Inleiding E-mail headers SPF DKIM DMARC Hulpmiddelen
INLEIDING 70% tot 80% van alle verzonden email is spam E-mail (SMTP) heeft geen enkele ingebouwde beveiliging of validatie van afzender E-mail wordt steeds strenger gecontroleerd door ontvangers waardoor berichten tussen spam eindigen
E-mail headers RCPT TO MAIL FROM -------------------------- From To, Cc, Bcc Return Path Reply To
SPF Sender Policy Framework Hoe werkt het Controleert of ip adres van verzendende server in een lijst met toegestane servers voorkomt Plaatst MAIL FROM adres in mail body als return path
SPF Sender Policy Framework Voor en nadelen Ook nuttig om te voorkomen dat spammers jouw domain als fake afzender gebruiken Werkt op server connectie niveau Kijkt alleen naar envelope MAIL FROM adres Mail forwarden resulteert in een SPF FAIL Third party senders moeten worden geconfigureerd Goede configuratie verhoogd kans op aankomst email
SPF Sender Policy Framework Hoe stel je dit in DNS TXT record: @ met als inhoud o "v=spf1 o Ip4: of ip6:ip adres (+netmask) o a of a:domeinnaam o mx of mx:domeinnaam o include:domeinnaam (pass only) o - of all"
DKIM DomainKeys Identified Mail a-symetrische encryptie Hoe werkt het Berichten worden ondertekent door verzender Er wordt een hash berekend over de headers en het bericht en deze wordt versleuteld Ontvanger decrypt de hash met public key uit DNS en controleert dan of de hash klopt.
DKIM DomainKeys Identified Mail Voor en nadelen Garantie dat het bericht afkomstig is van het verzendende domein Garantie dat een bericht niet is aangepast From: adres in email client kan nog steeds vals zijn Compatible met forwarding als er niets wordt gewijzigd Incompatible met veel mailinglists omdat deze bijvoorbeeld footers toevoegen Third party senders moeten worden geconfigureerd Goede configuratie verhoogd kans op aankomst email Foutieve configuratie leidt sneller tot blokkade
DKIM DomainKeys Identified Mail Hoe stel je dit in DNS TXT record: selector._domainkey met als inhoud: o v=dkim1 o k=rsa o p=sajkh&e(ˆ*oi&@#gsrygfsha^erw (Public Key) Verzendende server: Private Key en Selector configureren Ontvangende server: bepalen wat er gedaan moeten worden met ontbrekende of foutieve DKIM signatures
DMARC Domain-based Message Authentication, Reporting, and Conformance Hoe werkt het Borduurt voort op SPF & DKIM Laat ontvanger weten welke maatregelen de verzender standaard neemt door het publiceren van policies Kan gebruikt worden voor rapportage Dmarc alignment check controleert of het from: adres matched met o.a. het MAIL FROM: adres Als zowel SPF als DKIM kloppen krijgt het bericht een dmarc pass
DMARC Domain-based Message Authentication, Reporting, and Conformance
DMARC Domain-based Message Authentication, Reporting, and Conformance Voor en nadelen Garantie dat het bericht afkomstig is van het verzendende domein Zowel SPF als DKIM moeten goed geconfigureerd zijn Goede configuratie garandeert aankomst e-mail Foutieve configuratie leidt tot gegarandeerde blokkade
DMARC Domain-based Message Authentication, Reporting, and Conformance Hoe stel je dit in DNS TXT record: _dmarc met als inhoud: o "v=dmarc1; o p=none / quarantine / reject; o rua=mailto:dmarcreports@pta-security.nl"
Hulpmiddelen http://dkimvalidator.com/ mailto:check-auth@verifier.port25.com https://dmarc.org/resources/deployment-tools/
Hulpmiddelen dkimvalidator.com DKIM Information: DKIM Signature Message contains this DKIM Signature: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ptasec.onmicrosoft.com; s=selector1-ptasecurity-nl0i; Public Key DNS Lookup Building DNS Query for selector1-ptasecuritynl0i._domainkey.ptasec.onmicrosoft.com Retrieved this publickey from DNS: v=dkim1; k=rsa; Validating Signature result = pass SPF Information: Using this information that I obtained from the headers Helo Address = EUR01-VE1- obe.outbound.protection.outlook.com From Address = peter@pta-security.nl From IP = 104.47.1.61 SPF Record Lookup Looking up TXT SPF record for pta-security.nl Found the following namesevers for pta-security.nl: ns1.transip.net ns2.transip.eu ns0.transip.nl Result: pass (Mechanism 'include:spf.protection.outlook.com' matched) Result code: pass Local Explanation: pta-security.nl: Sender is authorized to use 'peter@ptasecurity.nl' in 'mfrom' identity (mechanism 'include:spf.protection.outlook.com' matched) spf_header = Received-SPF: pass (pta-security.nl: Sender is authorized to use 'peter@pta-security.nl' in 'mfrom' identity (mechanism 'include:spf.protection.outlook.com' matched)) receiver=dkimvalidator.com; identity=mailfrom; envelope-from="peter@pta-security.nl"; helo=eur01-ve1-obe.outbound.protection.outlook.com; client-ip=104.47.1.61
Conclusie SPF, DKIM & DMARC zijn eigenlijk alleen echt effectief als ze allemaal worden gecombineerd Belangrijk zodat jouw domein niet gespoofed kan worden Als je zeker wilt weten dat je mail aan blijft komen configureer dan SPF, DKIM & DMARC Breng eerst goed in kaart welke emailverzenders je gebruikt Stel de policies eerst in op neutral (SPF) & none (DMARC) om het effect te testen en daarna op softfail (SPF) en quarantine (DMARC) voordat je de fail en reject opties gebruikt Configuratie door PTA-security voor DTC leden = 99
Vragen