Waarom DMARC essentieel is voor online merkbescherming

E-mail heeft de manier waarop wij communiceren ingrijpend veranderd - of het nu gaat om persoonlijk gebruik, zakelijk gebruik of het slaan van een brug tussen beide om contactmomenten tussen merk en klant te creëren. Maar juist de eigenschappen die e-mail alomtegenwoordig hebben gemaakt, dragen ook bij aan de kwetsbaarheid ervan. E-mail is zo eenvoudig in te stellen dat cybercriminelen gemakkelijk schadelijke e-mails kunnen verzenden die afkomstig lijken te zijn van het legitieme internetdomein van een merk.

Maar merken kunnen zichzelf beschermen door hun uitgaande e-mail te beveiligen met behulp van een wereldwijde standaard, Domain-Based Message Authentication Reporting and Conformance (DMARC). DMARC is een vitaal stukje van de online merkbeschermingspuzzel die merken kan helpen hun reputatie te beschermen en hun klanten, klanten, werknemers en leveranciers te beschermen tegen slechte actoren die hun e-mailadressen vervalsen. Uit nieuw onderzoek van de State of Email Security 2020 blijkt echter dat slechts 28% van de respondenten DMARC gebruikt, en slechts 22% van die groep heeft het hoogste handhavingsniveau van DMARC geïmplementeerd.[1]

Waarom e-mail merkuitbuiting zo gemakkelijk maakt

Ontvangers van e-mail verwachten meestal dat afzenders precies zijn wie ze beweren te zijn, en dat is ook vaak het geval. Maar dit impliciete vertrouwen creëert een gemakkelijke ingang voor slechte actoren die merken willen misbruiken voor phishingpogingen, fraude of malware-aanvallen. Het is zo eenvoudig om de "van" header van een e-mail te vervalsen dat bijna iedereen het kan, ongeacht technische bekwaamheid, en het kan meestal gratis worden gedaan.

Het potentieel voor slechte actoren om legitieme domeinen te spoofen neemt drastisch toe als je bedenkt dat veel bedrijven tientallen geregistreerde domeinen hebben, en dat veel bedrijven ook vertrouwen op derden zoals customer relationship management systemen om namens hen e-mails te versturen.

Het helpt ook niet dat mensen een belangrijk zwak punt zijn in het voorkomen van cyberaanvallen, en dat slechte actoren azen op onze angsten, kwetsbaarheden en verlangens. Een e-mail die afkomstig lijkt te zijn van een legitiem domein - een bank bijvoorbeeld - kan de ontvanger dringend verzoeken zijn wachtwoord te wijzigen omdat zijn account is gecompromitteerd. Ironisch genoeg kan die e-mail de ontvanger naar een vervalste website lokken die in feite zijn accountgegevens steelt, waardoor de deur wordt opengezet voor identiteitsdiefstal, fraude of zelfs cyberaanvallen gericht tegen de werkgever van de ontvanger.

Zonder een strenge strategie voor de authenticatie van uitgaande e-mail, zoals DMARC, kunnen deze slechte actoren niet worden tegengehouden.

Wat is DMARC?

DMARC is een e-mailverificatiestandaard die kan worden gebruikt om domeineigenaren zoals bedrijven te helpen niet-geautoriseerde e-mailverzenders te identificeren, zodat alleen geldige e-mails de ontvangers bereiken. Het is gebaseerd op SPF en DKIM, twee afzonderlijke e-mailverificatiemechanismen die aan het DNS-record van een domein worden toegevoegd om e-mailspoofing te helpen voorkomen. DMARC bouwt voort op de mogelijkheden van SPF en DKIM door domeineigenaren aanpasbare beleidsregels te laten publiceren in hun DNS-record. Deze beleidsregels helpen e-mailontvangers te beschermen door hun e-mailsystemen in staat te stellen valse inkomende e-mails te detecteren en te weigeren voordat deze de inbox van de ontvanger kunnen bereiken. SPF en/of DKIM zijn nodig om DMARC te laten werken, maar het is het beste om beide te implementeren om zwakke plekken te voorkomen.

Hoe werkt DMARC?

