image

Google gaat strenger DMARC-beleid voor Gmail doorvoeren

donderdag 22 oktober 2015, 15:23 door Redactie, 8 reacties

Google gaat volgend jaar de e-mails die Gmail-gebruikers ontvangen strenger filteren, zo heeft de internetgigant bekendgemaakt. E-mails die niet aan de DMARC-eisen voldoen zullen vanaf juni 2016 worden geweigerd. DMARC (Domain-based Message Authentication, Reporting and Conformance) is een standaard die door vijftien vooraanstaande internetbedrijven werd ontwikkeld, waaronder Microsoft, Facebook, LinkedIn en Google.

Via de nieuwe beleidswijziging zal Google straks e-mails van Gmail.com-adressen weigeren die claimen van Google's servers afkomstig te zijn, maar daar in werkelijkheid niet vandaan komen. Dit moet bijvoorbeeld spoofing- of phishingaanvallen voorkomen. De strengere DMARC-standaard werd eerder al door AOL en Yahoo ingesteld. Yahoo zal DMARC volgende maand ook voor ymail.com en rocketmail.com gaan instellen.

Google heeft daarnaast aangekondigd het nieuwe ARC-protocol te ondersteunen. Het Authenticated Received Chain (ARC)-protocol is ontwikkeld om problemen met DMARC te voorkomen. Er wordt in dit geval een cryptografisch gesigneerde header aan het bericht toegevoegd. Op dit moment worden veel legitieme e-mails afkomstig van doorstuurdiensten en mailinglijsten geweigerd omdat ze niet aan de DMARC-eisen voldoen. Het ARC-protocol moet ervoor zorgen dat dergelijke diensten de doorgestuurde e-mails toch kunnen authenticeren zodat ze wel worden geaccepteerd.

Reacties (8)
22-10-2015, 16:30 door Briolet
Google gaat volgend jaar de e-mails die Gmail-gebruikers ontvangen strenger filteren,

Volgens mij is dat niet de juiste weergave van de tekst. In de link staat dat ze hun dmarc policy strenger zullen zetten. De inkomende E-mails die niet aan de DMARC eisen voldoen, worden nu al geweigerd. (Mag ik toch hopen)

Toevallig keek ik vorige week nog met het 'host' command naar hun dmarc record en zag dat hun policy op 'none' stond, zoals veel bedrijven met een DMARC record. Ik keek net even en er stond nu 'reject'. Op zich vreemd omdat bovenstaande link vertelt dat ze hem pas volgens jaar op 'reject' zullen zetten.

host -t TXT _DMARC.google.com
_DMARC.google.com descriptive text "v=DMARC1\; p=reject\; rua=mailto:xxxxxx@google.com"
(NB 'host' is een mac terminal command. Ik weet zo geen vergelijkbaar windows alternatief)

Echter betekend 'reject' niet dat Google de mail reject, maar juist dat andere mailservers deze mail moeten weigeren als de mail claimt van google.com af te komen.
22-10-2015, 17:31 door MeowSec - Bijgewerkt: 22-10-2015, 17:38
het is een *nix command en mac is daar op gebaseerd dus op elke unix/linux systeem werkt dat commando ook.

op mijn domainen what op google apps draaien. draai ik die p=reject al jaren.

de opties zijn daarvoor.

none - Take no action. Log affected messages on the daily report only.
quarantine - Mark affected messages as spam.
reject - Cancel the message at the SMTP layer.

v=DMARC1; p=reject; rua=mailto:mail@domain.

maar voordat je dat opzet moet je wel DKIM authentication. goed hebben staan


een windows alternatief is nslookup

https://support.microsoft.com/en-us/kb/200525
22-10-2015, 22:43 door Erik van Straten
https://dmarcian.com/dmarc-inspector/google.com lijkt dezelfde info als het 'host' command te geven, maar dan met uitleg wat de gebruikte velden betekenen, maar ook wat de default waarden zijn van niet gespecificeerde velden.

Handig, want ik weet nog weinig van DMARC terwijl dat, in combinatie met DKIM en SPF, eindelijk een protocol lijkt te zijn dat phishing effectief te lijf gaat.

