CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Verdachte e-mail, schijnbaar afkomstig van je eigen sub-domein. Wat doe je ertegen?

11 maart, 2019

Onlangs werd IP4Sure gevraagd een onderzoek in te stellen naar een verdachte e-mail.

Deze email leek afkomstig te zijn van de CEO en had een document als bijlage. De e-mail werd verzonden vanaf een domein dat van deze klant zou kunnen zijn. Het ging hier om een zogenaamd sub-domein. In dit geval werd de e-mail verzonden vanaf @mail.klant.nl (het domein van de klant wordt in dit artikel beschreven als ‘@klant.nl’). Deze klant maakt echter helemaal geen gebruik van sub-domeinen en hier zijn ook geen SPF-records voor aanwezig. Door het gebruik van een sub-domein van de klant, lijkt de e-mail voor de ontvanger afkomstig van de CEO: het adres bevat immers ‘klant.nl’ en de gebruiker heeft geleerd dat hij hierop moet letten.

SPF houdt geen verdachte e-mail van sub-domeinen tegen.

Het spamfilter hield de mail niet tegen, omdat het sub-domein werd aangemerkt als een valide domein. Bovendien was er geen malafide code aanwezig in de e-mail. De mail werd dan ook netjes afgeleverd bij de aangeschreven personen.

Veel bedrijven hebben SPF geconfigureerd om SPAM tegen te gaan. Maar het is met SPF niet mogelijk om sub-domeinen tegen te houden, behalve als je DNS-provider een wildcard DNS-record voor je domein kan maken, wat zeldzaam is. Bovendien is er tegenwoordig een uitbreiding op SPF om domeinvalidatie uit te voeren in de vorm van DKIM.

Je kunt dit relatief makkelijk oplossen door een van de volgende stappen uit te voeren:

  1. Implementeer SPF + DKIM en activeer vervolgens DMARC
    DMARC controleert wanneer e-mail binnenkomt van een sub-domein, op het niveau dat je DMARC hebt geïmplementeerd. Wanneer je het op het hoofddomein hebt geïmplementeerd en er geen DMARC-record is voor het sub-domein, wordt er altijd teruggevallen naar het hoofddomein. Aangezien je op het hoofddomein niet de e-mailserver van de aanvaller hebt staan, kan de e-mail direct worden tegengehouden.
    Lees valimail.com/blog/how-dmarc-handles-domains-and-subdomains-in-email-addresses-part-1/ voor een duidelijke uitleg over de werking van DMARC met sub-domeinen.

Om DMARC te kunnen implementeren is er zowel een SPF- als een DKIM-record nodig. Hoewel de meeste e-mailproviders DKIM al ondersteunen, kan het zijn dat DKIM niet mogelijk is voor jouw organisatie. Vaak is de reden hiervoor dat een gebruikte third-party dienst, die e-mail namens jouw domein verzendt, DKIM (nog) niet ondersteunt.

In dat geval kun je kiezen voor de volgende oplossing:

Configureer Mail Transport Rules
Of je nu Office365 of Exchange gebruikt, beide producten ondersteunen ‘transport rules’ om te voorkomen dat e-mail van sub-domeinen wordt afgeleverd bij gebruikers. Een voorbeeld voor Office365 vind je in de afbeelding.

 

Verdachte email - IP4Sure

 

  1. Er is in dit voorbeeld gekozen om te filteren of het adres van de verzender een onderdeel van het domein bevat. Deze regel is specifiek geconfigureerd om te kijken naar .klantnaam.nl (let op dat het domein begint met punt zodat je eigen domein niet geblokkeerd wordt).

    In dit voorbeeld wordt de e-mail direct verwijderd, maar je kunt er ook voor kiezen om deze email door te sturen naar een bepaalde mailbox. Dit filter is gemaakt in Office365 maar is eveneens te configureren voor Exchange.

Hopelijk helpen deze eenvoudige tips je om jouw organisatie weer wat beter te beschermen tegen malafide/ phishing e-mails.

Voor meer informatie omtrent een phishing awareness campagne voor uw medewerkers, neemt u contact op met ons:

Bel naar +31 40-2444666

Mail naar info@ip4sure.nl

Of ga naar onze contactpagina

 

 

 

Wij werken met veel plezier o.a. voor