Spoofing (e-mail)

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Spoofing in e-mail is het namaken van e-mailberichten met een vervalst afzenderadres. Omdat e-mailprotocollen van origine geen authenticatiemechanisme hebben, komt het vaak voor dat e-maildomeinen misbruikt worden voor spam en phishing. Hiermee wordt de ontvanger van die e-mail om de tuin geleid, mogelijk met financiële gevolgen.

Technische uitleg[bewerken | brontekst bewerken]

Bij het verzenden van een e-mail (middels SMTP), biedt de verzendende MTA (mail transfer agent) twee delen informatie aan bij de ontvangende MTA:

  • MAIL FROM: - Normaliter aan de ontvanger gepresenteerd als het return path: koptekst, maar normaal niet zichtbaar voor de eindgebruiker. Bovendien wordt standaard niet gecontroleerd of het verzendende systeem geautoriseerd is om namens dat adres te verzenden. Hiervoor dient SPF.
  • RCPT TO: - geeft aan naar welk e-mailadres de e-mail wordt afgeleverd, is normaal niet zichtbaar voor de eindgebruiker maar kan aanwezig zijn in de headers als onderdeel van de kop "Received:".

Samen worden deze de "envelope" genoemd, als analogie met de traditionele papieren envelop. Wanneer de beide items goedgekeurd zijn door de ontvangende mailserver, volgt de data van de e-mail zelf. Die bestaat uit verschillende header items, zoals:

  • From: Persoon A <persoon.A-at-voorbeeld.nl> - Dit adres is zichtbaar voor de ontvanger van de e-mail. Het wordt niet standaard gecontroleerd en kan dus variëren van de MAIL FROM-header op de envelop;
  • Reply-To: Persoon B <persoon.B-at-voorbeeld.be> - ook niet gecontroleerd

Door deze werking, zien ontvangers alleen maar de From:-header en vrijwel nooit het MAIL FROM-adres. Zonder goede beveiliging van het verzendende domein, kan er dus op meerdere manieren misbruik gemaakt worden van deze situatie. Wordt SPF niet of onvoldoende ingezet, kan een spoofer gemakkelijk een legitiem MAIL FROM-adres gebruiken om malafide e-mails af te leveren. Wordt SPF wel goed gebruikt, maar DKIM niet, dan laat dat ruimte over om met een malafide MAIL FROM-adres legitiem ogende e-mails te verzenden met een nagemaakt From:-adres.

Malafide gebruik van spoofing[bewerken | brontekst bewerken]

Vaak voorkomende vormen van e-mailspoofing zijn phishing en CEO-fraude, waarbij phishing zich voornamelijk richt op het achterhalen van klant- en inloggegevens en financiële middelen van consumenten en CEO fraude erop geënt is organisaties geld over te laten maken naar een malafide bankrekening.

In Nederland wordt er jaarlijks nog voor miljoenen euro's aan schade geleden door phishing onder consumenten.[1] Daarnaast zijn er voorbeelden te over wanneer het gaat om CEO fraude, bijvoorbeeld door Pathé in 2018, waarbij voor 19 miljoen werd buitgemaakt door criminelen.[2]

Legitiem gebruik[bewerken | brontekst bewerken]

Hoewel het heden ten dage niet meer gebruikt wordt voor legitieme doeleinden, werd spoofing tijdens het 'vroege internet' ingezet voor positieve doeleinden. Zo kon een bezoekende gebruiker bijvoorbeeld de SMTP-server van de lokale organisatie gebruiken om e-mail te verzenden vanaf het buitenlandse adres van de gebruiker. Aangezien de meeste servers waren geconfigureerd als " open relays ", was dit een redelijk gangbaar gebruik. Omdat spam e-mail een vervelend probleem werd, raakten dit soort "legitiem" gebruik uit de gratie.

Het effect van spoofing op mailservers[bewerken | brontekst bewerken]

Van origine konden e-mailservers berichten accepteren om vervolgens een bounce terug te sturen, wanneer het bericht om welke reden dan ook niet afgeleverd kon worden of in quarantaine was geplaatst. Tegenwoordig is dat echter lastiger, door de toename van vervalste adressen. Daarom worden e-mails nu afgewezen tijdens de SMTP-uitwisseling. Hiermee wordt backscatter voorkomen - het sturen van bounceberichten naar onschuldige partijen

Tegenmaatregelen[bewerken | brontekst bewerken]

Om een domeinnaam te beschermen tegen spoofing, is in de loop der jaren een aantal tegenmaatregelen genomen. Een aantal daarvan sorteerden weinig effect of werden weinig tot niet gehanteerd, maar de combinatie van SPF, DKIM en DMARC wordt steeds meer geaccepteerd als oplossing tegen phishing. Toch blijkt dat, ook in Nederland, nog weinig bedrijven zich druk maken om deze tegenmaatregel.[3]

Zie ook[bewerken | brontekst bewerken]

Externe links[bewerken | brontekst bewerken]

Referenties[bewerken | brontekst bewerken]

  1. Schade door phishing blijft toenemen, ook meer bankpasfraude. NOS. Geraadpleegd op 2 januari 2020.
  2. Maarten van Ast, Ceo-fraude kostte Pathé 19 miljoen euro. Het Parool (10 november 2018). Geraadpleegd op 2 januari 2020.
  3. Nederlandse e-commercebedrijven beschermen klanten slecht tegen nepmail. Emerce. Geraadpleegd op 2 januari 2020.