SPF, DKIM en DMARC Preventiemethoden voor het misbruik van e-mail

2 / 28

• Wie heeft welke kennis in de zaal?

– Eigen domeinen

– Beheren van DNS

3 / 28

• DNS

– Domain Name System

– Vertaalt DNS een URL of webadres

– www.jcid.nl => 31.3.96.174

4 / 28

• DNS Types

– MX-record

– CNAME-record

– A-record

– NS-record

– TXT-record

5 / 28

• MX-record

– Mail Exchange-records

– Verschillende prioriteit

• laagste nummer heeft de hoogste prioriteit

– Failover

6 / 28

• CNAME-record

– Canonical Name-records

– Aliasnaam aan andere canonieke domeinnaam

– webmail.jcid.nl (Google Apps-services)

7 / 28

• A-record

– A-records of adresrecords

– Koppelen een domein aan een IP-adres

8 / 28

• NS-record

– NS-records (Name Server-records)

– bepalen welke servers DNS-informatie

– primaire en secundaire

• ns01.jcid.nl

• ns02.jcid.nl

9 / 28

• TXT-record

– Computer leesbare tekst definiëren

– Preventiemethoden voor het misbruik van e-mail

• zoals SPF, DKIM en DMARC

10 / 28

11 / 28

• SPF-records

– Sender Policy Framework

– E-mailservers met toestemming

• Te verzenden namens jouw domein

– Voorkomen van spam / phishing berichten

12 / 28

• SPF-record

– Opvragen records jcid.nl

– Niet aanwezig?

• mogelijke weigering

– Voorbeeld

• v=spf1 a mx include:spf.jcid.nl ~all

13 / 28

• SPF-record

– Show me the money!

14 / 28

• DKIM-record

– DomainKeys Identified Mail

– digitale “handtekening”

– www.dkim.org

– Samenwerkingsverband Yahoo! & Cisco

• 2004

15 / 28

• DKIM-record

– Ontvanger controleert domeinhandtekening

– 1024-bits openbare sleutel domeinsleutel

16 / 28

• DKIM-record

17 / 28

• Inzicht

18 / 28

• DMARC-record

– Domain-based Message Authentication, Reporting & Conformance

– Beleid ongeauthenticeerde e-mail

– Voorbeeld

• v=DMARC1; p=quarantine; rua=mailto:wigtrjng@ag.dmarcian.com; adkim=r; aspf=s; sp=none

19 / 28

• DMARC-record

– Afstemming-modus

• Strict | Relaxed

– beleid

• Quarantine | Reject | Monitor

– reporting URIs

• Failure & Aggregate

20 / 28

• DMARC

Tag name Doel Voorbeeld

v Protocol versie v=DMARC1

pct % berichten filteren op P pct=25

ruf Reporting URI van uitgebreiderapporten ruf=dmarc@jcid.nl

rua Reporting URI van algemene rapporten rua=dmarc@jcid.nl

p Beleid voor domein p=quarantaine

sp Beleid voor subdomeinen sp=reject

adkim Afstemming-modus voor DKIM adkim=strict

aspf Afstemming-modus voor SPF aspf=relaxed

21 / 28

• DMARC

22 / 28

• DMARC

23 / 28

• DMARC report

– Dagelijkse rapport e-mailprovider

– Geaggregeerde statistieken van IP-adressen

• Verificatie resultaten

• Afstemming-modus

• Beleidsmaatregelen

24 / 28

• DMARC-report

25 / 28

• Visualiseren XML report

– dmarcian.com

26 / 28

• Visueel en dan?

– Ga monitoren

– Leer van de data

– Voer het beleid langzaam op

• Monitoring

• Quarantaine

• Reject

27 / 28

• Praktijkvoorbeelden

– jcid.nl

– rabobank.nl

– ing.nl

– abnamro.nl

28 / 28

• Feedback / vragen / contact – Feedback Joind.in

• http://goo.gl/68WfX

– Twitter • jcid

– Facebook • jcidnl

– E-mail • jeffrey@jcid.nl

– Telefoon • 0103400189