Blog

E-mail

Security

SPF

DMARC

DKIM

Defender 365

De techniek achter veilige e-mail

Header blog veilige e-mail MaartenAls je cybercriminelen buiten wilt houden, moet je bij je e-mail beginnen. Het overgrote deel van de cyberaanvallen komt namelijk binnen via onze inbox. Deze blog geeft je een overzicht van de technische kant van e-mailbeveiliging.  

Security is veel meer dan alleen techniek. Awareness en monitoring zijn minstens zo belangrijk als technische beveiliging. Maar techniek is wel de basis. Iedere malafide mail die je kunt uitfilteren is er eentje die niet bij je gebruiker terechtkomt en dus geen risico vormt.

Door je e-mailservers goed te configureren zorg je bovendien niet alleen voor je eigen veiligheid, maar voorkom je ook dat jouw domeinen door cybercriminelen worden misbruikt om andere bedrijven aan te vallen. Daarmee werk je mee aan een veilig e-mail-ecosysteem, maar het voorkomt ook imagoschade. Tijdens het begin van de coronacrisis werd het domein van de Wereldgezondheidsorganisatie bijvoorbeeld misbruikt voor phishingmails. Dat zijn schandalen die je graag wilt voorkomen. 

De basisinstellingen die je voor iedere mailserver moet zetten zijn SPF, DKIM en DMARC.  

SPF.

Het Sender Policy Framework (SPF) bepaalt wie er namens jou e-mails mag versturen. In kleinere organisaties zijn SPF-records redelijk overzichtelijk. Maar ze worden complex in een groot bedrijf waar meerdere CRM-systemen, e-mailmarketingpakketten en ordersystemen e-mails versturen namens je bedrijf. Ook externe partijen, zoals aanbieders van kerstgeschenken op maat of medewerkerstevredenheidsonderzoeken zitten vaak aangesloten op je e-mailsysteem. Het beheren van SPF vereist dus governance en regelmatige aandacht. 

DKIM.

Met DomainKeys Identified Mail (DKIM) voorzie je iedere mail die vanaf je domein verstuurd wordt van een digitale handtekening. Zo kan de ontvanger controleren of er sprake is van spoofing en de mail zo nodig blokkeren. 

DMARC.

Domain-based Message Authentication, Reporting and Conformance borduurt voort op de functionaliteit van SPF en DKIM. Goede DMARC-instellingen vertellen ontvangers van e-mail van ons domein dat SPF en DKIM zijn geconfigureerd. Ze vertellen ook wat een ontvanger moet doen met mails die frauduleus lijken te zijn. 

Het configureren van DMARC en het monitoren van de resultaten is een belangrijke stap naar goede e-mailbeveiliging. DMARC-logs zijn met het blote oog moeilijk te analyseren, daarom gebruiken wij DMARC Analyzer van onze partner Mimecast. Deze tool geeft direct inzicht in wat er aan kwaadaardige e-mail binnenkomt. Ook kun je zien of je eigen domeinen worden misbruikt door cybercriminelen. Dit geeft je de informatie die je nodig hebt om verdere veiligheidsmaatregelen door te voeren. 

Deze analyses hebben ook een functie binnen de organisatie. Wat we veel tegenkomen, zijn bedrijven waar problemen met e-mailbeveiliging, bewust of onbewust, niet gezien worden. 

Omdat er geen inzicht is in het probleem, neemt men aan dat er ook geen probleem is. Vaak schrikken mensen in deze organisaties flink van de resultaten van een eerste DMARC-analyse en krijgt e-mailsecurity ineens veel meer urgentie. 

Exchange Online Protection.

SPF, DKIM en DMARC zijn in principe standaardfunctionaliteiten van iedere e-mailserver. Microsoft Exchange heeft daarnaast ook nog Exchange Online Protection. Deze tool levert een basisfunctionaliteit wat betreft het onderscheppen van spam en bekende malware. Dat was vroeger genoeg om als 'e-maibeveiliging' te gelden, maar in de huidige tijd voldoet het absoluut niet meer. De meeste ransomware is obekende malware en wordt dus niet onderschept door EOP. Draai je nog steeds een mailserver met alleen EOP, bijvoorbeeld omdat je je on-premises mailserver zonder aanpassingen hebt overgezet naar de cloud? Dan is het een kwestie van tijd voordat je aan de beurt komt voor een hack, CEO-fraude of ransomware-aanval. 

Defender 365.

Om je binnenkomende fraudemails effectief te onderscheppen en onschadelijk te maken, heb je geavanceerde tools nodig. Microsoft heeft sinds kort alle securitytooling bijeengebracht onder de noemer 'Microsoft 365 Defender'. Daarbij is Office 365 Advanced Threat Protection omgedoopt tot 'Microsoft Defender for Office 365'. 

De grote kracht van Defender is dat het gebruikmaakt van AI en dus zelf, op basis van data, kan bepalen wat een bedreiging is. Het maakt daarbij niet uit of het gaat om nieuwe malware die het systeem nooit eerder gezien heeft. Door gebruik te maken van patroonherkenning kan Defender ook nieuwe dreigingen identificeren en onschadelijk maken. 

Defender scant niet alleen e-mails, het toetst ook links die in e-mails en documenten staan, zoekt naar aanwijzingen voor impersonation en test scripts en macro's in een 'sandbox'. Dat is een veilige omgeving waar onderzocht wordt wat een script precies doet, voordat het naar de ontvanger mag. 

Preventie.

De belangrijkste functie van Defender bij e-mailbeveiliging is natuurlijk het voorkomen van aanvallen. De filters van Defender verwijderen spam, houden impersonation attacks tegen en checken links, attachments en file shares. Veel malafide mail komt dus nooit meer aan bij gebruikers. 

Detectie.

Maar Defender houdt ook na het doorlaten het gedrag van mails en links in de gaten. Op basis van data die Microsoft wereldwijd verzamelt, kan de AI van Defender verdachte activiteit detecteren in je omgeving en een e-mail eventueel alsnog uit de inbox van een gebruiker verwijderen. 

Onderzoek en herstel.

Defender is zo ingericht dat het veel zaken automatisch kan oplossen en beheerders zo min mogelijk lastigvalt met een stortvloed aan meldingen. De ervaring leert namelijk dat dat leidt tot alert fatigue, waarbij beheerders helemaal niet meer op alerts reageren. Maar als een dreiging niet automatisch kan worden opgelost, informeert Defender de beheerder en biedt een complete set tools voor onderzoek en herstel. 

Beleid en onderhoud.

Alleen geavanceerde tooling is niet genoeg. Je moet hem wel goed instellen, en daar wringt bij veel organisaties de schoen. De kans dat de standaardinstellingen van Defender precies bij jouw eisen en wensen passen is heel klein. Om Defender dus effectief te kunnen inzetten, moet je eerst goed nadenken over hoe je de security van je Microsoft cloud wilt inrichten. En dan is één keer inrichten ook nog eens niet genoeg. Je moet beveiligingsinstellingen continu blijven monitoren. De omstandigheden, de dreigingen en de technologie veranderen de hele tijd. Je securitybeleid moet dus mee veranderen, want e-mailsecurity is nooit 'af'. 

Nieuwsgierig?


Nieuwsgierig hoe jij jouw e-mail optimaal kunt beveiligen, zonder je productiviteit in de weg te zitten? Download nu ons whitepaper over advanced e-mailsecurity en begin vandaag met werken aan een veiliger business!