@Briolet: in https://dmarcian.com/dmarc-inspector/gmail.com wordt de policy voor GMail getoond, nu nog "p=none", ik vermoed dat bedoeld wordt dat GMail i.p.v. Google per juni 2016 naar reject gaat.
23-10-2015, 08:39 door Anoniem
Door Briolet:
(NB 'host' is een mac terminal command. Ik weet zo geen vergelijkbaar windows alternatief)
Door MeowSec:
het is een *nix command en mac is daar op gebaseerd dus op elke unix/linux systeem werkt dat commando ook.

"Niet om te bashen, maar het is onderdeeld van bash" *grinnikt een beetje*
23-10-2015, 09:28 door Marcel de Haas
(NB 'host' is een mac terminal command. Ik weet zo geen vergelijkbaar windows alternatief)

Resolve-DnsName is een Powershell cmdlet wat een beter alternatief biedt dan nslookup. En dankzij tab-completion hoef je ook niet alle commando's binnen nslookup uit je hoofd te leren.
23-10-2015, 10:45 door Anoniem
Door Anoniem:
Door Briolet:
(NB 'host' is een mac terminal command. Ik weet zo geen vergelijkbaar windows alternatief)
Door MeowSec:
het is een *nix command en mac is daar op gebaseerd dus op elke unix/linux systeem werkt dat commando ook.

"Niet om te bashen, maar het is onderdeeld van bash" *grinnikt een beetje*

Niet om te bashen, maar het is onderdeel van de dnsutils/dns-utils/bind-utils package op veel linux systemen.
Heeft dus niks met welke shell dan ook te maken.
23-10-2015, 11:45 door Briolet - Bijgewerkt: 23-10-2015, 11:46
Door Erik van Straten: …ik vermoed dat bedoeld wordt dat GMail i.p.v. Google per juni 2016 naar reject gaat.

*shame* Mijn blunder, ik had bij gmail.com moeten kijken en natuurlijk niet bij google.com.

Sinds mijn mailserver een half jaar geleden dmarc is gaan ondersteunen, ben ik er diep ingedoken. Het lijkt een krachtig protocol tegen spam, maar eist een heel goed beleid van de domein eigenaar om te voorkomen dat ook legitieme mail geblokt wordt.

Ik ontvang nu dagelijks rapporten en merk dat bijna de helft van mijn zakelijke klanten hun mail forward naar een 2e account. Dan klopt het SPF al niet meer. Gelukkig is alleen een correcte DKIM voldoende voor een pass. Een enkele keer krijg je toch nog een reject omdat bij het forwarden de mail iets aangepast wordt. Dat betekent dat mensen die mail forwarden, dit via een server moeten doen die van de content afblijft. (volgens mij is het aanpassen van de titel al voldoende voor een reject).
Omdat ik nu allerlei problemen met forwarden van beveiligde mail zie, ben ik zelf ook gestopt met het forwarden van mijn eigen mail. Ik haal het nu liever via pop op van die servers.

Als je op dmarc.org kijkt zie je dat er ook grote problemen bij mailinglists zijn om deze mail niet te laten bouncen. Daar zijn allemaal oplossingen voor, maar dat heeft zijn tijd nodig. Dat zal ook de reden zijn dat veel bedrijven met een complexe mailstructuur wel al een DMARC record aangemaakt hebben, maar de policy nog op 'none' hebben staan.

@MeowSec nslookup lijkt een windows alternatief te zijn. De commando's die nodig zijn om het TXT record uit te lezen zijn echter niet in de mac versie van nslookup geïmplementeerd, vandaar mijn twijfel om deze te noemen.
01-11-2015, 11:31 door Briolet
Ter info: Ik heb deze week een mailing de deur uitgedaan en heb net het bijbehorende dmarc-rapport van GMail bekeken.

Circa een kwart van de mail is afkomstig van mijn IP en driekwart komt vanaf andere IP adressen. Die driekwart vanaf het verkeerde IP heeft allemaal een SPF-fail, maar omdat de DKIM checksum nog steeds correct is, geeft hij nog steeds een overall pass. Blijkbaar is er 3x zoveel van mijn mailing bij GMail terechtgekomen via een forward dan dat ik zelf naar GMail adressen gestuurd heb.

De mailing ging naar allemaal kleine bedrijfjes die meestal een website hebben met een e-mail adres van de webhoster waarop ze naar buiten toe bereikbaar willen zijn. Blijkbaar vindt men dat e-mail adres lastig om rechtstreeks te gebruiken en forward men de mail ook nog naar een eigen GMail account.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.