E-mail spoof terwijl verzender DMARC heeft - Privacy en beveiliging

donderdag 4 november 2021 14:41

Acties:

0 Henk 'm!

Topicstarter

Goedemiddag mede tweakers,

Ik heb een vraag over de werking van DMARC records en hoe het in onderstaande situatie nu precies zit.
De situatie:

E-mail van zender stuurt mail naar ontvanger

Zender heeft DMARC record.
Ontvanger heeft GEEN DMARC record opgezet.

E-mail is gespoofed en factuur (pdf) is aangepast maar wel onder de zender zijn exacte e-mail adres verstuurd.

Zender geeft aan geen vreemde dingen te kunnen vinden in hun Exchange server/DMARC records, en zegt dat het niet aan hun kant ligt.

Maar in mijn beleving maakt het geen bal uit of de ontvanger DMARC heeft ingesteld of niet.
Omdat de mailserver van de ontvanger toch kijkt in de DMARC records van de zender of deze legit is op een aantal criteria die daar ingesteld zijn?

Ik ben op dit vak niet echt sterk, maar ik dacht dat het zoals hierboven beschreven ongeveer werkt.
Hieronder nog een afbeelding die volgens mij theorie bevestigd.

Afbeeldingslocatie: https://tweakers.net/i/ZthOUHhmSlwbTfzsjuLUePCpZhk=/800x/filters:strip_exif()/f/image/M5PRW86rFOxeptwFBzCutRuB.png?f=fotoalbum_large

donderdag 4 november 2021 14:46

Acties:

0 Henk 'm!

gekkie

FIFA HENRY 14 schreef op donderdag 4 november 2021 @ 14:41:
E-mail is gespoofed en factuur (pdf) is aangepast maar wel onder de zender zijn exacte e-mail adres verstuurd.

Zender geeft aan geen vreemde dingen te kunnen vinden in hun Exchange server/DMARC records, en zegt dat het niet aan hun kant ligt.

Maar in mijn beleving maakt het geen bal uit of de ontvanger DMARC heeft ingesteld of niet.
Omdat de mailserver van de ontvanger toch kijkt in de DMARC records van de zender of deze legit is op een aantal criteria die daar ingesteld zijn?

Het gaat er om of de ontvanger (en / of haar mailserver) de SPF records en DKIM checked.
Theoretisch zou je in de mail headers moeten kunnen kijken aangezien de meeste servers de resultaten van zo'n check wel in de mail headers toevoegen.

DMARC geeft vervolgens alleen maar een hint (de policy reject, quarantine), wat de verzender denkt dat voor de ontvanger verstandig is om te doen met de mail indien SPF en/of DKIM niet valide zijn.
De ontvanger kan en mag dit vervolgens prima negeren en de mail afleveren, dat is en blijft de ontvanger z'n probleem.

donderdag 4 november 2021 14:53

Acties:

0 Henk 'm!

FIFA HENRY 14

Topicstarter

gekkie schreef op donderdag 4 november 2021 @ 14:46:
[...]

Het gaat er om of de ontvanger (en / of haar mailserver) de SPF records en DKIM checked.
Theoretisch zou je in de mail headers moeten kunnen kijken aangezien de meeste servers de resultaten van zo'n check wel in de mail headers toevoegen.

DMARC geeft vervolgens alleen maar een hint, wat de verzender denkt dat voor de ontvanger verstandig is om te doen met de mail indien SPF en/of DKIM niet valide zijn. De ontvanger kan en mag dit vervolgens prima negeren en de mail afleveren, dat is en blijft de ontvanger z'n probleem.

Vergeten toe te voegen deze worden inderdaad ge-checked
Maar hier staat dat de dkim en spf record is gechecked?
Afbeeldingslocatie: https://tweakers.net/i/FE0-4CCEt-7DpqBceasgX8JRD6o=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/XcxDqinqx4RdkgpaE6JQyP8W.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/FE0-4CCEt-7DpqBceasgX8JRD6o=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/XcxDqinqx4RdkgpaE6JQyP8W.png?f=user_large

[ Voor 5% gewijzigd door FIFA HENRY 14 op 04-11-2021 15:16 ]

donderdag 4 november 2021 15:00

Acties:

0 Henk 'm!

Sebazzz

3dp

DMARC is inderdaad alleen maar een policy. Gooi je e-mail eens door https://www.mail-tester.com/ heen, die laat ook goed zien of je SPF/DMARC/DKIM in orde is.

