image

Nederlanders ontwikkelen tool die gebruik e-mailstandaarden checkt en uitlegt

maandag 17 januari 2022, 14:37 door Redactie, 9 reacties

Twee Nederlandse programmeurs hebben een tool ontwikkeld die het gebruik van van de e-mailstandaarden SPF, DKIM en DMARC checkt en uitlegt. De standaarden spelen een belangrijke rol bij het tegengaan van spoofing, spam en phishing. Vorig jaar bleek dat een deel van de e-maildomeinen van de vitale sector de e-mailstandaarden niet gebruikt of onvoldoende strikt heeft geconfigureerd.

En niet alleen in de vitale sector, ook een deel van de Nederlandse ziekenhuizen en GGD's maakt geen gebruik va de eerder genoemde beveiligingsstandaarden en ook de overheid heeft dit nog niet overal op orde. Met de tool Learn and Test DMARC kunnen gebruikers het beveiligingsniveau van hun e-mail controleren en wordt uitgelegd hoe de standaarden precies werken.

"We visualiseren het achtergrondproces (in leuke retro matrix-style) tussen servers zodat bezoekers kunnen zien welke beveiligingsmethoden (SPF, DKIM, DMARC) een rol spelen en hoe de validatie werkt", zegt ontwikkelaar Freddie Leeman tegenover Security.NL. De gratis tool is deze maand, nadat die op Hacker News werd genoemd, al door meer dan 70.000 mensen gebruikt.

Voor het gebruik van Learn and Test DMARC volstaat het versturen van een e-mail, maar kan er ook van een voorbeeldmail gebruik worden gemaakt. Leeman hoopt dat de tool bijdraagt tot een betere adoptie van de e-mailstandaarden en daarmee tot een veiliger internet. De tool is inmiddels ook toegevoegd aan de checklist e-mailstandaarden van Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

Reacties (9)
17-01-2022, 15:59 door Anoniem
Het configureren gebruiken van die methoden heeft alleen zin als deze ook gecontroleerd worden op het mailsysteem
van de ontvanger, en de juiste en goed zichtbare waarschuwingen geven als er iets niet klopt.

Ik denk dat er op dat gebied nog wel meer te testen is dan op het gebruik door de verzenders.
(wat toch al een wassen neus is omdat deze protocollen gekoppeld zijn aan de domeinnaam en niet aan de organisatie)
17-01-2022, 16:42 door Anoniem
Door Anoniem: Het configureren gebruiken van die methoden heeft alleen zin als deze ook gecontroleerd worden op het mailsysteem
van de ontvanger, en de juiste en goed zichtbare waarschuwingen geven als er iets niet klopt.

Ik denk dat er op dat gebied nog wel meer te testen is dan op het gebruik door de verzenders.
(wat toch al een wassen neus is omdat deze protocollen gekoppeld zijn aan de domeinnaam en niet aan de organisatie)
Exact dit.

Zonder toepassen en begrijpen van werkelijke aggregated reports of forensics op echte berichten heb je hier echt niks aan qua kennis. De tool heeft dan ook geen actieve waarde in productie gezien het nergens de belangrijke data toelicht.

Het kan ondersteuning bieden in mischien eerste half uur training van een ITer voor visualisatie maar dan ben ik nog zeer ruimhartig met de nuttige tijd want dit kun je ook in 3 slides toelichten.
Zoals zo veel goede intenties leuk bedacht en in elkaar gezet maar productiematig zinloos.
17-01-2022, 16:45 door Briolet - Bijgewerkt: 17-01-2022, 16:52
Door Anoniem: Het configureren gebruiken van die methoden heeft alleen zin als deze ook gecontroleerd worden op het mailsysteem van de ontvanger,

Dat klopt, maar het controleren gebeurd steeds vaker. Op de "checklist e-mailstandaarden" staat ook een Tsjechische link die gespoofde mailtjes kan versturen. Ik heb deze even getest om een een spoofed mailtje uit ons domein naar mijn Ziggo mail adres te sturen.

