Op 24 oktober werd in de media groots uitgepakt. Met koppen als “Mailen uit naam van Mark Rutte, geen probleem!” “Mailservers Tweede Kamer missen beveiliging tegen e-mailspoofing“ en “Na-apen mailadressen Tweede Kamer relatief makkelijk” en “Mailsysteem Tweede Kamer slecht beveiligd” werd de suggestie gewekt dat zich een uiterst gevaarlijke situatie voorgedaan had. Ook uit de reacties op diverse fora kon je opmaken dat er iets ernstigs aan de hand is.
Wat was er aan de hand?
Follow the Money, een journalistieke beweging met een glashelder doel: waarheidsvinding in dienst van de samenleving, had ontdekt dat het mogelijk was om emails te versturen namens het domein tweedekamer.nl. Ze concludeerden dat het relatief makkelijk was om uit naam van een Nederlandse politicus een mailtje te sturen, zonder dat meteen duidelijk werd dat de mail niet echt door de politicus is verzonden.
Het gaat om het al veel langer bekende fenomeen ‘e-mail spoofing’: mensen sturen een mail op naam van iemand anders. Het is technisch eenvoudig om in te stellen dat dit soort nepmails automatisch in een spam-inbox komen, maar dan moet de mailserver wel juist zijn ingesteld.
Waarom is het erg?
Spoofing werkt twee grote problemen in de hand:
- Het zorgt ervoor dat mensen identiteit fraude kunnen plegen en daar anderen schade mee berokkenen. De afgelopen jaren is zogenaamde CEO-fraude in opmars: iemand stuurt een email naar een medewerker of afnemer waarbij hij zich voordoet als een directeur. De e-mail bevat een opdracht om een bedrag over te maken, of bijvoorbeeld om een bankrekeningnummer te wijzigen. Als het emailadres van directeur klopt, zal niet iedere medewerker of leverancier het aandurven om de directeur te bellen en te vragen of het klopt.
- Het zorgt ervoor dat mensen een e-mailadres kunnen veinzen en dat zo kunnen misbruiken om spam te versturen. Omdat de afzender in eerste instantie valide lijkt, zullen veel spamfilters de mail doorlaten en zullen mensen emails ontvangen die ze liever niet willen zien.
In het geval van de Tweede Kamer is niet duidelijk geworden dat de ‘e-mail spoofing’ geleid heeft tot een forse toename van spam, identiteit fraude of CEO fraude. Maar het risico was wel aanwezig.
Daarnaast heeft de overheid de verplichting om een aantal maatregelen te treffen die door het Forum Standaardisatie zijn vastgelegd in de zogenaamde het ‘pas toe of leg uit’ lijst (https://www.forumstandaardisatie.nl/open-standaarden/lijst/verplicht).
Probleem was al bekend
De PvdA stelde vorig jaar al kamervragen over het feit dat gemeentelijke e-mailservers geen gebruik maakten van standaarden zoals dkim, dmarc en spf om spoofing, spam en phishing tegen te gaan. In het geval van de Tweede Kamer bleek dat spf niet stond ingesteld, wat inmiddels wel is ingeschakeld. “Er is gebleken dat het mogelijk is om e-mailberichten te versturen uit naam van Kamerleden. Deze vorm van misbruik heet spoofing: de accounts van de Tweede Kamer zijn niet gehackt. De Tweede Kamer neemt dit probleem zeer serieus en heeft met spoed maatregelen genomen om dergelijk misbruik te voorkomen. De kwetsbaarheid is inmiddels verholpen”, aldus een reactie van de Tweede Kamer.
Wat kun je er tegen doen?
Gelukkig is spoofing vrij eenvoudig tegen te gaan en een stuk moeilijker te maken voor een kwaadwillende. Door SPF, DKIM en DMARC te activeren wordt al een heleboel ellende voorkomen. En het mooie is: het is gratis en vrij eenvoudig (dus goedkoop) te implementeren!
Het Sender Policy Framework (SPF) voorkomt dat derden in naam van een organisatie e-mails kunnen versturen. SPF controleert of de mailserver die een e-mail wil versturen namens het e-maildomein deze e-mail mag verzenden. SPF specificeert een technische methode om afzenderadres-vervalsing detecteerbaar te maken, zo stelt het Forum Standaardisatie.
DomainKeys Identified Mail (DKIM) is een authenticatiemethode waarmee een ontvanger van een e-mail kan nagaan of een bericht van het domein van de verzender inderdaad daarvandaan verzonden mocht worden.
DMARC bouwt voort op deze technieken en kan bijvoorbeeld ingezet worden om te verifiëren of de inhoud van een e-mail is veranderd na het verzenden daarvan. SPF en DKIM staan dus op de zogenaamde ‘pas-toe-of-leg-uit’-lijst. Alles wat op deze lijst staat, is verplicht voor overheidsorganisaties bij aanschaf, aankoop, aanbesteding of ontwikkeling van een nieuwe dienst van 50.000 euro of meer.
Heeft jouw domein de juiste instellingen?
Wil je weten of op jouw email domein de juiste instellingen gemaakt zijn? Ga dan naar https://quickscan.guardian360.eu/nl en naar www.internet.nl.
Bronnen
https://www.ftm.nl/artikelen/mailen-uit-naam-van-mark-rutte-geen-probleem
https://www.forumstandaardisatie.nl/open-standaarden/lijst/verplicht
https://nos.nl/artikel/2199450-na-apen-mailadressen-tweede-kamer-relatief-makkelijk.html
https://www.ftm.nl/artikelen/mailen-uit-naam-van-mark-rutte-geen-probleem
https://www.security.nl/posting/536615
https://tweakers.net/nieuws/131051/mailservers-tweede-kamer-missen-beveiliging-tegen-e-mailspoofing.html
https://www.tweedekamer.nl/nieuws/kamernieuws/update-over-valse-e-mailberichten-uit-naam-kamerleden
https://www.forumstandaardisatie.nl/standaard/spf
https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://en.wikipedia.org/wiki/DMARC