DNSSEC en Dane voor veiliger e-mailverkeer

  • Hans Wagtelenberg
  • vrijdag 2 augustus 2024 om 07:43
E-mail is uitgegroeid tot een onmisbaar communicatiemiddel in ons dagelijks leven en wordt gebruikt voor zowel persoonlijke berichten als zakelijke berichten. Hoewel e-mailberichten soms niet heel interessant zijn kunnen deze berichten ook vertrouwelijke bedrijfsgegevens of persoonlijk identificeerbare informatie (PII) bevatten.

Het lekken van dergelijke informatie kan leiden tot  gevaarlijke, vervelende en soms ook heel dure gevolgen. Denk bijvoorbeeld aan het lekken van bedrijfsgeheimen of aan identiteitsfraude.

Hoewel e-mail al enige tijd erg populair is, zijn er diverse kwetsbaarheden die dit medium plagen. E-mail is namelijk niet ontworpen met veiligheid in gedachten, maar slechts als een simpel systeem om berichten uit te wisselen.

E-mail security

In de loop der tijd hebben kwaadwillenden e-mail benut voor minder fraaie activiteiten zoals spam, phishing, malware-verspreiding en gegevensdiefstal. In heel veel gevallen beginnen de meest geavanceerde cyberaanvallen met het versturen van een simpele e-mail. 

Hoewel e-mail onmisbaar is geworden in ons dagelijks leven brengt het dus inherente risico's met zich mee. Het is belangrijk om hier bewust van te zijn en de nodige technische maatregelen te treffen om deze risico’s te beperken. We zullen in dit artikel enkele van deze maatregelen bespreken, namelijk SPF, DKIM, DMARC, DNSSEC en DANE.

Hoewel dit artikel voornamelijk technische maatregelen behandelt, zijn deze maatregelen alleen niet voldoende. Kwaadwillenden vinden steeds nieuwe manieren om maatregelen te omzeilen en dat is ook de reden waarom het trainen van medewerkers zo belangrijk is. We staan hierbij uiteraard ook uitgebreid stil op ons awareness platform StackAware.


SPF, DKIM EN DMARC

Om veiligere communicatie te bewerkstelligen zijn er de afgelopen jaren diverse technologisch ontwikkelingen geweest die wat hebben toegevoegd aan het relatief simpele protocol van e-mail versturen om dit proces veiliger en betrouwbaarder te maken. Enkele bekende voorbeelden zijn:
 
  • Het Sender Policy Framework (SPF), dat gebruikt wordt om te controleren dat de server die een bericht verstuurt namens een domein daar ook toe gerechtigd is. Het publiceert een whitelist van servers die mogen verzenden middels een DNS-record. 

    Door het gebruik van SPF wordt voorkomen dat het domein van de versturende partij wordt misbruikt om klanten of leveranciers op te lichten en de ontvangen partij kan dit gebruiken om malafide berichten van valse afzenders tegen te houden.
 
  • DomainKeys Identified Mail (DKIM), dient ter verificatie van de authenticiteit van een bericht en de afzender. Dit wordt bereikt door het toevoegen van digitale handtekeningen die door de ontvangende partij gecontroleerd kunnen worden. 

    Door het gebruik van DKIM kan worden voorkomen dat kwaadwillenden een bericht versturen namens een ander en wordt tevens de integriteit van de inhoud geborgd door te garanderen dat deze niet gewijzigd is.
 
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC), is een aanvulling op de twee eerder genoemde voorbeelden en geeft een beleid (instructies) mee aan de ontvangende server wat te doen als er iets niet klopt tijdens de SPF en DKIM verificatie.

    Het gebruik van DMARC is niet verplicht en SPF en DKIM zijn ook afzonderlijk inzetbaar, maar bovenstaande maatregelen werken het beste in combinatie met elkaar. Uiteraard, zoals met alles. mits juist geconfigureerd.

 

DNSSEC en DANE

Domain Name System Security Extensions (DNSSEC) is niet expliciet gericht op mailverkeer maar kan wel gebruikt worden ter verificatie van de identiteit van een server en de DNS records welke worden aangeboden door deze server. Door het gebruik van een digitale handtekening wordt gekeken of de DNS informatie en de verzender van deze informatie betrouwbaar zijn.

Van iets recentere datum is de techniek DNS-based Authentication of Named Entities (DANE) die weer voortbouwt op DNSSEC. Waarbij DNSSEC niet verplicht is voor bovenstaande protocollen als SPF, DKIM en DMARC is het wel een verplicht onderdeel voor DANE.

Door toepassing van deze techniek wordt er, nadat de identiteit van de ontvangende e-mailserver is bevestigd door het gebruik van DNSSEC, geprobeerd een versleutelde verbinding tot stand te brengen middels STARTTLS. Dit laatste gebeurt door het ophalen van een, wederom door DNSSEC geverifieerd, TLSA record dat een publieke sleutel aan het domein koppelt.
 
Door het gebruik van een versleutelde verbinding is het bericht alleen leesbaar voor de legitieme ontvanger en een stuk minder kwetsbaar voor man-in-the-middle (MITM) aanvallen.

Voor het gebruik van DANE zijn drie dingen noodzakelijk: DNSSEC, STARTTLS en een TLSA DNS-record. Beide kanten dienen DANE te ondersteunen wil de e-mail versleuteld verstuurd worden. Wel is het zo dan DANE een opportunistisch protocol is, indien de versleutelde connectie niet tot stand kan worden gebracht dan vindt het transport, zij het onversleuteld, toch plaats.

Hoewel er binnen de cybersecurity nooit garanties zijn en er altijd weer nieuwe kwetsbaarheden en mogelijkheden worden ontdekt helpt een gedegen configuratie van bovenstaande zaken e-mail een stuk veiliger te maken.

Voor meer informatie over phishing, awareness en veiligheid kunt u altijd contact met ons opnemen.

 

StackSecure maakt gebruik van cookies.

Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement