Hoe werkt e-mailbeveiliging deel 3: IDN


E-mail is nog steeds één van de belangrijkste communicatiemiddelen ter wereld. Maar omdat het een communicatiemiddel is dat niet zonder het internet kan, is veiligheid van groot belang: onbeveiligd e-mailverkeer kan betekenen dat het afgeluisterd of misbruikt kan worden. In deze serie gaan we dieper in op problemen die kunnen voorkomen bij het niet, of verkeerd, beveiligen van e-mailverkeer.

Deel 3: IDN

In het artikel van vorige week over spoofing was te lezen dat spoofers misbruik maken van slecht, of niet, beveiligde mailservers en DNS configuraties om mailtjes te kunnen versturen onder een valse naam. Zo kunnen ze zich bijvoorbeeld voordoen als een bank, of een overheidsinstelling. Hiervoor misbruiken spoofers graag een van origine legitiem systeem: IDN-domeinnamen.

IDN staat voor Internationalised Domain Name, oftewel een domeinnaam die gebruik maakt van ten minste één teken uit een ander alfabet dan het Latijnse alfabet, zoals het Chinese, Cyrillische of Hebreeuwse alfabet. Deze domeinnamen worden opgeslagen in de DNS als combinatie van ASCII, het Latijnse alfabet en bijzondere tekens, en Unicode, het uitgebreide codesysteem waarin alle bijzondere alfabetten en tekens zijn opgeslagen. Zo kunnen ze over het hele internet worden uitgelezen en gebruikt als Punycode: een combinatie van de Unicode- en de ASCII-tekens, gemarkeerd met het voorzetsel ‘xn--‘. Bij het gebruiken van een IDN-domeinnaam weet de browser in beide gevallen welk domein gezocht wordt.

IDN2


Scammers maken misbruik van deze standaard door domeinnamen vast te leggen die ogenschijnlijk exact hetzelfde zijn als de originele domeinnaam, en vanuit die domeinnaam mensen te benaderen met hun oplichtingsmail. Een dergelijke tactiek heet een homograph attack, omdat de woorden elkaars homograaf zijn: ze worden ogenschijnlijk hetzelfde geschreven.

IDN

Hoewel het logisch zou zijn dat dit soort domeinnamen niet vastgelegd zouden mogen worden, is het in de werkelijkheid erg moeilijk om dit misbruik aan banden te leggen. Domeinnamen die alarmbellen zouden moeten doen rinkelen, horen eigenlijk bij de registrars die de domeinnamen registreren op te vallen. Elke registry heeft echter hun eigen regels wat betreft het mogen registreren van domeinnamen. Ook het valideren van het bedrijf of de persoon die de registratie wil doen, ligt volledig in hun handen. De ICANN, de overkoepelende organisatie verantwoordelijk voor het beheer en de procedures omtrent domeinnamen, heeft wel richtlijnen opgezet voor het gebruik van IDN-domeinen. Daarnaast heeft de ICANN ook een meldpunt voor misbruik van domeinnamen. Ondanks die uitgebreide regelgeving glippen domeinnamen die puur gebruikt worden voor spam en phishing, er toch regelmatig doorheen.

In de verdediging

Helaas is er geen echte verdediging tegen dit soort oplichterij omdat de domeinnaam een echt vastgelegd domein is. Systemen als SPF, DKIM en DMARC zullen deze mailtjes niet af kunnen vangen omdat die alleen controleren of de domeinnaam waarvandaan verstuurd wordt wel bestaat. Veel mailclients zetten IDN-domeinen ook standaard al om in Unicode, waardoor homografische domeinen niet opvallen. Een simpel mailscriptje is al genoeg om de meeste mailclients om de tuin te leiden

punycode-scammer2-1

De beste verdediging tegen dit soort oplichters is dan ook altijd nog het gezonde verstand. Als u ongevraagd benaderd wordt via e-mail door uw bank, een overheidsinstantie of een webshop, geef dan nooit uw persoonlijke gegevens af en onthoudt dat uw bank u nooit om uw rekeninggegevens of zelfs uw pincode zal vragen. Klik niet zomaar op linkjes in de e-mail, maar ga zelf indien nodig in de browser naar de website. Twijfelt u over de echtheid van de e-mail? Dan kunt u het beste zelf telefonisch contact opnemen met de instantie of het bedrijf in kwestie.

Conclusie

De beveiliging van uw e-mail hangt dus samen van meerdere elementen. Met een SSL-certificaat versleutelt u uw berichten en e-mailverkeer, waardoor ze niet onderschept kunnen worden, en verdedigt u uw mailservers tegen grijpgrage vingers van buitenaf. Met de toepasbare technieken van SPF, DKIM en DMARC kunt u uw DNS-configuratie inzetten om te voorkomen dat spoofers zich voordoen als u naar uw klanten. En door altijd goed op te letten en niet zomaar te klikken op linkjes of bijlagen, verdedigt u uw mailserver, uw computer, en uw eigen gegevens van IDN-scammers.

Bekijk hier deel 1 en 2

Advertentie: De inhoud van dit blok bevat een mededeling van onze partner

Dit artikel wordt u aangeboden door Networking4all

Networking4all is een deskundige en service gerichte leverancier van SSL certificaten, veiligheidsscans en overige internet security producten. Networking4all bedient a-merken die actief zijn in branches zoals de detailhandel, zakelijke dienstverlening, ICT, industrie, gezondheidszorg, onderwijs en overheid.

Al sinds 2000 wordt Networking4all door haar klanten gewaardeerd voor de persoonlijke service, vakkennis en snelle levering. Networking4all is tevens preferred partner van de meest vertrouwde SSL merken, zoals Symantec, Thawte, GeoTrust, Certum en GlobalSign.

Bekijk direct ons aanbod, bescherm uw website of word reseller.

Geschreven door Stefanie Weber (Networking4all)

Dit ingezonden artikel is geschreven door Stefanie Weber van Networking4all.

Lees ook de onderstaande artikelen van Networking4all

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

ISPam.nl Job board

Nog geen reacties

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

GDPR: de finale klap voor kleine hosters?
Mario: "Data komt op straat te liggen na een DDOS-je" :P

16 hosting en datacenter tweets: Nieuwe routers, sportief 2017, upcoming events, taart en 20 jarig bestaan
Sambal: @ispam Just curious hoe "monitoren" jullie nieuws? Komt dat vanuit ispgids oid?

Hosters en prijzen exclusief btw: anno 2017 moet dat afgelopen zijn
Ronald: Goed dat de nadruk ligt op hosters die óók (of vooral) aan particulieren leveren. Dat maakt gelij...

Nog geen patch voor extreem kritisch lek in PHPmailer
Marin: Volgens mij stuurt patchman niet zomaar mails naar je klanten.. Ligt echt aan je eigen beleid.