DMARC Grondbeginselen: Wat het is en hoe het werkt

In het afgelopen jaar hebben bedrijven volgens McKinsey de digitalisering van hun interacties met klanten en de toeleveringsketen met maar liefst drie tot vier jaar versneld - grotendeels dankzij COVID-19. [1] Natuurlijk vertaalt een grotere digitalisering zich in een groter risico. Cybercriminelen zijn zich ervan bewust dat meer mensen online werken en transacties verrichten dan ooit tevoren en hebben een ware vloedgolf van cyberaanvallen ontketend waarbij misbruik wordt gemaakt van het vertrouwen van mensen in merken en die zijn ontworpen om persoonlijke informatie te stelen of fraude te plegen. Organisaties moeten hun inspanningen opvoeren om klanten te beschermen tegen de dreiging van online merkimitatie.

Het is geen verrassing dat uit de vijfde jaarlijkse enquête van Mimecast, State of Email Security , blijkt dat bijna de helft van de respondenten (47%) meldt dat het aantal phishing-e-mails waarin hun merk wordt geïmiteerd, de afgelopen 12 maanden is toegenomen. Drieënzestig procent ervoer een toename van e-mail phishing in het algemeen en 42% vond dat misbruik van hun merken een groeiend gevaar was.

Een essentieel hulpmiddel dat organisaties vaak over het hoofd zien, is Domain-based Messaging Authentication Reporting and Conformance (DMARC). DMARC speelt een belangrijke rol bij het beperken van pogingen tot phishing via e-mail waarbij legitieme e-maildomeinen worden nagebootst, maar de adoptie van DMARC blijft laag vanwege de complexiteit ervan en het feit dat de technologie en de voordelen ervan moeilijk te verwoorden zijn zonder een achtergrond in cybersecurity. Om de belangrijkste leidinggevenden en belanghebbenden mee te krijgen, moeten cyberbeveiligingsteams leren hoe ze het belang van DMARC duidelijk kunnen communiceren - vooral gezien de hoge effectiviteit en de over het algemeen lage kosten van de technologie.

Wat is DMARC?

DMARC is een e-mailvalidatiesysteem dat is ontworpen om te detecteren wanneer iemand uw domein zonder toestemming gebruikt; het kan worden gebruikt om de aflevering van ongeauthenticeerde e-mail te blokkeren. Het bouwt voort op de bestaande protocollen SPF (Sender Policy Framework) en DKIM (Domain Keys Identified Mail) door toevoeging van een kritisch rapportage-element en een blokkeringsmechanisme. SPF controleert of het bericht afkomstig is van een IP-adres dat volgens de records van het domein is toegestaan, terwijl DKIM aan de hand van een versleutelde sleutel controleert of de e-mailheader overeenkomt met die van het domein van de afzender.

Eenvoudig gezegd, DMARC analyseert SPF en DKIM resultaten om een inkomende mail server te instrueren wat te doen met berichten die deze controles niet doorstaan. De keuzes zijn:

• Doe niets.
• Quarantaine in een spammap
• Weiger de e-mail ronduit

DMARC stuurt ook een informatief rapport over al het bovenstaande naar de domeineigenaar.

Hoe werkt DMARC?

Om een voorbeeld uit de echte wereld te nemen: stel dat een e-mail een pakje is dat moet worden afgeleverd bij een geadresseerde in een kantoorgebouw. Bij aankomst zijn er twee bewakers die onafhankelijk van elkaar en gelijktijdig de referenties van de bezorger controleren. De eerste bewaker controleert de nummerplaat om er zeker van te zijn dat deze overeenkomt met een geverifieerde bestelwagen. De tweede bewaker controleert de identiteit van de bestuurder om er zeker van te zijn dat het pakket afkomstig is van de verwachte bezorger en het bedrijf. Deze twee controles zijn vergelijkbaar met respectievelijk inkomende SPF- en DKIM-controles.

