Beheer

Security
mail

Spoofbaar RIVM had mailbeveiliging weer uitgezet

Fix tegen mailspoofing snel doorgevoerd, want was eerder al even ingevoerd geweest.

© Google
8 april 2020

Fix tegen mailspoofing snel doorgevoerd, want was eerder al even ingevoerd geweest.

Het RIVM heeft zich snel weten te beschermen tegen het ontdekte (en verantwoord gemelde) gevaar van mailspoofing op zijn domein. Het instituut dankt deze snelheid aan het feit dat de bescherming eerder al is ingevoerd, maar toen is uitgeschakeld. Dit blijkt uit antwoorden van een woordvoerster op vragen van AG Connect.

Onbevoegden konden mails versturen uit naam van het RIVM, en ook de Rijksoverheid. Daarbij konden deze valse berichten zo gespoofed worden dat ze niet gevangen zouden worden door spamfilters. Deze kwetsbaarheid is ontdekt en vervolgens gemeld door RTL Nieuws, waarna het RIVM en de Rijksoverheid het binnen enkele uren oplosten. Het bleek te gaan om het ontbreken van DMARC (Domain-based Message Authentication, Reporting and Conformance), een protocol voor authenticatie van mails waarmee phishing valt te bestrijden. Daarvoor moeten mailservers dit wel ingesteld hebben voor hun domeinnamen.

Prioriteiten

Het instellen van DMARC is met prioriteit opgepakt, vertelt een woordvoerster van het RIVM aan AG Connect. Dit securityprotocol voor mail - en daarmee in wezen ook de kwetsbaarheid - bleek al bekend te zijn bij het Rijksinstituut voor volksgezondheid en milieu. "Het was een tijdje terug al ingesteld. Maar toen bleken enkele applicaties niet meer te werken", legt de woordvoerster uit.

Vervolgens is deze voorziening voor mailsecurity weer uitgeschakeld. Dit om dan ná aanpassing van de getroffen applicaties op een gegeven moment weer ingeschakeld te kunnen worden. "We hebben sindsdien wel gemonitord, op misbruik", benadrukt de woordvoerster nog. Toen het bij de RIVM gemeld werd dat mailspoofing mogelijk was, is de overheidsinstantie overgegaan tot heractivering van DMARC. Het besef was namelijk dat naast verantwoorde journalisten nu ook anderen zouden kunnen zoeken naar deze kwetsbaarheid, aldus de woordvoerster.

Andere tijden

Wanneer de initiële DMARC-activering precies was en wat nu de status is van toen gehinderde applicaties is nog onbekend. AG Connect heeft vervolgvragen hierover uitstaan bij het RIVM. Mogelijk was er al sprake van aanpassing waardoor de DMARC-incompatibele applicaties nu wel naar behoren werken. Of mogelijk wordt die werking nu als acceptabel 'offer' gezien. "De tijden zijn wel heel anders nu" dan toen bij de oorspronkelijke invoering van DMARC, voegt de woordvoerster nog toe.

1
Reacties
Rolf E. Sonneveld 11 april 2020 23:57

<quote>
Het RIVM heeft zich snel weten te beschermen tegen het ontdekte (en verantwoord gemelde) gevaar van mailspoofing op zijn domein.
</quote>

Opnieuw worden er magische krachten toegedacht aan DMARC. DMARC is echter niets meer dan een verzoek aan de ontvanger van mail om de gepubliceerde policy toe te passen. Het helpt op zijn hoogst _een deel_ van alle spoofing mail af te vangen, zeker niet alle. Ontvangers (waaronder de grote mail service providers als Gmail, outlook.com etc.) gebruiken een 'DMARC failure' resultaat samen met veel andere informatie over een bericht om te besluiten om een bericht wel/niet door te laten. Dat kan betekenen dat een spoofed bericht nog steeds wordt afgeleverd in de inbox van de ontvanger, DMARC policy=reject of niet.

Het wordt tijd dat men zich gaat realiseren dat DMARC op zijn hoogst een deel van de problemen kan oplossen en zeker niet het hele probleem van spoofing. Te vaak wordt beweerd dat DMARC kan helpen om je domein te beschermen. Het kan op zijn hoogst helpen beschermen, maar geen nooit garanties geven dat spoofing uit naam van jouw domein niet meer mogelijk is. Als zender bepaal je namelijk niet wat de ontvanger met je bericht doet, je kunt het enkel vragen...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.