Goedeavond medetweakers!
Ik zit met een uitdaging bij mijn nieuwe werk. Een collega heeft onlangs een geïnfecteerde Word document geopend. Deze heeft - zo lijkt het - het e.e.a. buit gemaakt aan contactpersonen (Outlook).
Wat wij namelijk sindsdien merken is dat wij e-mails van collega's ontvangen met de welbekende vraag een betaling uit te voeren (in dit geval een factuur te voldoen). Deze spam is ook extern beland, waardoor ik zeker weet dat een stukje programmatuur ergens het e.e.a. uit heeft getrokken.
Het volgende gebeurd:
From: <e-mail adres van ons>
To: <e-mail adres welke bij ons bekend is>
Envelop-from: <willekeurig e-mail adres>
Verzenden vanaf: <legitieme SMTP server van dit willekeurige e-mail adres>
MTA's controleren de mechanismes (SPF/DMARC/DKIM) op de envelope-from waarde. De controle is dus 100% correct. Hierna wordt de e-mail dus gewoon doorgelaten.
Nou lees ik mij in en vertelt het internet mij dat het instellen van DMARC/DKIM (SPF hebben we al) het probleem zou oplossen. Ik kan dit echter technisch in mijn hoofd niet uitwerken: wanneer en waarom gaat de ontvangende MTA wél controle op ONS domein uitvoeren (en de boel rejecten wanneer het niet aan elkaar te koppelen is) wanneer dezelfde constructie in stand gehouden wordt?
Volgens mij zit ik mijn kop te breken over iets simpels of heb ik gelijk wanneer ik zeg dat wij (als domein eigenaar van het e-mail adres achter "From:") hier weinig in kunnen tegenhouden?
Ik zit met een uitdaging bij mijn nieuwe werk. Een collega heeft onlangs een geïnfecteerde Word document geopend. Deze heeft - zo lijkt het - het e.e.a. buit gemaakt aan contactpersonen (Outlook).
Wat wij namelijk sindsdien merken is dat wij e-mails van collega's ontvangen met de welbekende vraag een betaling uit te voeren (in dit geval een factuur te voldoen). Deze spam is ook extern beland, waardoor ik zeker weet dat een stukje programmatuur ergens het e.e.a. uit heeft getrokken.
Het volgende gebeurd:
From: <e-mail adres van ons>
To: <e-mail adres welke bij ons bekend is>
Envelop-from: <willekeurig e-mail adres>
Verzenden vanaf: <legitieme SMTP server van dit willekeurige e-mail adres>
MTA's controleren de mechanismes (SPF/DMARC/DKIM) op de envelope-from waarde. De controle is dus 100% correct. Hierna wordt de e-mail dus gewoon doorgelaten.
Nou lees ik mij in en vertelt het internet mij dat het instellen van DMARC/DKIM (SPF hebben we al) het probleem zou oplossen. Ik kan dit echter technisch in mijn hoofd niet uitwerken: wanneer en waarom gaat de ontvangende MTA wél controle op ONS domein uitvoeren (en de boel rejecten wanneer het niet aan elkaar te koppelen is) wanneer dezelfde constructie in stand gehouden wordt?
Volgens mij zit ik mijn kop te breken over iets simpels of heb ik gelijk wanneer ik zeg dat wij (als domein eigenaar van het e-mail adres achter "From:") hier weinig in kunnen tegenhouden?
The Run of the Golden Bull: https://youtu.be/nJeddv1QbeQ
/u/38159/DirkJan.png?f=community)
:strip_exif()/u/77024/crop60704b71085e6_cropped.gif?f=community)