E-mail is wereldwijd veruit het belangrijkste communicatiemiddel voor bedrijven. De meeste bedrijven hebben een groot probleem als de mail er een dag uit ligt. Vertrouwelijke informatie wordt gemakkelijk gemaild en een ontvangen mail van een vertrouwd contactpersoon wordt zonder twijfel in behandeling genomen. Aangezien e-mail zo ontzettend belangrijk is en de belangen zo groot, zal dit allemaal inmiddels toch wel superveilig zijn, toch?
Niet dus
Die voelde je natuurlijk al aankomen. E-mail is ‘out-of-the-box’ namelijk helemaal niet zo veilig. Sinds de uitvinding in 1971 is er nauwelijks iets aan veranderd. Je moet je voorstellen dat in die tijd iedereen op internet elkaar kende, letterlijk. Het hele internet bestond maar uit 50 computers. De noodzaak om e-mail te beveiligen was er helemaal niet.
Hoe onveilig is het dan?
In de basis kan iedereen mail versturen vanaf elk denkbaar e-mailadres en er is geen mogelijkheid om te controleren of de afzender valide is. Ook zonder wachtwoord, ook als je geen eigenaar van het domein bent en zelfs als het adres helemaal niet bestaat.
Ook jij kunt dus gewoon directie@pathe.nl instellen in je mailprogramma en een mail namens de directie van bioscoopketen Pathé versturen. Als jij dat mailtje ontvangt dan kun je onmogelijk nagaan of die mail daadwerkelijk door de directeur van Pathé is gestuurd.
CEO Fraude
En dit is dus wat bijvoorbeeld CEO fraude (ook wel spear-phishing) mogelijk maakt. De fraudeur verstuurd een mail vanaf directie@pathe.nl naar administratie@pathe.nl met het verzoek om 19 miljoen over te maken op bankrekening X in verband met een overname die super geheim moet blijven. De CFO voert dat uit (de mail komt tenslotte van de directie) en de fraudeur heeft een hele goeie dag. En als je nu denkt dat dit overdreven is? Dit is dus daadwerkelijk gebeurd bij Pathé.
Kan dat veiliger?
E-mail is niet echt veranderd. Maar er zijn wel een aantal aanvullende e-mail standaarden die het een stuk veiliger maken. Het gekke is alleen; veel bedrijven passen deze niet toe. Niet omdat ze dat niet willen, maar omdat ze niet van het bestaan afweten.
Maar dat gaat de komende tijd wel veranderen. Overheden zijn sinds 2019 al verplicht deze aanvullende standaarden toe te passen. Andere bedrijven zullen daardoor snel volgen.
OK. Wat moeten we doen
Er zijn twee standaarden die je moet inzetten om ervoor te zorgen dat de geadresseerde je mail kan valideren: SPF en DKIM. Vervolgens kun je met de derde, DMARC, voorkomen dat anderen mail accepteren die niet valide is volgens de eerste twee.
Als Pathé deze standaarden zou hebben toegepast, had de mail op SPF en DKIM gefaald, waardoor de DMARC policy ervoor zou zorgen dat de mailserver deze niet in behandeling neemt. De mail was dus niet in de spam gekomen, of gemarkeerd als gevaarlijk, maar zou nooit zijn aangekomen.
Hoe werken SPF en DKIM?
Stel; peter@jansen.nl stuurt een mail naar klaas@deboer.nl. De ontvangende mailserver van @deboer.nl controleert bij het domein jansen.nl of het IP adres van de verzendende server daar wel toestemming voor heeft. Als dat niet het geval is, zal de ontvangende server de mail markeren als SPAM of onveilig. Dit is SPF.
En dan die andere.
Elke keer als Peter een e-mail verstuurd verstopt de verzendende mailserver op @jansen.nl er een klein stukje code in. Deze code wordt bij elke mail die hij verstuurd opnieuw gegenereerd aan de hand van een geheime sleutel. De ontvangende server op @deboer.nl ziet dit stukje code en controleert op het domein jansen.nl of deze op de publieke sleutel past. Als dat niet past zal de mail in de SPAM komen of als onveilig worden gemarkeerd. Dit is DKIM.
DMARC compliance
Als je dit goed geregeld hebt noemen we dat DMARC compliant. Je zal ook merken dat je verstuurde mail bijna nooit meer in de spam bij anderen terecht komt. Ook mooi meegenomen. Wij kunnen dit traject voor je opzetten en uitvoeren. Neem ook gerust contact op voor een persoonlijk gesprek om te zien hoe we dit voor jouw organisatie kunnen aanpakken. Ook als Smeders jouw mail niet host kunnen we dit traject voor je uitvoeren.