Het ontvangen van verdachte e-mails is tegenwoordig helaas heel gewoon. Misschien lijkt het alsof je een bericht krijgt van je bank, een webshop of zelfs je werkgever, maar niet alles is wat het lijkt. Cybercriminelen proberen via phishing, spoofing en andere trucs mensen te misleiden.
E-mails worden dagelijks door miljarden mensen verstuurd, maar niet alles dat in je inbox belandt is welkom. Zelf alert zijn op verdachte e-mails vormt een belangrijke eerste stap om gegevens en apparaten te beschermen. Maar ook achter de schermen gebeurt veel om je inbox schoon te houden door middel van e-mailfilters. Deze filters hebben als taak ongewenste, gevaarlijke of schadelijke e-mails te blokkeren voordat ze jou bereiken. Hiervoor zetten ze diverse technieken in. We vertellen je er graag meer over.
SPF voor afzendercontrole
Sender Policy Framework (SPF) is een beveiligingsmechanisme dat controleert of de server die een e-mail verstuurt gemachtigd is namens dat domein e-mails te verzenden. Spamfilters gebruiken deze controle om te bepalen of een e-mail veilig of mogelijk vervalst is. Stel je voor dat je een e-mail ontvangt vanuit het domein ‘bank.com’ van iemand die beweert voor jouw bank te werken. Wanneer de e-mail binnenkomt controleert het e-mailfilter in het SPF-beleid (record) van ‘bank.com’ of de server die de e-mail verstuurde toestemming heeft namens dit domein e-mails te verzenden. Als het IP-adres van de verzender overeenkomt met wat in het SPF-record staat wordt de e-mail als betrouwbaar beschouwd. Komt het niet overeen, dan wordt de mail gemarkeerd als verdacht en mogelijk als spam behandeld of geblokkeerd. Dit helpt phishingpogingen voorkomen waarbij aanvallers proberen zich voor te doen als legitieme bedrijven.
Digitale handtekening met DKIM
DomainKeys Identified Mail (DKIM) voegt een soort digitale handtekening toe aan e-mails. Je kunt dit zien als een stempel die aantoont dat de inhoud van de e-mail niet is aangepast sinds het is verzonden. Ontvangers kunnen deze handtekening verifiëren aan de hand van een openbare sleutel. Als de e-mail gemanipuleerd is komt de handtekening niet overeen en wordt het e-mailfilter gewaarschuwd. Voorbeeld: je ontvangt een e-mail met een speciale aanbieding van grote online winkel ‘store.com’. Deze e-mail bevat een DKIM-handtekening die tijdens het verzenden is toegevoegd. Je spamfilter controleert de handtekening door deze te vergelijken met de openbare sleutel van ‘store.com’. Als de handtekening klopt betekent dit dat de inhoud van de e-mail niet is aangepast en dat deze waarschijnlijk echt afkomstig is van ‘store.com’. Maar klopt de handtekening niet, dan is de e-mail onderweg misschien gemanipuleerd en wordt deze gemarkeerd als ‘mogelijk onveilig’.
DMARC brengt alles samen
In 2012 ontwikkelden grote techbedrijven als Google, Microsoft, Yahoo en PayPal samen Domain-based Message Authentication, Reporting & Conformance (DMARC) als standaard voor de bescherming van e-maildomeinen tegen misbruik. Dit protocol bouwt voort op de werking van SPF en DKIM en laat domeineigenaren zelf bepalen hoe inkomende e-mails die niet door verificatie komen behandeld worden door de ontvanger: als spam markeren, in quarantaine plaatsen of volledig weigeren. Dit maakt DMARC een krachtig middel om e-mailmisbruik te bestrijden. Het biedt uitgebreide rapportagemogelijkheden waarmee bedrijven inzicht krijgen in wie e-mails namens hun domein verstuurt en hoe effectief SPF en DKIM worden toegepast. Een DMARC Analyzer helpt bij het beheren en optimaliseren van de DMARC-instellingen door DMARC-rapporten te analyseren, inzichten te bieden, ongeautoriseerde verzenders en misbruikpogingen te identificeren en het DMARC-beleid te verbeteren.
Hoe werkt DMARC in de praktijk?
