Marco Schilder Solution Consultant bij Ictivity

E-mailsecurity, hoe zit dat nou?

Er is nog een lange weg te gaan voordat onze inboxen volledig veilig zijn. Geen eenvoudige materie, er zijn maar liefst zes technieken nodig om de inbox van je gebruikers tot een onneembaar fort te maken.

Nog geen twee decennia geleden was het voldoende om een virusscanner geïnstalleerd te hebben om e-mail goed te beveiligen. Inmiddels is dat allang niet meer toereikend. Vandaag de dag is het ook belangrijk om de validiteit van de verzender te achterhalen, zodat je zeker weet dat je de e-mail veilig kunt openen. Geen eenvoudige materie, er zijn maar liefst zes technieken nodig om de inbox van je gebruikers tot een onneembaar fort te maken. En om het nog ingewikkelder te maken kunnen niet alle technieken los van elkaar gebruikt worden. In deze blog deel ik de zes stappen en technologieën om e-mail te beveiligen.

1. SMTP TLS voor een versleutelde verbinding
Met de inzet van SMTP TLS ben je er zeker van dat de inhoud van jouw e-mail na het verzenden niet meer gemanipuleerd wordt, omdat er gebruik wordt gemaakt van een versleutelde verbinding om de e-mail te verzenden. Het goede nieuws is dat vrijwel alle mailservers deze techniek zonder extra configuratie ondersteunen, de mailservers van zowel de zender als de ontvanger moet wel uit de voeten kunnen met deze technologie. Bij de configuratie moet een juist (extern vertrouwd) certificaat worden gebruikt.

2. SPF voor het controleren van het adres van de versturende mailserver
De tweede techniek die je kunt inzetten is de Sender Policy Framework. Deze techniek zorgt ervoor dat elk e-maildomein een TXT record bevat in de externe DNS. Hiermee geef je als bedrijf aan wie er vanaf jouw domeinnaam e-mails mag versturen. Het (IP) adres van de versturende mailserver kan zo worden gecontroleerd. Als de ontvangende partij het bericht van een ander adres ziet komen, zal het als spam aangemerkt worden.

3. DKIM voor de controle van certificaten
De volgende stap voor een veilige inbox is het inregelen van DomainKeys Identified Mail (DKIM). De versturende partij versleutelt de uitgaande berichten met de op de mailserver aanwezige private key van een certificaat. In de externe DNS wordt als een TXT record de public key van datzelfde certificaat gepubliceerd. Wanneer de ontvangende partij DKIM ondersteunt, kan deze de private key vergelijken met de public key, als deze overeen komen zal er een DKIM=pass vermelding komen. De ontvangende partij heeft zelf de keuze wat het met DKIM=fail (en dus mogelijk spam) berichten doet.

4. DMARC voor het rapporteren van fails
In Domain-based Message Authentication, Reporting and Conformance (DMARC) komen de technologieën SPF en DKIM samen. Met een extra TXT record in de externe DNS, wordt informatie gegeven over het e-mailadres waarop ‘fail’ acties gerapporteerd worden. Ook kan de versturende partij met dit TXT record invloed uitoefenen op de actie die de ontvangende partij dient te ondernemen in geval van spam (niets doen, in quarantaine plaatsen of verwerpen). SPF en DKIM dienen dus al in gebruik te zijn voordat DMARC geïmplementeerd kan worden.

5. DNSSEC voor de controle op extra DNS-servers
Domain Name System Security Extensions garandeert de validiteit van een DNS-record, doordat er een soort van digitale handtekening wordt toegevoegd. Hierdoor kan er gecontroleerd worden of er geen DNS-server tussen staat die de ontvangende partij bij een validatie-actie naar een andere server (IP-adres) stuurt. De domein hosting provider (of de eigenaar van de bijbehorende DNS-server) moet wel DNSSEC ondersteunen om gebruik te kunnen maken van deze techniek.

6. DANE voor de check op een geldig certificaat
De laatste stap voor een veilige inbox is het gebruiken van DNS-Based Authentication of Named Entities (DANE). SMTP TLS zorgt ervoor dat de ontvangende partij controleert of het certificaat waarmee de e-mail verstuurd is ook een geldig certificaat is. DANE is een toevoeging op deze techniek en zorgt ervoor dat in de externe DNS opgegeven wordt met welk certificaat de versturende mailserver de e-mail zou moeten aanbieden. Hierbij is het wenselijk dat DNSSEC ook toegepast is, omdat anders alsnog de ontvangende partij naar de spamserver met een ander (nep) certificaat verwezen kan worden. De ontvangende partij dient DANE te ondersteunen om juist te kunnen valideren.

De meeste bedrijven zetten slechts de eerste twee van de bovenstaande stappen in en moeten nog starten met het inzetten van de andere vier technologieën. Kortom er is nog een lange weg te gaan voordat onze inboxen volledig veilig zijn. En zelfs wanneer dat zo is, hebben hackers vast alweer nieuwe technieken bedacht waardoor er nog een aantal stappen bijkomen. Hoe eerder je begint met het goed inregelen van e-mailsecurity hoe groter de kans is dat hackers zich eerder wenden tot je concurrenten.

Auteur: Marco Schilder, Solution Specialist bij Ictivity