zomerse security email forwarding

Deze zomer gaat Networking4all even terug naar de basis: een lekkere frisse informatie-snack om het hoofd mee koel te houden, en uw data superveilig. In hoofdstuk 4 kijken we naar een dienst die nadelig kan zijn voor uw bedrijf: e-mail forwarding.

Hoofdstuk 4: e-mail forwarding
Wie een eigen identiteit op het internet wil aannemen, kan een domeinnaam registreren. Wanneer u een domeinnaam registreert , wordt hier vaak een gratis e-mail forwarding dienst bij aangeboden. Hiermee kunt u e-mail die verstuurd wordt aan uw domeinnaam door laten sturen naar een andere inbox die u al in gebruik heeft, zoals uw Gmail, Outlook of Yahoo account.

Nadelen
In deze tijd van spam, virussen en onveiligheid op het internet worden spamfilters en mailservers steeds beter beveiligd. Daarnaast neemt de verzendende partij ook vaak maatregelen om het spoofen van hun domeinnaam voor spam-mail te voorkomen door het toepassen van SPF en DMARC.

Een doorstuur-service zoals deze forwarding dienst werkt namelijk als volgt:email forwarderEen afzender, in dit geval support@dropbox.com, verstuurt een mailtje naar Donny op het e-mailadres donny@domeinnaam.nl. De mailserver waar dit mailtje op binnenkomt, ziet in een tabel staan dat mail naar donny@domeinnaam.nl doorgestuurd moet worden naar donnydomain@gmail.com, en stuurt deze één op één door naar de Gmail-inbox van Donny. Omdat het direct is doorgestuurd zonder aanpassingen te maken, ziet Gmail dit mailtje als een mail verstuurd van support@dropbox.com naar donny@domeinnaam.nl en wordt het als dusdanig getoond aan Donny.

In theorie klinkt dit heel goed. Maar in de praktijk is dit niet ideaal. De e-mail is namelijk niet direct binnengekomen op de mailserver van Gmail, maar kwam via de doorstuurservice van Networking4all, waar domeinnaam.nl geregistreerd staat. En daar gaat het mis: dit lijkt op spoofing! Omdat Networking4all deze mail niet aanpast en direct doorstuurt, lijkt het er op dat Networking4all e-mail verstuurt namens Dropbox. Dat vinden de meeste spamfilters verdacht, en zullen die mailtjes er dus uitvissen.

SPF en DMARC
Daar komt nog eens bij dat het domein dropbox.com SPF en DMARC heeft ingesteld:

SPF:

$ dig +short TXT dropbox.com
“v=spf1 ip4:45.58.64.0/20 ip4:185.45.8.0/22 ip4:162.125.0.0/16 ip4:199.47.216.0/22 ip4:108.160.160.0/20 ip4:205.189.0.0/25 ip6:2001:470:841d::/64 ip6:2620:C6:8000::/48 include:_spf.google.com include:mail.zendesk.com include:mktomail.com ~all”

DMARC:

$ dig +short TXT _dmarc.dropbox.com
“v=DMARC1\; p=quarantine\; fo=1\; pct=100\; rua=mailto:dropbox@rua.agari.com,mailto:dmarc@dropbox.com\; ruf=mailto:dropbox@ruf.agari.com”

Dit betekent dat alle spamfilters die controleren op SPF, DKIM en DMARC deze mail dus niet zullen vertrouwen als deze via de forwarding service wordt doorgestuurd. Zo kan belangrijke e-mail verloren gaan of in de spambox verdwijnen.

Het oog wil ook wat
Een ander nadeel waar mensen die een forwarding service gebruiken voor professionele doeleinden misschien niet over nadenken, is dat de mail wel verstuurd kan worden naar donny@domeinnaam.nl, maar dat Donny zelf geen mail kan versturen vanaf dat e-mail adres. Als u een forwarding service gebruikt voor uw zakelijke e-mail, zou dat dus betekenen dat uw klanten al uw reacties ontvangen vanaf het Gmail, Hotmail of Yahoo-adres waar u uw mail naartoe laat forwarden. Dat oogt minder professioneel.

SRS als oplossing
Omdat forwarding dankzij SPF niet goed meer kan werken, heeft men hier een oplossing voor geprobeerd te bedenken. Dit Sender Rewriting Scheme, oftewel SRS, herschrijft het adres van de afzender naar een format dat niet meer letterlijk het adres is van de afzender zodat het niet meer lijkt op spoofing. Dit zogenaamde Envelope Sender format ziet er dan als volgt uit:

Deze nieuwe afzender is niet zichtbaar in de mailclient en wordt alleen opgenomen in de headers. De mailserver die de e-mail doorstuurt met de nieuwe header slaat deze ook tijdelijk op in een database.

Maar steeds meer mailservers kijken verder dan hun neus lang is en zien dwars door deze techniek heen. Een goed voorbeeld is Gmail: als u vanuit Gmail.com een e-mail verstuurt naar donny@domeinnaam.nl, en deze wordt dankzij de forwarding service naar donnydomain@gmail.com doorgestuurd, zal Gmail deze e-mail als spam zien en dus in de spambox zetten.

Een ander groot nadeel van SRS is dat de mail de weg kan kwijtraken als hij meerdere malen doorgestuurd wordt door forwarding services, en zo zelfs helemaal nooit zou kunnen aankomen.
SRS is dus niet direct een goede oplossing.

Wat dan wel?
Om meer controle over uw e-mail te hebben en te houden, en de kans wil verkleinen dat e-mail door de mailservers en spamfilters tegengehouden wordt, is het aan te raden om een simpele e-mail dienst af te nemen. Dit kan een simpel e-mail pakket zijn bij Google, Microsoft of Zoho. Via deze e-mail diensten is het vaak ook mogelijk om uw e-mail beter te beveiligen en te volgen. Ook kunt u dan netjes e-mail versturen vanuit uw domeinnaam, en kunt u gebruik maken van technieken zoals SPF, DKIM en DMARC.

Volgende week bekijken we het verschil tussen IPV4 en IPV6.

Categorie  Hosting | Tags  e-mail Security