We bevinden ons midden in een oorlog! En dan bedoel ik niet de oorlogen die zich ten oosten van ons afspelen, maar het dagelijkse gevecht van internetproviders tegen e-mailspam en phishing. Vele jaren geleden begon deze oorlog redelijk onschuldig, met wat ongewenste reclame in onze mailbox of een Nigeriaanse prins die zijn miljoenen bij ons wilde dumpen. Maar inmiddels lopen we elke dag het risico dat onze bankrekening wordt geplunderd door een CEO-fraudemail of het invullen van onze wachtwoorden op een namaakpagina van een bank.
In de loop der jaren zijn de technieken om e-mailspam tegen te gaan verbeterd. Begonnen met spamfilters, heuristische detectie en realtime blacklists, kunnen we tegenwoordig onze domeinnamen versterken met SPF-records en DKIM-sleutels, en DMARC gebruiken om inzicht te krijgen in de situatie. Als dit alles goed is ingesteld is de kans dat spam-e-mails namens jouw bedrijf worden verstuurd aanzienlijk kleiner.
Toch is de adoptie van deze technieken (met name SPF en verder) in de afgelopen jaren beperkt gebleven, met name aan de kant van de e-mail ontvangende providers. Als je namelijk alle e-mails wilt weigeren waarvan de SPF-records niet bekend zijn of de DKIM-sleutels niet juist zijn ingesteld, moeten de verzenders deze instellingen correct hebben gemaakt (en bijgehouden) voor hun domeinnamen en niet iedereen begrijpt hoe dit werkt. Dus zitten grote e-mailontvangers zoals Google en Microsoft in een lastig parket; ze willen de duimschroeven aandraaien maar dan bestaat de mogelijkheid dat belangrijke e-mails niet meer aankomen en krijgen ze klachten van hun gebruikers.
Er lijkt echter een verandering gaande te zijn. Grote e-mailproviders controleren al geruime tijd of de SPF- en DKIM-records aanwezig en correct zijn en plaatsen niet-geverifieerde e-mails in de spamfolder of weigeren ze zelfs bij de poort (afhankelijk van de SPF/DMARC-instellingen). Dit leidt echter tot meer legitieme e-mails in de spamfolder. E-mailgebruikers vragen zich af hoe zij kunnen voorkomen dat een bericht in de spamfolder belandt. Maar zij hebben weinig invloed want het is aan de verzender om zijn zaken op orde te hebben.
Met een ontvangende kant die zijn werk doet wordt het steeds belangrijker dat ook de verzendende kant zijn zaken op orde heeft. Dit is echter niet eenvoudig. Het correct instellen van goede DKIM-sleutels vereist samenwerking tussen de e-mailprovider en de DNS-beheerder. Het juist instellen van SPF-records is afhankelijk van welke partijen iemand allemaal gebruikt om e-mails te verzenden (en dat zijn er altijd meer dan je denkt). Een leek die gewoon wil dat zijn e-mails aankomen kan (en wil) hier weinig aan doen.
Hoe gaan we nu verder?
Hoe zorgen we ervoor dat internetproviders de technische kant van het veilig verzenden van e-mail op orde krijgen?
Hier zijn een paar suggesties:
- We kunnen een protocol bedenken waarmee een e-mailprovider wijzigingen mag aanbrengen in de DNS van de klant, zelfs als de domeinnaam niet bij deze provider wordt gehost.
- We kunnen DMARC-records analyseren en op basis van de analyse aanbevelingen doen voor de juiste SPF-instellingen die een provider geautomatiseerd kan implementeren.
Het lijkt erop dat de oorlog tegen spam kan worden gewonnen als providers erin slagen om hun wapens up-to-date te houden en te voorzien van de juiste munitie. Maar juist bij die laatste stap is het cruciaal wie het voortouw neemt.
Ik hoop dat deze revisie nuttig is. Als je verdere vragen of opmerkingen, of een geniaal idee hebt, laat het me gerust weten!
Auteur: Ewout de Graaf