Ziggo blokkeert deze netjes. Via de test site krijg ik de volgende reactie:

This is the mail system at host emkei.cz.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.…

Tevens de reactie van de ziggo mailserver, die de test-site bijvoegt:

<xxxx@ziggo.nl>: host mx.tb.mail.iss.as9143.net[212.54.42.8] said: 554
5.2.0 MXIN603 DMARC validation failed.
;id=9U4un1WXWqLAP9U4vnIvN3;sid=9U4un1WXWqLAP;mta=mx3.tb;dt=2022-01-17T16:37:59+01:00;ipsrc=101.99.94.116;
(in reply to end of DATA command)
Reporting-MTA: dns; emkei.cz

De ontvanger krijgt deze mail dus nooit te zien. Dus ook niet via de spam map.
18-01-2022, 07:57 door Anoniem
Als je een tool nodig hebt om een standaard te checken, dan weet je dat de standaard fout is.
18-01-2022, 09:28 door marcod
Dit is een hele mooie tool om de werking van DMARC, DKIM en SPF beter te leren begrijpen. Zeker als je een 'valse' testmail stuurt met bijvoorbeeld de tool op emkei.cz.

Aanrader!
18-01-2022, 09:43 door Anoniem
Mooie tool, doet mij wel denken aan internet.nl. Die controleert hetzelfde (en nog meer), maar is niet zo duidelijk uitgelegd als deze tool.
18-01-2022, 15:09 door freddieleeman - Bijgewerkt: 18-01-2022, 15:45
https://internet.nl test op de aanwezigheid van SPF, DKIM en DMARC DNS-records van een domein, maar controleert naast de syntax niet daadwerkelijk of e-mails worden gesigneerd en of de standaarden juist zijn geïmplementeerd. Dit kun je enkel testen wanneer je een e-mail ontvangt, daar ligt onder andere de kracht van https://learnDMARC.com.

Sommige reacties bevestigen dat er nog veel onduidelijkheid is en mensen niet begrijpen hoe de standaarden werken en waarom ze belangrijk zijn. De tool is vooral bedoeld om mensen bewust te maken van de technieken en het mogelijk ontbreken of onjuist ingesteld zijn daarvan.

DMARC adoptie is groeiende (73.9% van Top 1k, 34.9% Top 100k), ook onder providers en grote diensten die verantwoordelijk zijn voor het merendeel van al ons e-mailverkeer. Als je een eigen domein hebt kun je, door SPF, DKIM en DMARC juist te (laten) implementeren bijdragen aan een veiliger internet. Je voorkomt dat onbevoegden kunnen mailen (spam/phishing) namens jouw domein en zo reputatieschade kunnen veroorzaken.
18-01-2022, 15:15 door freddieleeman - Bijgewerkt: 18-01-2022, 15:25
Door Anoniem:
Door Anoniem: Het configureren gebruiken van die methoden heeft alleen zin als deze ook gecontroleerd worden op het mailsysteem
van de ontvanger, en de juiste en goed zichtbare waarschuwingen geven als er iets niet klopt.

Ik denk dat er op dat gebied nog wel meer te testen is dan op het gebruik door de verzenders.
(wat toch al een wassen neus is omdat deze protocollen gekoppeld zijn aan de domeinnaam en niet aan de organisatie)
Exact dit.

Zonder toepassen en begrijpen van werkelijke aggregated reports of forensics op echte berichten heb je hier echt niks aan qua kennis. De tool heeft dan ook geen actieve waarde in productie gezien het nergens de belangrijke data toelicht.

Het kan ondersteuning bieden in mischien eerste half uur training van een ITer voor visualisatie maar dan ben ik nog zeer ruimhartig met de nuttige tijd want dit kun je ook in 3 slides toelichten.
Zoals zo veel goede intenties leuk bedacht en in elkaar gezet maar productiematig zinloos.

Aggregate en failure (niet forensics) rapporten hebben als functie om de standaarden te monitoren en dat heeft niets met het doel van deze tool te maken. De site probeert geen volwaardige opleiding te zijn op het vlak van emailbeveiliging maar meer een test-tool om te zien of alles juist is geconfigureerd gecombineerd met een stukje visualisatie van de processen die op de achtergrond worden uitgevoerd.
18-01-2022, 18:02 door freddieleeman
Door marcod: Dit is een hele mooie tool om de werking van DMARC, DKIM en SPF beter te leren begrijpen. Zeker als je een 'valse' testmail stuurt met bijvoorbeeld de tool op emkei.cz.

Aanrader!

Bedankt voor je reactie. Er waren meer mensen die het interessant vonden om te zien hoe het eruit ziet als iemand een e-mailadres probeert te spoofen. We hebben daarom een optie toegevoegd om dat direct vanuit https://learnDMARC.com te kunnen doen. Bedankt voor de leuke feedback!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.