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

donderdag 4 november 2021 15:03

Acties:

0 Henk 'm!

gekkie

Ik zie zo op het eerste gezicht weinig vreemds en verwacht ook niet dat outlook.com wat de ontvanger lijkt te zijn er niet op aan zou slaan als dat wel het geval was geweest.

Alles sluit natuurlijk niet uit dat de email vanaf een gecompromitteerde machine is verstuurd die valide credentials heeft voor die mailserver. (Of dat de persoon aan de andere kant van de lijn zelf de gecompromitteerde is en de handel heeft aangepast).
Daar doet het hele SPF, DKIM en DMARC circus niets aan.

[ Voor 74% gewijzigd door gekkie op 04-11-2021 15:20 ]

donderdag 4 november 2021 15:13

Acties:

0 Henk 'm!

FIFA HENRY 14

Topicstarter

Thanks voor de snelle antwoorden allereerst.
Als je de mail bekijkt kloppen er ook visueel heel veel dingen niet bijvoorbeeld aangepaste bankgegevens en rare alligments van de e-mail überhaupt.
Dus dat is de fout van de ontvanger alleen zegt de zender dat de DMARC van de ontvanger niet goed is ingesteld wat ook klopt, maar dit was naar mijn weten helemaal niet relevant, vandaar dat ik dat hier nog even wilde verifiëren.

donderdag 4 november 2021 15:17

Acties:

0 Henk 'm!

FIFA HENRY 14

Topicstarter

[quote]gekkie schreef op donderdag 4 november 2021 @ 15:03:
Ik zie zo op het eerste gezicht weinig vreemds en verwacht ook niet dat outlook.com wat de ontvanger lijkt te zijn er niet op aan zou slaan als dat wel het geval was geweest.

Alles sluit natuurlijk niet uit dat de email vanaf een gecompromitteerde machine is verstuurd die valide credentials heeft voor die mailserver. (Of dat de persoon aan de andere kant van de lijn zelf de gecompromitteerde is en de handel heeft aangepast).
Daar doet het hele SPF, DKIM en DMARC circus niets aan.

[ Voor 13% gewijzigd door FIFA HENRY 14 op 04-11-2021 15:36 . Reden: niet meer van toepassing. ]

donderdag 4 november 2021 15:21

Acties:

+1 Henk 'm!

gekkie

FIFA HENRY 14 schreef op donderdag 4 november 2021 @ 15:17:
[...]

potverdomme mijn fout nu maakt het niet heel veel uit maar kan je ook al is het alleen voor member even aanpassen heb de afbeelding vervangen b.v.d.

Done.

donderdag 4 november 2021 15:23

Acties:

0 Henk 'm!

Caeruleus

Je hebt zowel het "From" en "Mailfrom" adres weg gelakt dus ik neem aan dat beide het echte domein van de afzender bevatte?
Als zowel SPF als DKIM kloppen dan zit er toch echt iets fout bij de afzender van de email. Het is niet mogelijk voor een spammer om zowel SPF als DKIM te faken, dat is het hele idee achter het DMARC protocol

Edit: als de ontvangende server Office 365 is dan wordt een email die niet door de DMARC check komt aangemerkt als spoof : https://docs.microsoft.co...nd-email-that-fails-dmarc

Edit edit: Ik zie nu dat het DMARC result "bestguesspass" is. Dit krijg je bij MS als de email wel DKIM signed is maar het domein geen DMARC record heeft. Het domein dat eerder werd gepost heeft wel een DMARC record dus geen idee waar bestguesspass vandaan komt maar met onvolledige headers is het wat lastig uit te zoeken.

[ Voor 51% gewijzigd door Caeruleus op 04-11-2021 15:34 ]

no animals were harmed during the production of this message

donderdag 4 november 2021 15:24

Acties:

0 Henk 'm!

gekkie

FIFA HENRY 14 schreef op donderdag 4 november 2021 @ 15:13:
Thanks voor de snelle antwoorden allereerst.
Als je de mail bekijkt kloppen er ook visueel heel veel dingen niet bijvoorbeeld aangepaste bankgegevens en rare alligments van de e-mail überhaupt.
Dus dat is de fout van de ontvanger alleen zegt de zender dat de DMARC van de ontvanger niet goed is ingesteld wat ook klopt, maar dit was naar mijn weten helemaal niet relevant, vandaar dat ik dat hier nog even wilde verifiëren.

