Zo verbetert u DMARC

Het DMARC-mechanisme kent zijn nadelen, maar we hebben een technologie ontwikkeld om die op te lossen.

In de geschiedenis van de e-mail zijn er al tal van technologieën bedacht om ontvangers te beschermen tegen frauduleuze e-mails (veelal phishing). DomainKeys Identified Mail (DKIM) en Sender Policy Framework (SPF) kenden behoorlijke nadelen, en dus werd het mailauthenticatie-mechanisme Domain-based Message Authentication Reporting and Conformance (DMARC) ontworpen om berichten met een vals afzenderdomein te identificeren. Maar ook DMARC bleek verre van de perfecte oplossing te zijn. Daarom hebben onze onderzoekers een aanvullende technologie ontwikkeld om de nadelen van deze aanpak te elimineren.

Hoe DMARC werkt

Een bedrijf dat wil voorkomen dat anderen e-mails versturen waarbij gebruik wordt gemaakt van de namen van werknemers, kan DMARC op zijn DNS resource record configureren. In feite stelt dit ontvangers van berichten in staat om zich ervan te verzekeren dat de domeinnaam in de kop “Van:” hetzelfde is als in DKIM en SPF. Daarnaast geeft het record het adres aan waar mailservers rapporten naar versturen die gerelateerd zijn aan ontvangen berichten die niet door de controle zijn gekomen (bijvoorbeeld als er een fout is opgetreden of als er een poging om op frauduleuze wijze een verzender te imiteren is gedetecteerd).

In hetzelfde resource record kunt u ook DMARC-beleid instellen om te specificeren wat er met het bericht gebeurt als het niet door de controle heen komt. Voor dit soort gevallen zijn er drie soorten DMARC-beleidsvormen:

  • Reject is het strengste beleid. Kies dit beleid als u alle e-mails wilt blokkeren die niet voor de DMARC-check slagen.
  • Met het Quarantine-beleid wordt het bericht afhankelijk van de exacte instellingen van de mailprovider ofwel naar de spam-map gestuurd of wordt het afgeleverd maar tevens als verdacht aangemerkt.
  • None is de optie die ervoor zorgt dat het bericht de mailbox van de ontvanger normaal bereikt, al wordt er wel een rapport naar de verzender gestuurd.

Nadelen van DMARC

DMARC is over het algemeen best geschikt. De technologie zorgt ervoor dat phishing veel moeilijker wordt. Maar bij het oplossen van het ene probleem, veroorzaakt dit mechanisme een nieuw probleem: valse positieven. Er kunnen legitieme berichten worden geblokkeerd of als spam worden gemarkeerd in twee soorten gevallen:

  • Doorgestuurde berichten. Sommige mailsystemen breken de SPF- en DKIM-signatures in doorgestuurde berichten, of berichten nu zijn doorgestuurd vanaf verschillende mailboxen of zijn omgeleid tussen intermediaire mail nodes (relays).
  • Onjuiste instellingen. Het kan best gebeuren dat beheerders van mailservers fouten maken bij het configureren van DKIM en SPF.

Als het om bedrijfsmail gaat, is het moeilijk te stellen welk scenario erger is: het doorlaten van phishing-e-mail of het blokkeren van legitieme berichten.

Onze aanpak bij de oplossing van DMARC’s problemen

We vinden de technologie zonder enige twijfel erg handig, dus we besloten om deze nog sterker te maken door machine-learning technologie toe te voegen aan het validatieproces om zo valse positieven te minimaliseren, zonder daarbij de voordelen van DMARC te ondermijnen. Dit is hoe het werkt:

Als gebruikers e-mails opstellen, gebruiken ze een Mail User Agent (MUA) zoals bijvoorbeeld Microsoft Outlook. De MUA is verantwoordelijk voor het genereren van het bericht en het versturen ervan naar de Mail Transfer Agent (MTA) voor verdere routebepaling. De MUA voegt de benodigde technische headers aan het berichtveld, het onderwerp en het adres van de ontvanger toe (die zijn ingevuld door de gebruiker).

Aanvallers gebruiken vaak hun eigen MUA’s om beveiligingssystemen te omzeilen. Als regel zijn dit zelfgemaakte mail-engines die berichten genereren en invullen op basis van een bepaald sjabloon. Ze genereren bijvoorbeeld technische headers voor berichten en hun inhoud. Elke MUA heeft zijn eigen “handschrift”.

Als het ontvangen bericht de DMARC-controle niet doorstaat, dan is het de beurt aan onze technologie. Deze runt op een clouddienst die verbinding maakt met de beveiligingsoplossing op het apparaat. Het begint met een verdere analyse van de reeks headers evenals de inhoud van de X-Mailer en de Message-ID headers met gebruik van een neuraal netwerk, en hierdoor kan de oplossing een legitieme e-mail van phishing onderscheiden. De technologie is getraind op een enorme verzameling aan e-mailberichten (zo’n 140 miljoen e-mails, waarvan 40% spam).

De combinatie van DMARC-technologie en machine learning helpt bij betere bescherming van de gebruiker tegen phishing-aanvallen en tegelijkertijd wordt het aantal valse positieven geminimaliseerd. We hebben deze technologie geïmplementeerd in al onze producten die een antispam-component hebben: Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server, Kaspersky Security for Mail Gateway (parts of Kaspersky Total Security for Business) en Kaspersky Security for Microsoft Office 365.

Tips