Preventiemethoden voor het misbruik van e-mail

1. SPF, DKIM en DMARC
Preventiemethoden voor het misbruik van e-mail

2. 2 / 28
• Wie heeft welke kennis in de zaal?
– Eigen domeinen
– Beheren van DNS

3. 3 / 28
• DNS
– Domain Name System
– Vertaalt DNS een URL of webadres
– www.jcid.nl => 31.3.96.174

4. 4 / 28
• DNS Types
– MX-record
– CNAME-record
– A-record
– NS-record
– TXT-record

5. 5 / 28
• MX-record
– Mail Exchange-records
– Verschillende prioriteit
• laagste nummer heeft de hoogste prioriteit
– Failover

6. 6 / 28
• CNAME-record
– Canonical Name-records
– Aliasnaam aan andere canonieke domeinnaam
– webmail.jcid.nl (Google Apps-services)

7. 7 / 28
• A-record
– A-records of adresrecords
– Koppelen een domein aan een IP-adres

8. 8 / 28
• NS-record
– NS-records (Name Server-records)
– bepalen welke servers DNS-informatie
– primaire en secundaire
• ns01.jcid.nl
• ns02.jcid.nl

9. 9 / 28
• TXT-record
– Computer leesbare tekst definiëren
– Preventiemethoden voor het misbruik van e-mail
• zoals SPF, DKIM en DMARC

10. 10 / 28

11. 11 / 28
• SPF-records
– Sender Policy Framework
– E-mailservers met toestemming
• Te verzenden namens jouw domein
– Voorkomen van spam / phishing berichten

12. 12 / 28
• SPF-record
– Opvragen records jcid.nl
– Niet aanwezig?
• mogelijke weigering
– Voorbeeld
• v=spf1 a mx include:spf.jcid.nl ~all

13. 13 / 28
• SPF-record
– Show me the money!

14. 14 / 28
• DKIM-record
– DomainKeys Identified Mail
– digitale “handtekening”
– www.dkim.org
– Samenwerkingsverband Yahoo! & Cisco
• 2004

15. 15 / 28
• DKIM-record
– Ontvanger controleert domeinhandtekening
– 1024-bits openbare sleutel domeinsleutel

16. 16 / 28
• DKIM-record

17. 17 / 28
• Inzicht

18. 18 / 28
• DMARC-record
– Domain-based Message Authentication, Reporting
& Conformance
– Beleid ongeauthenticeerde e-mail
– Voorbeeld
• v=DMARC1; p=quarantine;
rua=mailto:wigtrjng@ag.dmarcian.com;
adkim=r; aspf=s; sp=none

19. 19 / 28
• DMARC-record
– Afstemming-modus
• Strict | Relaxed
– beleid
• Quarantine | Reject | Monitor
– reporting URIs
• Failure & Aggregate

20. 20 / 28
• DMARC
Tag name Doel Voorbeeld
v Protocol versie v=DMARC1
pct % berichten filteren op P pct=25
ruf Reporting URI van uitgebreiderapporten ruf=dmarc@jcid.nl
rua Reporting URI van algemene rapporten rua=dmarc@jcid.nl
p Beleid voor domein p=quarantaine
sp Beleid voor subdomeinen sp=reject
adkim Afstemming-modus voor DKIM adkim=strict
aspf Afstemming-modus voor SPF aspf=relaxed

21. 21 / 28
• DMARC

22. 22 / 28
• DMARC

23. 23 / 28
• DMARC report
– Dagelijkse rapport e-mailprovider
– Geaggregeerde statistieken van IP-adressen
• Verificatie resultaten
• Afstemming-modus
• Beleidsmaatregelen

24. 24 / 28
• DMARC-report

25. 25 / 28
• Visualiseren XML report
– dmarcian.com

26. 26 / 28
• Visueel en dan?
– Ga monitoren
– Leer van de data
– Voer het beleid langzaam op
• Monitoring
• Quarantaine
• Reject

27. 27 / 28
• Praktijkvoorbeelden
– jcid.nl
– rabobank.nl
– ing.nl
– abnamro.nl

28. 28 / 28
• Feedback / vragen / contact
– Feedback Joind.in
• http://goo.gl/68WfX
– Twitter
• jcid
– Facebook
• jcidnl
– E-mail
• jeffrey@jcid.nl
– Telefoon
• 0103400189