DMARC van de ontvanger is niet van invloed, instellingen mailserver ontvanger wel, maar zoals ik al zei dat lijkt outlook.com te zijn en die zal mail met falende SPF of DKIM niet doorzetten of op z'n minst in de spam folder mikken.

Volgens https://mxtoolbox.com/ was de verzende mailserver tevens geen openrelay.

Dus meest waarschijnlijke lijkt mij dat die webshop gehacked is en er dus uit naam van die webshop gemailed kan worden, wellicht gewoon middels de webshop software / CMS waar de gegevens in gewijzigd zijn / worden.

Dus ik denk dat die club z'n machine eens mag gaan inspecteren (en zorgen dat als je op ip-adres binnenkomt je niet op hun cpanel ding stuit

[ Voor 4% gewijzigd door gekkie op 04-11-2021 15:30 ]

zaterdag 6 november 2021 09:38

Acties:

0 Henk 'm!

laurens0619

@FIFA HENRY 14
Stuur anders even de raw headers in een DM kan ik even meekijken

[ Voor 12% gewijzigd door laurens0619 op 06-11-2021 09:39 ]

CISSP! Drop your encryption keys!

dinsdag 9 november 2021 07:56

Acties:

0 Henk 'm!

Darses

Ik mist even wat DMARC hier zou uithalen. Zowel DKIM als SPF staan op pass. Als de verzendende partij een strikte DMARC policy zou hebben zou deze mail ook doorgelaten worden. Het lijkt mij dat deze e-mail dus gewoon 'legitiem' verstuurd is via de verzendende e-mailserver. Sterker nog, door de DKIM handtekening te controleren kan je bewijzen dat deze e-mail door hun server is verstuurd. (Mits je aanneemt dat die sleutels niet gelekt zijn.)

dinsdag 9 november 2021 09:35

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Staat de DMARC zeker goed en ook op reject en niet op bijv. none? En geen typefoutjes, verkeerde volgorde, oid. in het record?

FIFA HENRY 14 schreef op donderdag 4 november 2021 @ 14:41:
Zender heeft DMARC record.

Je bedoelt het domein van het nagemaakte afzendadres? De domeinnaam die ik kort denk te hebben gezien voor de edit van de post, heeft geen DMARC. En ook in de nog wel zichtbare tekst staat dat er geen DMARC record is. (edit: en de spf staat op ~all)

Maar inderdaad zoals @Darses zegt, dat maakt niet eens uit als het door de controles komt.

Alsnog dezelfde server gebruikt? Of het is toch net-niet het zelfde domein. Punycode, een l ipv I, zoiets?

gekkie schreef op donderdag 4 november 2021 @ 15:03:
Alles sluit natuurlijk niet uit dat de email vanaf een gecompromitteerde machine is verstuurd die valide credentials heeft voor die mailserver. (Of dat de persoon aan de andere kant van de lijn zelf de gecompromitteerde is en de handel heeft aangepast).
Daar doet het hele SPF, DKIM en DMARC circus niets aan.

Of de mailserver open staat voor de hele wereld.

[ Voor 27% gewijzigd door F_J_K op 09-11-2021 09:42 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 7 december 2021 21:30

Acties:

0 Henk 'm!

bw_van_manen

Als het verzendende domein een DMARC record heeft, maar je in de mail headers ziet dat Outlook.com voor DMARC een bestguess volgt dan heeft Outlook.com dat DMARC record dus niet goed kunnen vinden. Het kan een probleem zijn met hoe het record gepubliceerd is (intern vs extern), maar dat kun je zelf eenvoudig controleren via een externe site om je DMARC record te testen.

Als je DMARC record wel goed staat dan zou er nog sprake kunnen zijn van een Homograph attack. De aanvaller gebruikt dan een domein dat lijkt op het echte domein, maar alleen visueel vergelijkbare karakters heeft. Als dat het geval is dan hebben ze wel veel moeite gedaan om jouw domein aan te vallen, dus een goede reden om vanaf nu extra waakzaam te zijn.

Pagina: 1

Reageer