RIVM en Rijksoverheid waren kwetsbaar voor e-mailspoofing

doorSecuratis

RIVM en Rijksoverheid waren kwetsbaar voor e-mailspoofing

Ik denk dat het verstandig is om SPF, DKIM en DMARC aan te zetten op uitgaande mail, maar je moet er niet al te veel val verwachten.

Een spoofer kan DMARC, voor zover ik weet, nog steeds omzeilen door twee afzenderdomeinen op te geven (zie https://www.security.nl/posting/618851/Bellingcat-journalisten+doelwit+van+phishingaanval+met+zeroday).

Daarnaast moet de ontvangende mailserver wel ingesteld zijn om correct met deze protocollen om te gaan, anders is de ontvanger niet beschermd. De meeste mensen hebben geen idee of hun ontvangende mailserver deze checks (goed) uitvoert.

Last but not least tonen veel mail clients het afzenderdomein niet, en als ze dat al doen, kijken mensen er vaak niet naar. Een e-mail van naam@rvim.nl of naam@Rijks0verheid.nl zal door veel gebruikers niet aan de hand van het afzenderdomein als fake worden gezien; geen van de protocollen SPF, DKIM en DMARC beschermt je tegen valse afzenderdomeinen.

Overigens zie ik geen SPF records voor rivm.nl. DMARC vereist dat ofwel SPF ofwel DKIM (of beide) kloppen. Zonder SPF moet DKIM dus kloppen voor “Identifier Alignment”. Of rivm.nl DKIM records publiceert weet ik niet, want ik weet niet welke domain selector(s) zij gebruiken.

https://www.security.nl/posting/650630/RIVM+en+Rijksoverheid+waren+kwetsbaar+voor+e-mailspoofing?channel=rss

Over de auteur

Securatis administrator