Op uw DMARC: MS 365 e-mailgebruikers beschermen tegen phishing-zwendel

Moeten Microsoft 365 gebruikers DMARC implementeren?

Compromittering van zakelijke e-mail en phishing-aanvallen zijn een reële bedreiging voor bedrijven. E-mail is gemakkelijk te vervalsen en het enorme klantenbestand van MS 365 maakt het een uitnodigend doelwit voor fraudeurs. Aangezien iedereen zich kan voordoen als iemand in het "van" veld van een e-mail, is het begrijpelijkerwijs moeilijk voor werknemers en klanten om een echt van een vals bericht te onderscheiden.

Recente gegevens onderstrepen de gevaren van op e-mail gebaseerde fraude. Spoofing en impersonaties stegen in 2018 met 250 procent, waarbij consumenten op jaarbasis 172 miljard dollar verliezen aan deze en andere internetzwendel.[1] Meer dan 90 procent van de bedrijven is getroffen door dergelijke impersonaties,[2] waarbij de gemiddelde verliezen door succesvolle aanvallen nu 2 miljoen dollar bedragen[3]-of maar liefst 7,9 miljoen dollar kosten wanneer ze resulteren in een datalek.[4]

Dit alles zet Microsoft onder enorme druk om te proberen zijn klanten tegen deze aanvallen te beschermen, en Microsoft zit vaak klem tussen een rots en een harde plaats wanneer het moet beslissen welke e-mails moeten worden afgeleverd en welke moeten worden geblokkeerd. Het is onvermijdelijk dat zelfs de best mogelijke beslissing aan beide kanten van de vergelijking problemen oplevert: belangrijke communicatie wordt nog steeds tegengehouden, terwijl nepberichten er nog steeds in slagen door te komen.

Het oplossen van het e-mail-spoofing dilemma

Het is deze Sophie's choice van een dilemma dat Domain Message Authentication Reporting and Conformance werd ontwikkeld om op te lossen. Dit e-mailauthenticatieprotocol, beter bekend als DMARC, is ontworpen om te helpen bepalen of een bepaald bericht legitiem is en daadwerkelijk afkomstig is van het domein waarmee het is geassocieerd. Het protocol werd voor het eerst gepubliceerd door de Internet Engineering Task Force in 2015, wordt ondersteund door Microsoft en helpt bedrijven te beschermen tegen domain spoofing door hun MS 365-gebruikers te beschermen zonder hun bedrijf te verstoren.

De fundamentele beveiligingsfout van e-mail is dat de naam in het "van"-veld van een bericht niet van de werkelijke afzender hoeft te zijn of overeen hoeft te komen met het retouradres. Dat maakt het voor oplichters gemakkelijk om phishing-e-mails te sturen die zich voordoen als het domein van een organisatie.

DMARC stelt een organisatie in staat een beleid in te stellen dat helpt te voorkomen dat deze phishing-e-mails haar klanten of andere nietsvermoedende ontvangers bereiken. Het beleid vertelt de e-mailsystemen van de ontvangers hoe ze moeten reageren als ze een nep-e-mail ontvangen die zich voordoet als het domein van de organisatie - of ze deze e-mails moeten negeren, in quarantaine plaatsen of doorlaten. Op deze manier fungeert DMARC als beleidslaag voor andere e-mailverificatiemechanismen die al op grote schaal worden gebruikt, waaronder de beveiligingsprotocollen SPF (Sender Policy Framework) en DKIM (Domain Keys Identified Mail).

Aan de inkomende kant stelt DMARC het e-mailsysteem van de ontvanger in staat te herkennen of een bericht werkelijk afkomstig is van waar het beweert vandaan te komen. Telkens wanneer een e-mail wordt verzonden vanaf een domein met een DMARC record, kan de inkomende mailserver controleren of het IP adres is opgenomen in zijn SPF records en of de DKIM handtekening geldig is. Als de e-mail niet geauthenticeerd kan worden, bepaalt deze DMARC controle wat er met de e-mail gedaan moet worden op basis van het geldende beleid.

