Hoe onze klant meer kreeg dan alleen inzicht in e-mails – klantcase DMARC oplossing.

 

 

Een overheidsorganisatie vroeg ons om te zorgen voor meer inzicht in de herkomst van e-mails. Maar stiekem wilde de klant nog meer. Nu worden ook phishing-mails gefilterd. Een project met een intensieve samenwerking leverde een mooi resultaat op.

 

Zoals altijd begon het project er voor ons mee dat we de klantvraag uitgebreid onderzochten. We implementeerden DMARC, een authenticatie-protocol. Dat zorgt voor inzicht in de afkomst van e-mails. Ook foutmeldingen in de samenwerking tussen DKIM en SPF – twee andere standaarden die nodig zijn om de integriteit van e-mails te verifiëren – worden daardoor zichtbaar.

 

Maar de klant had nog een onderliggende wens: de rapportages gebruiken om bij problemen actie te kunnen ondernemen. Bijvoorbeeld om misbruik van e-mails vanuit zijn naam tegen te gaan. De organisatie wilde daarvoor geen nieuwe tool. Het probleem was dat de DMARC-oplossing niet voldoende was om aan die wens te voldoen.

 

We kozen voor Splunk en hebben de rapportages daarin geïmplementeerd. De klant vindt nu in een dashboard alle informatie over het e-mailverkeer en kan daarmee ook phishing-aanvallen direct herkennen.

 

Doorgronden
Hoe zit de nieuwe oplossing technisch in elkaar? We hebben eerst scripts geschreven die ervoor zorgen dat de DMARC-rapportage binnenkomt in EDAP, ons platform op basis van Splunk. Daarna kwam de grootste uitdaging. Om kwalitatief goede dashboards te ontwikkelen moesten we precies snappen hoe DMARC werkt. Daarvoor zijn we de RFC 7489 gaan doorgronden. In die request for comments worden de standaarden vastgelegd. Zoals gezegd: DMARC is voor een goede werking afhankelijk van DKIM en SPF, dus ook die RFC’s moesten worden bekeken. Voor zover bij ons bekend is dit nooit eerder zo uitvoerig onderzocht. We kwamen op die manier uiteindelijk in de appendix C van RFC 7208 (SPF) terecht en hebben daar onze oplossing op gebaseerd.

We zagen dat macro’s gebruikt kunnen worden in SPF-records. Dus waarom zouden we die macro’s niet gebruiken om ook informatie op te vragen? Dat hebben we gedaan. We implementeerden een track-and-trace-code waardoor de klant ziet waar (welk IP-adres) een e-mail vandaan komt. Het is ook zichtbaar welke mails er buiten de eigen omgeving vanuit een domein van de klant worden verstuurd. Onze oplossing is de eerste en enige oplossing die real-time inzicht geeft in phishing die gebruik maakt van jouw domein.

 

Echte behoefte
Het aantal inkomende spam- en phishingmails neemt door deze oplossing niet af. Het gaat om het krijgen van inzicht in misbruik van de klantdomeinen. We gingen in dit project een stap verder en daardoor paste de eindoplossing nog beter bij de echte behoefte van de klant.

Kan dit ook bij u? Waarschijnlijk wel. De DNS-records moeten op orde zijn en de DNS-logs moeten in het dataplatform worden ingeladen. Ook is er inzicht in de eigen mailomgeving nodig. Voor Splunk-gebruikers is er een app met daarin een dashboard beschikbaar die ondersteunt bij het bepalen van de noodzakelijke DNS-records.

 

Wilt u meer weten over deze DMARC-oplossing en het bestrijden van misbruik van uw domeinen voor phishing-mails? Lees dan hier onze productsheet, neem telefonisch contact met ons op via +31 (0)88 018 4100 of  via het contactformulier.