Uitgaande email en de reputatie van uw organisatie

Uitgaande email en de reputatie van uw organisatie

DearBytesBlogUitgaande email en de reputatie van uw organisatie

dinsdag 31 maart 2015

Veel bedrijven investeren in een oplossing voor het schoon afleveren van email en dat is hard nodig. De grote meerderheid van email is kwaadaardig: het is spam of bevat malware. Daarnaast kan uitgaande email gebruikt worden om gevoelige informatie te lekken, bewust of onbewust. Zo bleek onlangs maar weer eens: Australië lekte gegevens van 31 wereldleiders. De reputatie van een organisatie met een datalek holt achteruit. Maar hetzelfde kan gebeuren als uw emaildomein wordt misbruikt voor het versturen van spam. Wat kunt u doen om hier meer controle over te krijgen?

Email content scanning

De gedachte achter een email scanning oplossing is dat alleen schone mail wordt afgeleverd zodat eindgebruikers niet worden afgeleid en misleid door zaken die het daglicht niet kunnen verdragen. En dat doel wordt grotendeels bereikt, de meeste rommel bereikt de eindgebruiker niet meer. Natuurlijk is er van tijd tot tijd een incident waarbij email wordt doorgelaten. In de meeste gevallen gaat het om spam in een specifieke taal of het bericht is zo slim opgesteld waardoor het niet wordt herkend en daardoor wordt afgeleverd bij de eindgebruiker, wat een verstorende werking heeft. Vervelend, maar eenvoudig op te lossen met de DEL toets.

Uitgaande e-mail controleren

Toch blijft het beveiligen van uitgaande mail een onderwerp dat bij sommige organisaties nog aan de aandacht ontsnapt. Natuurlijk zijn er meerdere aspecten waarop gelet moet worden, zoals data loss prevention, encryptie, anti-malware en anti-spam. Ook is er vaak een standaardbeleid, dat notificaties stuurt aan de ontvanger van een bericht wanneer het wordt geblokkeerd. Dat werkt prima voor inkomende email, maar voor uitgaande email is dat bepaald niet wenselijk. U ziet waarschijnlijk liever niet dat uw emailscanner een bericht stuurt aan uw relatie waarin staat dat uw organisatie heeft gepoogd de relatie malware toe te zenden maar dit vervolgens zelf heeft onderschept. Hoewel dit voorbeeld nog betrekkelijk onschuldig lijkt, komt het op uw relatie onhandig over.

Ransomware via Wehkamp

Naast de configuratie van uw mail filter is het ook van belang dat u maatregelen neemt om ontvangers te beschermen tegen email die afkomstig lijkt te zijn van uw organisatie of domein. Dit helpt om de reputatie van uw organisatie te beschermen. Recent is een grote hoeveelheid emails verzonden, zogenaamd afkomstig van Wehkamp, met daarin een attachment met ransomware. De reputatie van Wehkamp is daarbij natuurlijk ernstig beschadigd, doordat gebruikers die hierdoor zijn getroffen minder geneigd zijn bestellingen te plaatsen bij Wehkamp en emails van Wehkamp in het vervolg ongelezen naar de prullenbak verplaatsen.

Wehkamp heeft deze mail natuurlijk niet verstuurd, maar is Wehkamp daarmee een onschuldig slachtoffer van identiteitsfraude door sender spoofing? Stond Wehkamp machteloos tegenover de kwade geesten van het donkere internet? Niet echt.

Sender Policy Framework (SPF)

Om een PR-catastrofe van deze schaal te voorkomen had Wehkamp ten minste een SPF record kunnen aanmaken voor wehkamp.nl. Een SPF (Sender Policy Framework) record is een TXT record in de DNS zone van het verzendende domein, waarin staat welke hosts en/of IP adressen namens dat domein email mogen versturen en wat er met een ontvangen bericht moet gebeuren als hieraan niet wordt voldaan. Een ontvanger van email van dat domein kan in het SPF record controleren of de server waarvan de email afkomstig is, is opgenomen in dat SPF record. Niet iedereen controleert dit helaas, maar de impact van deze campagne had drastisch beperkt kunnen worden. Waarschijnlijker is het dat de criminelen die deze malware rondstuurden op zoek zouden gaan naar een andere webshop om hun malware mee te labelen.

SPF is dus een prima middel voor bescherming van de reputatie van uw organisatie, maar wat kunt u verder zelf doen?

Domain Keys Identified Mail (DKIM)

Om uw reputatie te beschermen, valt naast het aanmaken van SPF records (http://www.openspf.org), te overwegen om gebruik te maken van DKIM (Domain Keys Identified Mail). DKIM dicteert dat de verzender van een email deze email ondertekent met een private key. De ontvanger kan de public key ophalen uit de DNS zone van de afzender en zo de handtekening controleren. DKIM biedt daarnaast ook een ADSP-record (Author Domain Signing Practices), waarin staat dat als de handtekening niet klopt, de ontvanger de mail moet of mag weggooien. De ontvanger is daarmee enigszins gebonden aan de regels die uw organisatie in een DNS record heeft gedefinieerd.

Verdachte attachments blokkeren

Om uw eindgebruikers te beschermen is het van kritiek belang dat uw organisatie email weigert wanneer die bijlagen bevat met uitvoerbare bestanden. Ook valt te overwegen om dit beleid door te trekken naar ingepakte bestanden, leesbeveiligde bestanden en office-documenten met macro’s. Het is eveneens belangrijk dat hyperlinks in emailberichten worden gecontroleerd op veiligheid, ten minste bij ontvangst van het emailbericht. Nog beter is om links te controleren wanneer de gebruiker deze opent.

DearBytes kan u helpen met het beveiligen van inkomende en uitgaande email en daardoor dus het beschermen van de reputatie van uw organisatie. Neemt u voor meer informatie contact op met uw account manager.