Klaar, klaar en gaan met DMARC

Microsoft erkent de waarde van DMARC voor MS 365-gebruikers, en past het standaard toe om MS 365-inboxen te beschermen tegen phishing-e-mails.[5] DMARC waakt momenteel over 2,5 miljard e-mailinboxen wereldwijd[6], en een groeiend aantal bedrijven is van plan DMARC-beleid te implementeren om te voorkomen dat scammers zich voordoen als hun domeinen. Van de beveiligingsmedewerkers die werden ondervraagd voor Mimecast's 2020 State of Email Security report, zei slechts 28% dat ze momenteel DMARC gebruiken - maar de meeste zeiden dat ze plannen hebben om de standaard te implementeren.

Maar hoewel DMARC helpt bij het identificeren en blokkeren van e-mail spoofing, zijn de rapporten die het genereert moeilijk te lezen en te interpreteren, en kan het protocol vrij complex zijn om te configureren en te beheren. Om DMARC effectief te implementeren, moet u alle domeinen en subdomeinen in al uw bedrijfseenheden en externe partners die namens u e-mail verzenden, identificeren. En omdat elk domein kan worden gespoofed of geïmiteerd - ongeacht of het daadwerkelijk wordt gebruikt om e-mail te verzenden -moet elk domein in uw uitgebreide bedrijfsnetwerk DMARC-beschermd zijn. Dit alleen al helpt om er zeker van te zijn dat alle berichten die van een van uw domeinen afkomstig lijken te zijn, in feite legitiem zijn.

Maar het identificeren en onboarden van duizenden domeinen die door meerdere bedrijfseenheden, externe agentschappen en andere externe partners worden beheerd, kan behoorlijk ontmoedigend zijn. Gartner erkent dit en raadt aan een tool of service van een derde partij te gebruiken om DMARC te beheren en te implementeren, waarbij het opmerkt dat dit vaak de meest effectieve manier is om het protocol te implementeren en de volledige mate van bescherming te realiseren die het kan bieden.[7]

De kern van de zaak

Consumentgerichte merkimitaties zijn de afgelopen vijf jaar elf keer zo groot geworden en 80 procent hiervan heeft betrekking op e-mail.[8] In sectoren zoals de gezondheidszorg en de detailhandel, is 57 procent van de e-mail van consumentens nu frauduleus,[9] en in 2018 ontving het Internet Crime Complaint Center meer dan 20.000 klachten over zakelijke e-mailcompromittering, die verliezen van meer dan 1,2 miljard dollar vertegenwoordigen.[10]

DMARC kan u de vuurkracht geven die u nodig hebt om deze vloedgolf van fraude te bestrijden. Maar gezien de complexiteit kan uw organisatie overwegen een product van een derde partij te gebruiken om het protocol te beheren en ten volle te profiteren van zijn spoof-stopping potentieel.

[1] "Norton LifeLock Cyber Safety Insights Report," NortonLifeLock

[2] "E-mail Phishing neemt dit jaar toe, Mimecast meldt," Email Marketing Daily

[3] "Office 365 en LinkedIn integratie-een goudmijn voor fraudeurs?" IT Pro Portal

[4] "Hoe phishing-aanvallen gericht op uw klanten voorkomen met DMARC en Office 365," Microsoft

[5] "Implementeer DMARC voor inkomende mail," Microsoft

[6] Ibid

[7] "Bescherming tegen zakelijke Email Compromise Phishing," Gartner

[8] "Hoe kunt u uw merk beschermen tegen kwaadwillige merkimitaties," Adweek

[9] "NH-ISAC roept op tot betere beveiligingspraktijken voor e-mail in de gezondheidszorg," Health IT Security

[10] "2018 Internet Crime Report," Federal Bureau of Investigation Internet Crime Complaint Center