Valt spoofing op te lossen?

[Aloys]

Hoi,

een vraagje voor de ICT-deskundigen onder ons:
een camperende vriend van me heeft problemen met "spoofing". Ik heb daarom eens contact opgenomen met mijn provider (daar heeft hij zijn website ook, via mij, ik ben indirect zijn provider).

Zo vroeg ik aan de chat-helpdesk:

Ik laat alle email van mijn domeinnaam donna-antonia.nl doorsturen naar een ander adres. Ik heb dus alleen aliassen, geen enkel account. Maar mijn emailadres wordt wel misbruikt voor spoofing: er wordt veel spam verstuurd vanuit het emailadres van donna-antonia.nl en alle spam die onbestelbaar is krijg ik keurig doorgestuurd op mijn normale emailadres.
Kan ik het verzenden van email vanuit donna-antonia.nl ook gewoon blokkeren?

Het antwoord:

Ik begrijp dat uw mail alias wordt gespoofed.
Spoofing wil zeggen dat een derde partij via een externe server mails verstuurt met uw adres als afzender.
Specifieke eigenschappen van het e-mailbericht, zoals From (Van), Return-Path (Afzender) en Reply-To (Antwoorden naar) worden gewijzigd. Hierdoor lijkt het alsof de e-mail afkomstig is van een andere bron. Hiervoor is geen toegang nodig tot uw account aangezien de e-mail verstuurd wordt door een externe server.

Ik weer:

Ik begrijp dat het via een externe server komt, dus eigenlijk kan ik daar zelf niets aan doen?
Het is niet zo dat mijn/jullie (one.com) server daarvoor wordt misbruikt?

Antwoord:

Klopt, daar is helaas weinig aan te doen.

Mijn vriend baalt er echter vreselijk van. Hij krijgt elke dag enkele tientallen mailtjes zogenaamd retour (hij heeft ze echter nooit verzonden) omdat die niet konden worden afgeleverd. Hij vraagt zich af hoeveel honderden mailtjes per dag er wél worden verstuurd met zijn naam eronder...

Is hier echt niets tegen te doen?

[jheeck]

Hoi Aloys,

Tegen spoofing is vrij weinig te doen, mailprotocollen zijn opgesteld toen het internet nog voornamelijk bevolkt werd door mensen die elkaar konden vertrouwen.

DMARC is een veelbelovende techniek maar dan moet iedereen daar wel aan meewerken. Als DMARC goed werkt krijg je daar als echte houder van het gespoofde adres helaas nog wel meldingen van.

Ik heb op mijn domeinen de 'catch all' uitgezet zodat het aantal actieve mailadressen zeer beperkt is, dat scheelt al.

[WimZ]

Catch all uitzetten helpt in wat je binnenkrijgt. Maar het versturen met jouw email adres gaat net zo hard door.
Als het dus vervelend gevonden wordt dat er met je email adres verstuurd wordt heb je gewoon pech want je doet er niets aan.

[jheeck]

Dat had ik er even bij moeten zetten, ja, het helpt niet tegen spoofing maar vermindert de retourstroom een beetje,

[theredhead]

Hoi aloys,


Probeer iig een spf record in te richten op het domein. Dmv een txt dns record waarin de "geautoriseerde" mailserver staat waar namens de mail mag worden verzonden. Dit kan al een hoop ongewenst verzonden mail voorkomen aangezien ontvangende mailserver hier vaak op controleert en mail niet afkomstig van je geautoriseerde mailserver standaard naar spam verplaatst / verwijderd afhankelijk van de instelling op de mailserver.

Hiernaast kan als het extra stap ook een dmarc record worden ingericht welke een digitale handtekening toevoegt aan de verzonden mailberichten om authenticiteit te garanderen.

Zie o.a. Mxtoolbox punt com voor verdere details.

[Camperic]

Relevante informatie:

Spoofing: voorkom misbruik van je e-mailadres

Deze test de betrouwbaarheid van de meest gangbare e-mailbeveiligingsstandaarden zoals Sender Policy Framework (SPF). Na het doorlopen van de test krijg je een rapport en een score die aangeven hoe goed je maildomein beveiligd is. Aan de hand van het testresultaat verbeter je je e-mailbeveiliging.