Telkens wanneer een inkomende e-mail server een e-mail bericht ontvangt van een domein met een DMARC record, voert het een DMARC controle uit om te bepalen of:

• De e-mail wordt verzonden vanaf een IP-adres dat is toegestaan volgens de SPF-records van het domein
• De DKIM handtekening is geldig
• De "from" header van de e-mail komt overeen met die van het verzendende domein

Dit proces wordt vervolgens gebruikt voor twee belangrijke doeleinden: rapportage en conformiteit.

• Reporting: DMARC vertelt een merkeigenaar wie de domeinen van een merk gebruikt en hoe, inclusief cybercriminelen en legitieme derde partijen die in hun naam werken. DMARC biedt twee soorten rapporten: geaggregeerde en forensische. Geaggregeerde rapporten geven een overzicht van al het e-mailverkeer, inclusief legitieme en illegale IP-adressen die e-mail proberen te verzenden namens een domein. Forensische rapporten sturen vergelijkbare informatie in bijna real-time wanneer een e-mail een DMARC check niet doorstaat.
• Conformance: DMARC vertelt de e-mailservers van ontvangers welke e-mails echt zijn en wat ze met nep-e-mails moeten doen. Er zijn drie opties, die door domeineigenaren kunnen worden aangepast en ingesteld: niets anders doen dan activiteit melden, e-mails in quarantaine plaatsen in de spam-map van de ontvanger, of de e-mail helemaal weigeren.

Een "reject" beleid is DMARC's gouden standaard en het uiteindelijke doel voor veel merken. Maar over het algemeen wordt aanbevolen dat domeineigenaren DMARC stapsgewijs implementeren, om te voorkomen dat hun authentieke e-mails onbedoeld op de zwarte lijst terechtkomen. De eerste stap is om een "geen" beleid te gebruiken dat eenvoudigweg alle e-mailactiviteit rapporteert, zodat een merk een nauwkeurige beoordeling kan krijgen van alle e-mail die namens het merk wordt verzonden, legitiem of niet. Omdat veel bedrijven meerdere domeinen en afzenders van derden hebben, kan deze stap een uitdaging zijn. Bovendien zeggen sommige experts dat DMARC moeilijk te configureren kan zijn, wat waarschijnlijk bijdraagt aan de lage adoptiegraad van DMARC. Maar DMARC oplossingen van derden zijn beschikbaar om het proces te vereenvoudigen, en ze zijn "vaak de meest effectieve manier om tot het punt te komen waar e-mails kunnen worden geweigerd als ze DMARC niet doorstaan," volgens Gartner Inc.

In het algemeen zou een merk zijn DMARC-beleid pas op "weigeren" moeten zetten als het zeker weet dat het alle legitieme afzenders heeft geïdentificeerd en aan zijn DNS-record heeft toegevoegd. Met een afwijzingsbeleid kunnen merken hun eigen reputatie beschermen en voorkomen dat onschuldige ontvangers - en hun organisaties - het slachtoffer worden van aanvallen op merkuitbuiting waarbij e-mail als afleveringsmechanisme wordt gebruikt.

Maar hoewel DMARC zeer effectief is, is het slechts één stukje van de online merkbeschermingspuzzel. Het voorkomt niet dat e-mails worden verzonden vanaf "lookalike"-domeinen, zodat een slechte actor de DMARC-controles kan omzeilen door simpelweg een domeinnaam te creëren die lijkt op het domein van het merk, maar een iets andere spelling heeft. Het biedt geen oplossing voor andere vormen van spoofing, zoals vervalste websites, en het lost het probleem van menselijke fouten niet op. Daarom moet het worden gecombineerd met andere cyberbeveiligingsstrategieën, zoals op AI gebaseerde oplossingen voor merkbescherming en regelmatige training in beveiligingsbewustzijn.

De kern van de zaak

Het leven zoals wij dat kennen zou niet mogelijk zijn zonder e-mail, maar het gemak en de alomtegenwoordigheid ervan is ook een broedplaats voor cyberaanvallen waarbij merkdomeinen worden gespooft. DMARC is een tool die bedrijven helpt hun merken online te beschermen en het internet veiliger te maken. Het zorgt ervoor dat de e-mails die klanten, werknemers of prospects van een merk ontvangen, authentiek zijn, terwijl de reputatie van het merk wordt beschermd. Hoe meer merken DMARC gebruiken, hoe meer elke e-mailgebruiker beschermd is tegen de bedreigingen die schuilgaan in vervalste e-mails.

[1] Verslag over de stand van zaken in e-mailbeveiliging, Mimecast