Als de nummerplaat klopt en de identificatie van de bestuurder, gaat de levering door. Echter, als een of beide checks niet overeenkomen, komt DMARC in het spel. Wat als de nummerplaat klopt, maar de identificatie van de bestuurder niet? De bewakers moeten het DMARC beleid van het leveringsbedrijf controleren om te bepalen welke actie ze moeten ondernemen: de levering weigeren, het pakket in quarantaine plaatsen, of geen actie ondernemen. In dit voorbeeld zouden de bewakers het pakket in quarantaine kunnen plaatsen in afwachting van de resultaten van de volgende stap.

Dat wil zeggen dat de bewakers contact opnemen met het koeriersbedrijf om hen te laten weten dat hun bestelwagen op hun terrein is geweest en dat de nodige verificaties zijn verricht. De bewakers verstrekken een rapport waarin wordt uitgelegd dat de identificatieverificatie niet aan de verwachtingen voldeed, en het bedrijf wordt daarom geattendeerd op de mogelijkheid dat hun merk kan zijn geïmiteerd om een mogelijk kwaadaardig pakket te bezorgen. Het bezorgbedrijf kan dan nagaan wat er is misgegaan en aangeven welke corrigerende maatregelen moeten worden genomen om het probleem te verhelpen.

In dit voorbeeld was de verwachte chauffeur ziek en viel een vervangende chauffeur in, wat betekent dat elk onderdeel van het afleveringsproces legitiem was. Het bedrijf zou dan zijn DMARC-beleid kunnen wijzigen zodat de bewakers geen actie ondernemen als en wanneer pakjes worden afgeleverd door de vervangende chauffeur.

Waarom is DMARC belangrijk?

Organisaties kunnen blijvende merkschade oplopen en inkomsten mislopen als hun klanten, partners, werknemers of leveranciers het doelwit zijn van cybercriminelen. En de kans dat dit gebeurt, neemt snel toe nu de toenemende verfijning van merkimitatieaanvallen het voor de ontvanger van de aanval bijna onmogelijk maakt om de legitimiteit van de ontvangen e-mailcommunicatie te onderscheiden.

Dit kan leiden tot een erosie van het merkvertrouwen, waardoor klanten toekomstige legitieme communicatie als verdacht gaan beschouwen en e-mails niet meer openen of de inhoud ervan niet meer willen lezen. Ze kunnen zelfs zo ver gaan dat ze regels in hun mailbox aanmaken om alle toekomstige e-mails automatisch te verwijderen. Dit kan onherstelbare schade toebrengen aan organisaties zoals online detailhandelaren of overheidsdiensten die afhankelijk zijn van het vertrouwen van hun klanten of burgers om diensten te kunnen leveren en effectief te kunnen functioneren.

DMARC geeft organisaties de macht om hun e-maildomeinen te beheren en inzicht te hebben in e-mails die namens hen worden verzonden. Hierdoor kunnen beveiligingsteams snel ongeautoriseerde e-mails die vanaf hun domeinen worden verzonden, ontdekken en tegenhouden, zodat klanten, werknemers, partners en leveranciers worden beschermd tegen mogelijk misbruik door cybercriminelen. Het geeft bedrijven ook de mogelijkheid om de ontvangers van hun e-mails opdracht te geven de mail te weigeren als de veiligheidscontroles niet op elkaar zijn afgestemd.

De kern van de zaak

Met de toenemende digitalisering van het dagelijks leven moeten alle organisaties voldoen aan hun morele verplichting om klanten te beschermen tegen uitbuiting door cybercriminelen. Maar in werkelijkheid is dit een kwestie van verlicht eigenbelang, omdat het veilig houden van hun klanten in dit geval ook het veilig houden van hun merken betekent. DMARC is een weinig gebruikt maar zeer effectief hulpmiddel in de strijd tegen e-mail phishing en het compromitteren van zakelijke e-mail, en kan organisaties helpen het vertrouwen van hun klanten, partners en leveranciers te behouden.

[1] " COVID-19 digitale transformatie en technologie ," McKinsey & Company