[Aloys]

Ik heb voor hem al wat dingen gedaan (SPF, dmarc-record aangemaakt) maar ik weet niet of ik dat wel correct gedaan heb, bij gebrek aan kennis en ervaring. De helpdesk-chat merkte nog wel op: "SPF hebt u al".

[willianv]

Mr toolbox punt com is een site waar je veel kunt checken mbt mailinstellingen.
Zorg ook dat je mailserver geen open relay heeft.


Verzonden vanaf mijn iPhone met Tapatalk

[seth_space]

Al deze oplossingen zijn prima verbeteringen voor je mailserver maar lossen het probleem niet op.

Als ik in mijn mail client als afzender adres invul:
Aloys@camperforum.nl dan zal een ontvanger blijven denken dat het mailtje van aloys komt.
Daar is niets tegen te doen.

Bij analyse van de header zul je wel zien dat het afzender adres niet klopt met de versturende server, maar dat doet 99% van de mensen niet.

Dit soort misbruik verdwijnt na enige tijd vanzelf. Let wrl op dat je mail server niet blacklisted wordt door misbruik.
Dat kun je controleren op:
https://mxtoolbox.com/blacklists.aspx

[DJSmiley]

SPF, DKIM en DMARC zijn de meest gebruikte (en ondersteunde) opties

Overigens:

alle email van mijn domeinnaam donna-antonia.nl doorsturen naar een ander adres.

Dat gaat zoiezo problemen opgeven, tenzij de forwarder SRS (Sender-Rewriting-Scheme) ondersteund. De ontvanger (Waar het naar doorgestuurd wordt) zal dan de inkomende connectie van een mail zien vanaf de webhoster ipv de source, en dus failen op SPF.

Anno 2022 is auto-forwarding eigenlijk een no-go geworden als het betrouwbaar moet zijn.
Oa Office 365 kan SRS aan, https://docs.microsoft.com/en-us/office ... ing-scheme maar dat geld lang niet voor elke hoster

[Aloys]

Ik schrijf over "ik" tegen die chat-helpdesk maar het gaat om de website van een vriend van me, die zijn bungalow op Amerland verhuurt. Dat account loopt via mij, dus de contacten via de helpdesk ook... Ik heb dus geen bungalow op Ameland (helaas )

Hij heeft één email-adres wat hij als zijn hoofd-adres gebruikt. Een email-account binnen het domein donna-antonia.nl heeft hij niet, alleen een email-alias: hij laat alle email doorsturen naar zijn hoofd-emailadres.

Mijn ervaring met dit soort rommel is ook: gaat vanzelf over. Ik denk dat ie het nog maar gewoon een poosje moet deleten, tot het opdroogt.

Met DMARC ben ik bezig geweest, maar volgens https://mxtoolbox.com/DMARC.aspx wordt het DMARC-record wel gevonden, maar de "DMARC Syntax Check" zegt: "The record is not valid"...
Ik ben daar dus wel een eindje mee op weg geraakt (in mei, vanuit Italië), maar het werkt (nog) niet.

[DJSmiley]

Je hebt een typo gemaakt

v=DMARC1; p=quarantaine; ruf=mailto:aloys@aloys.nl

moet zijn:

v=DMARC1; p=quarantine; ruf=mailto:aloys@aloys.nl

quarantine is ook een moeilijk woord


overigens gaat DMARC geen bounces oplossen. Dat kun je wel met SPF en DKIM. Normaliter gebruik je die 3 ook samen.

Als je DKIM gebruikt kun je de spamfilter zo configureren dat alle bounces zonder de juiste key gewoon meteen het grote ronde archief in gaan (als dat niet al de default setting is)

[Aloys]

Ach, goed gevonden!
Quarantine is natuurlijk de Engelse variant van het Frans/Nederlandse quarantaine

Nu moet ik nog uitknobbelen wáár ik dat ook alweer heb ingesteld, ik wist niets van DMARC en heb dat een beetje uitgezocht in de camper, achter mijn laptop met uitzicht op het Gardameer...
Ik zal eens inloggen bij One.com.

[DJSmiley]

In de DNS records, DMARC is een TXT entry in de DNS (het zonefile van het domein)