bent, kun je vrij snel het relevante deel opzoeken. De rest negeer je dan gewoon.
Als je op zoek bent naar de controles, zoek je die regel op die begint met Authentication-Results:. Direct erachter staat welke server de test uitgevoerd heeft en na de semicolon staan de resultaten. Bij Ziggo staat elk test resultaat op een eigen regel. De resultaten van een mailtje die je van “mijnbank.nl” gekregen hebt, kunnen er b.v. zo uitzien:
“legitieme mail” zei:Authentication-Results: mail.iss.as9143.net;
spf=pass (17.164.72.57;mijnbank.nl);
dkim=pass header.d=mijnbank.nl;
dmarc=pass header.from=mijnbank.nl (p=quarantine sp=quarantine dis=pass);
mail.iss.as9143.net is de naam van de Ziggo server die de controle uitgevoerd heeft. Niet direct herkenbaar, maar het zal altijd dezelfde naam zijn bij Ziggo, dus herken je hem wel na een paar mailtjes bekeken te hebben.
spf is een test of de mail wel van het goede IP adres afkomstig is. De naam op het eind, ‘mijnbank.nl’, heeft ergens een lijst gepubliceerd met IP adressen die voor hun mail gebruikt worden. Bij een ‘pass’ komt de mail vanaf een correct IP adres. BIj een fail komt de mail vanaf een foutief IP adres dat niet op de lijst staat. En bij ‘none’ of ‘neutral’ heeft ‘mijnbank.nl’ geen beveiliging ingesteld.
dkim is een digitale handtekening die in de mail zelf staat. Als er maar één teken in de mail verandert is, dan zal dkim een fail geven. De handtekening is geplaatst door het domein dat op het eind staat. In dit voorbeeld “mijnbank.nl”.
Een mail kan meerdere dkim handtekeningen bevatten. Ziggo geeft dan voor elke handtekening het resultaat.
Nu zijn spf en dkim zo ontworpen dat ook mailing bedrijven mail voor anderen kunnen versturen. Dus de naam die achter de spf of dkim test staat, is soms een andere dan die in het leesbare ‘from’ of ‘van’ veld. Het kan ook de naam van het mailingbedrijf zijn.
dmarc combineert de spf en de dkim test, maar voegt er een extra eis aan toe. Minimaal één van de spf en dkim tests moet een pass geven op het domein dat zichtbaar in het ‘van’ veld staat. Bij een pass op spf of dkim, moet je zelf nog kijken of er achter de test ‘mijnbank.nl’ staat, of dat er een ander domein staat dat je kunt vertrouwen. Als dmarc een pass geeft weet je zeker dat het mailtje van de zichtbare afzender komt. De dmarc beveiliging is nog relatief nieuw. Dmarc is in 2012 geïntroduceerd en pas de laatste jaren beginnen bedrijven hun afzender hiermee te beveiligen. Gelukkig lopen bedrijven die interessant zijn voor phishers voorop. Volgens mij hebben alle Nederandse banken inmiddels wel een dmarc beveiliging.
Als vergelijk geef ik hier het resultaat van een phishing mail die zogenaamd van een creditcard maatschappij kwam:
“Phishing mail” zei:Authentication-Results: mail.iss.as9143.net;
spf=neutral (220.152.48.7;support.net);
dkim=none (nosigs);
dmarc=none header.from=support.net (dis=no_record);
Neutral bij spf geeft aan dat elk IP geaccepteerd wordt. (geen beveiliging dus)
None bij dkim geeft aan dat er geen handtekening is om te controleren. (nosigs)
None bij dmarc geeft aan dat er geen beveiliging ingesteld is. (no_record)
Hier is duidelijk niet de naam van de creditcard maatschappij gebruikt als afzender om geen fail te krijgen. Merk wel op dat support.net geen beveiliging ingesteld had, maar als ze dat wel gedaan hadden, dan waren het 3 passes geweest voor die naam. Dus controle van de afzender naam is eerste prioriteit.
Het bekijken van de ‘Authentication-Results’ is voldoende voor de beoordeling. Als je in meer detail wilt weten hoe de methodes werken, moet je verder lezen in de volgende berichten.
Laatst bewerkt: