CYBER SECURITY.
CYBER SECURITY.
Pentests
Preventie
Inzicht
Cyberlab

Verdachte e-mail vanuit eigen sub-domein? Dit doet u ertegen

Onlangs werd IP4Sure gevraagd een onderzoek in te stellen naar een verdachte e-mail. Deze email leek afkomstig te zijn van de CEO en had een document als bijlage.
11 maart, 2019

De e-mail werd verzonden vanaf een domein dat van deze klant zou kunnen zijn. Het ging hier om een zogenaamd sub-domein. In dit geval werd de e-mail verzonden vanaf @mail.klant.nl (het domein van de klant wordt in dit artikel beschreven als ‘@klant.nl’). Op het eerste oog een betrouwbaar adres dus.
 

Schijn bedriegt bij mailadressen

Deze klant maakt echter helemaal geen gebruik van sub-domeinen en hier zijn ook geen SPF-records voor aanwezig. Door het gebruik van een sub-domein van de klant, lijkt de e-mail voor de ontvanger afkomstig van de CEO: het adres bevat immers ‘klant.nl’ en de gebruiker heeft geleerd dat hij hierop moet letten. Maar omdat de klant geen sub-domeinen heeft, is er in dit geval iets verdachts aan de hand: een kwaadwillende heeft het subdomein gecreëerd.
 

SPF houdt geen verdachte e-mail van sub-domeinen tegen.

De spamfilter hield de mail niet tegen, omdat het sub-domein werd aangemerkt als een valide domein. Bovendien was er geen malafide code aanwezig in de e-mail. De mail werd dan ook netjes afgeleverd bij de aangeschreven personen.

Veel bedrijven hebben SPF geconfigureerd om spam tegen te gaan. Maar het is met SPF niet mogelijk om sub-domeinen tegen te houden, behalve als de DNS-provider een wildcard DNS-record voor uw domein kan maken, wat zeldzaam is. Bovendien is er tegenwoordig een uitbreiding op SPF om domeinvalidatie uit te voeren in de vorm van DKIM. Dit alles is relatief eenvoudig oplossen door een van de volgende stappen uit te voeren:
 

1. Implementeer SPF + DKIM en activeer vervolgens DMARC

DMARC controleert wanneer e-mail binnenkomt van een sub-domein, op het niveau dat u de DMARC hebt geïmplementeerd. Wanneer u het op het hoofddomein hebt geïmplementeerd en er geen DMARC-record is voor het sub-domein, wordt er altijd teruggevallen naar het hoofddomein. Aangezien u op het hoofddomein niet de e-mailserver van de aanvaller hebt staan, kan de e-mail direct worden tegengehouden. Klik hier voor een duidelijke uitleg over de werking van DMARC met sub-domeinen.

Om DMARC te kunnen implementeren is er zowel een SPF- als een DKIM-record nodig. Hoewel de meeste e-mailproviders DKIM al ondersteunen, kan het zijn dat DKIM niet mogelijk is voor jouw organisatie. Vaak is de reden hiervoor dat een gebruikte third-party dienst, die e-mail namens jouw domein verzendt, DKIM (nog) niet ondersteunt. In dat geval kunt u kiezen voor de volgende oplossing:
 

2. Configureer Mail Transport Rules

Of u nu Office365 of Exchange gebruikt, beide producten ondersteunen ‘transport rules’ om te voorkomen dat e-mail van sub-domeinen wordt afgeleverd bij gebruikers. Een voorbeeld voor Office365 vindt u in de afbeelding.

Verdachte email - IP4Sure

Er is in dit voorbeeld gekozen om te filteren of het adres van de verzender een onderdeel van het domein bevat. Deze regel is specifiek geconfigureerd om te kijken naar .klantnaam.nl (let op dat het domein begint met punt zodat uw eigen domein niet geblokkeerd wordt). In dit voorbeeld wordt de e-mail direct verwijderd, maar u kunt er ook voor kiezen om deze email door te sturen naar een bepaalde mailbox. Dit filter is gemaakt in Office365 maar is eveneens te configureren voor Exchange.
 

Goed opletten bij sub-domains

Hopelijk helpen deze eenvoudige tips u om jouw organisatie weer wat beter te beschermen tegen malafide/ phishing e-mails. Voor meer informatie omtrent een phishing awareness campagne voor uw medewerkers, neemt u contact op met ons.

 

Meer kennis over cyber security?

Neem vrijblijvend contact met ons op als u vragen hebt.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor