Das jetzt abgeschlossene DMARC-Projekt von Mimecast zeigt Beispiele von Angriffen, die mit einer Kombination aus DMARC für den E-Mail-Teil des Angriffs und Mimecasts Brand Exploit Protect für die Erkennung und Beseitigung bösartiger Websites gestoppt wurden.

In meinem ersten Blog über das interne DMARC-Projekt von Mimecast habe ich die Grundlagen dafür gelegt, was DMARC ist und warum wir uns für dieses Projekt entschieden haben. Mimecast wird, wie jedes Unternehmen mit einer Online-Präsenz, von Phishern ins Visier genommen, die versuchen, diese gezielt auszunutzen, um die Bekanntheit und das Vertrauen in unsere Marke auszunutzen und unsere Kunden, Partner und andere anzugreifen. DMARC ist eine hervorragende Möglichkeit, diese Art von E-Mail-basierter Markenausbeutung anzugehen, indem die Verwendung von Domains für E-Mails effektiver gesichert wird. Der Zweck dieser Blog-Serie ist es, Einblicke zu geben, die Ihnen helfen, das DMARC-Projekt Ihrer eigenen Organisation zu leiten.

In meinem zweiten Blog habe ich mich mit dem "Wer" und dem "Wie" unseres DMARC-Projekts befasst. Ja, es ist ein Projekt das typischerweise, zusätzlich zu einem großartigen DMARC-Produkt, ein funktionsübergreifendes Team aus IT, Sicherheit, einem DMARC-Spezialisten und sogar Marketing erfordert, um das beste und zweckmäßigste Ergebnis zu erzielen. Bei Mimecast haben wir, wie die meisten anderen Unternehmen auch, festgestellt, dass wir viel mehr Domains besitzen, als wir ursprünglich dachten - mehr als 300. Viele dieser Domains sind nur geparkt, um andere an der Registrierung zu hindern, während andere in vergangenen M&A-Transaktionen auftauchten, und wieder andere wurden für spezielle Projekte ohne aktive Beteiligung der IT- oder Sicherheitsteams registriert.

Die Registrierung von Domains ist doch so einfach. Glücklicherweise werden nur sehr wenige der 300 eigenen Domains verwendet, um legitime E-Mails von Mimecast zu versenden. Für Mimecast ist mimecast.com unsere #1 Domain, die wir schützen wollen. Wir verwenden sie sowohl als Hauptdomain unserer Website als auch als Domain, von der wir die meisten unserer E-Mails versenden.

Mimecast.com auf p=reject setzen

Nachdem wir unsere Liste der besessenen Domains gesammelt hatten, stellten wir fest, dass wir bei einigen Domains erst einmal herumschnüffeln mussten, um die internen Besitzverhältnisse herauszufinden. Für diese meist ungenutzten Domains haben wir sehr schnell p=reject für DMARC gesetzt - da wir sie ohnehin nicht zum Versenden von E-Mails verwenden, besteht keine Chance, dass die legitime E-Mail-Zustellung gestört wird. Denken Sie daran: Nur weil und keine E-Mails von den meisten Ihrer Domains verschicken, heißt das nicht, dass Angreifer das auch nicht tun! Daher ist DMARC für alle Ihre Domains relevant und p=reject sollte Teil Ihres Standard-DNS-Eintrags sein, auch für geparkte Domains. Dies in der ersten Phase des Projekts zu tun, erlaubte uns, unsere Energie auf unsere primäre E-Mail-Präsenz zu konzentrieren, die um die Domain mimecast.com aufgebaut ist. Dies ist die Domain, von der aus wir und unsere legitimen Service Provider (Marketo und andere) E-Mails versenden. Hier mussten wir bei unserem Schritt zu p=reject vorsichtiger sein.

Nach etwa einem Monat der Überprüfung von DMARC-Berichten, laufender Überwachung und der Durchführung von DKIM und SPF Konfigurationsänderungen in den wenigen verbliebenen legitimen Sendeanwendungen, haben wir den Wechsel zu p=reject für mimecast.com vorgenommen. Und ich freue mich, sagen zu können, dass mimecast.com ohne nennenswerte negative Auswirkungen von p=quarantine auf p=reject umgestellt worden ist. Tatsächlich hat es geholfen, einen weiteren Pflock in die Herzen der Phisher zu treiben, die versuchen, unsere Marke zu missbrauchen!

DMARC 1.png

Abbildung 1 - DMARC-DNS-Ergebnisse für mimecast.com - p=reject

Hat diese Umstellung auf p=reject Spammer und Phisher davon abgehalten zu versuchen die mimecast.com Domain zu nutzen, um die Marke Mimecast zu fälschen? Noch nicht, aber es hat definitiv Auswirkungen auf die Zustellungsrate der E-Mails! Und mit einer dramatisch reduzierten E-Mail-Zustellungsrate erwarten wir, dass sie dazu übergehen, weniger gut geschützte Domains anzugreifen. Lassen Sie mich Ihnen anhand eines E-Mail-Beispiels - Abbildung 2 unten - ein Beispiel dafür geben, was wir in unseren ruf und rua DMARC-Berichten gesammelt haben.

DMARC 2.png

Abbildung 2 - Beispiel einer E-Mail, die versucht, "mimecast.com" zu fälschen und auf eine betrügerische Mimecast-Anmeldeseite zu verlinken

Und wohin versuchten diese E-Mails, ihre Opfer zu führen? Große Überraschung - eine Seite zum Sammeln von Anmeldeinformationen, die auf einer Vielzahl von verschiedenen, jetzt gesperrten oder heruntergenommenen Webseiten gehostet wurde. Beachten Sie, dass sie sich nicht einmal die Mühe gemacht haben, "Mimecast" in den URLs richtig zu schreiben.

DMARC 3.1.png

DMARC 3.2.png

DMARC 3.3.png

DMARC 3.4.png

Abbildung 3 - Vier Beispiele für URLs, die auf betrügerische Mimecast-Anmeldeseiten verlinkten

DMARC 4.png

Abbildung 4 - Die gefälschte Mimecast-Anmeldeseite, die auf diesen bösartigen Websites gehostet wurde

Wie geht es weiter?

Nun, das war's. DMARC-Projekt erledigt. Weiter zum nächsten Sicherheitsprojekt? Nicht ganz. Die Realität ist, dass in der Welt der IT und der Sicherheit nichts statisch ist. Es ist wichtig, Ihre DMARC-Berichte ständig zu überwachen, um zu sehen, ob neue, legitime, aber falsch konfigurierte Dienste eingeführt wurden (hallo, Marketing). Ohne laufende Überwachung wird die Zustellungsrate dieser neuen legitimen E-Mail-Versanddienste ziemlich schlecht sein. Darüber hinaus sollten die in Ihren DMARC-Berichten enthaltenen Informationen über die Phisher, die versuchen, Ihre Domains zu missbrauchen, Ihrem SOC-Team oder jedem anderen, der Ihr Programm zur Erkennung und Reaktion auf Bedrohungen verwaltet, zur Verfügung gestellt werden, da sie wichtige Erkenntnisse darüber liefern können, wer und wie Ihr Unternehmen per E-Mail gespoofed wird. Die oben beschriebenen Angriffe sind kein Einzelfall bei Mimecast.

DMARC 5.png

Abbildung 5 - Das Mimecast "M"-Logo

Als Nächstes: BIMI

Nun, da mimecast.com bei p=reject für DMARC ist, eröffnet dies auch eine weitere Möglichkeit, das Vertrauen in die Marke Mimecast per E-Mail zu verbessern. Ein neuer Standard, Brand Indicators for Message Identification (BIMI), taucht auf, der die kryptografische Verriegelung eines markenrechtlich geschützten Logos, in unserem Fall das Mimecast "M" (oben zu sehen), mit der mimecast.com Domain ermöglicht. Auf diese Weise können nur verifizierte BIMI-Absender, die die mimecast.com-Domain verwenden, die Zustellung des Mimecast-"M" aktivieren und es in BIMI-unterstützenden E-Mail-Clients, wie Gmail und Yahoo Mail, anzeigen lassen. Bleiben Sie dran, denn das DMARC-Team bei Mimecast ist gerade dabei, BIMI für mimecast.com zu implementieren. In einem kommenden Blog werde ich über die BIMI-Erweiterung zu unserem DMARC-Projekt berichten.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Getting to p=Reject, Mimecast’s Internal DMARC Project: Part 1

Creating a DMARC record and setting it t…

Das Erstellen eines DMARC-Datensatzes und dessen Einstellung auf p=Reject würde... Mehr lesen >

Matthew Gardiner

von Matthew Gardiner

Principal Security Strategist

Posted Jul 16, 2020

BIMI kann die Markensicherheit erhöhen - und die Öffnungsrate von E-Mails

Aufkommende Standard-Spezifikation bindet BH...

Aufkommende Standard-Spezifikation bindet Markenlogos an legitima... Read More >

Debra Donston-Miller

von Debra Donston-Miller

Mitwirkender Verfasser

Verfasst am 11. September 2020

Der Weg zu p=Reject, Mimecasts internes DMARC-Projekt: Teil 2

Ein DMARC-Projekt geht weit über die reine DN...

A DMARC project goes well beyond just DNS administration; te… Read More >

Matthew Gardiner

von Matthew Gardiner

Principal Security Strategist

Posted Aug 20, 2020