Een bedrijf heeft zowel SPF als DKIM geïmplementeerd en besluit DMARC in te zetten om te bepalen hoe om te gaan met mislukte verificatiepogingen. Ze stellen hun DMARC-beleid in op ‘quarantaine’, waardoor verdachte berichten in een aparte map terechtkomen. Dit quarantainebeleid voorkomt op twee manieren ongemak:
Scenario 1: een aanvaller probeert zich voor te doen als het bedrijf met een vervalste e-mail die niet aan de SPF- en DKIM-criteria voldoet. Dankzij het DMARC-beleid wordt de e-mail onderschept en in quarantaine geplaatst in plaats van in de inbox van de ontvanger te belanden.
Scenario 2: een legitieme partner verzendt een bulkbericht, maar voldoet door een fout niet aan het SPF-record. Gelukkig heeft hij het DKIM-protocol wel op orde. Het DMARC-beleid zorgt ervoor dat de e-mail alsnog afgeleverd wordt en rapporteert aan de beheerder dat er probleem is met het SPF-record, zodat de fout kan worden onderzocht.
Inhoudsanalyse en machine learning
Moderne e-mailfilters gaan verder dan alleen technische controles. Ze analyseren ook de inhoud van e-mails. Is de tekst verdacht? Komt de mail van een nieuwe, nog onbekende afzender? Zijn er verdachte links? Wijzen linkjes of QR-codes in de e-mail of bijlagen naar kwaadaardige content? Hiervoor wordt vaak gebruik gemaakt van machine learning, waarbij het filter leert van eerdere aanvallen en steeds beter wordt in het herkennen van bedreigingen. Stel je voor dat je een e-mail ontvangt met een onderwerpregel zoals ‘Geweldig aanbod! Klik hier om je prijs te claimen!’. Moderne spamfilters analyseren het onderwerp en de inhoud van de e-mail met behulp van machine learning en matchen deze met bekende patronen van spam- of phishingaanvallen. Het filter herkent verdachte woorden, zinnen en mogelijk schadelijke links en markeert het bericht als phishing of spam. Dit gebeurt doordat het filter het typische gedrag van oplichters heeft geleerd van eerdere soortgelijke aanvallen.
Blacklists en reputatiesystemen
E-mailfilters maken ook gebruik van blacklists, zwarte lijsten van bekende spammers of kwaadwillende IP-adressen. Als een inkomend bericht afkomstig is van een verdachte bron kan het automatisch worden gemarkeerd of geblokkeerd. Daarnaast worden reputatiesystemen gebruikt waarbij het gedrag van een afzender wordt geanalyseerd. Een server die door veel gebruikers wordt gerapporteerd vanwege het verzenden van ongewenste e-mails kan op een zwarte lijst terechtkomen. Wanneer je een e-mail ontvangt van een afzender met een IP-adres dat op deze lijst staat zal het e-mailfilter de e-mail automatisch blokkeren of als spam markeren. Reputatiesystemen gaan nog verder: als een bepaalde afzender consistent klachten veroorzaakt door spam te versturen wordt hun reputatie negatief beïnvloed, wat ervoor zorgt dat toekomstige berichten strenger worden gecontroleerd of afgewezen. Dit alles helpt bij het nemen van beslissingen over het toelaten of blokkeren van e-mails.
Wat als je toch een verdachte e-mail ontvangt?
Het is bijna onmogelijk volledig te voorkomen dat je een verdachte e-mail ontvangt, zelfs met goede beveiligingsmaatregelen. Als je een verdacht bericht ontvangt is het belangrijk om voorzichtig te handelen. Klik nooit op links, open geen bijlagen en reageer niet op de afzender. Phishingmails zijn bedoeld om persoonlijke gegevens te stelen of malware te verspreiden. Meld dergelijke berichten onmiddellijk bij je IT-afdeling volgens de interne procedures, zodat zij het kunnen onderzoeken en eventuele preventieve maatregelen nemen. Spam is vaak minder gevaarlijk, maar kan ook een risico vormen. Markeer spam als ongewenst via je e-mailprogramma en verwijder het, maar blijf alert op berichten die legitiem lijken maar verdacht aanvoelen. Door waakzaam te blijven en de bedrijfsprocedures te volgen help je mee cyberdreigingen te beperken.
Samen zorgen wij voor de veilige mailcommunicatie!
Hoewel geen enkel systeem honderd procent perfect is maken goede e-mailfilters gebruik van een krachtige mix van controles om zo goed mogelijk bescherming te bieden en een sterke verdediging te vormen tegen online dreigingen. Door alertheid van medewerkers te combineren met de juiste technieken zorgen e-mailfilters dat jouw inbox veiliger is en je minder kans hebt slachtoffer te worden van phishing, oplichting of andere vormen van cybercriminaliteit.