E-mail authenticatie: ‘Bereid je voor op de toekomst en ga aan de slag met SPF, DKIM en DMARC’

[youtube=https://www.youtube.com/watch?v=cfNrylZm1Vs&w=630&rel=0]

Eind maart organiseerde Internet Society Nederland (ISOC) een masterclass ‘E-mail security’ met Murray Kucherawy, oprichter en voorzitter van het Trusted Domain Project. Hij heeft meer dan twintig jaar ervaring in open source en commercieel berichtenverkeer, standaarden-ontwikkeling en operations. ISP Today sprak met Kucherawy vlak na deze masterclass.

Ontwikkeling
Tijdens de masterclass werd er vooral gesproken over DKIM, een techniek voor authenticatie van e-mail. Volgens Kucherawy zijn phishing en spam op dit moment kosten verslindende problemen. “Het gaat om miljoenen dollars per jaar, in fraude-claims en verzekeringszaken,” vertelt hij. “We moeten met oplossingen komen voor deze problemen, die niet duur zijn en die zo min mogelijk impact heeft op gebruikers. Goede en ‘schone’ oplossingen. We hebben ideeën, boeken vooruitgang en implementeren het, maar we moeten over de problemen blijven praten en experimenteren met nieuwe oplossingen.”

Vertrouwen
E-mail is tot nu toe altijd verzonden zonder authenticatie, waardoor e-mailberichten compleet nep kunnen zijn. SPF en DKIM zijn technologieën waarbij dit al is verbeterd en waarbij er al iets van authenticatie om de hoek komt kijken. “Dat klinkt van: ‘natuurlijk hebben we die technieken’, maar dat hebben we in de 30 jaar dat we e-mail kennen nog nooit gehad,” legt Kucherawy uit. “Nu deze technieken snel worden geïmplementeerd, bereiken we het punt dat we erop kunnen gaan vertrouwen en interessante zaken kunnen doen met deze informatie. Bijvoorbeeld het filteren van e-mail dat we wel willen ontvangen of juist niet willen ontvangen.”

Technisch niet ingewikkeld
In de video legt Kucherawy de techniek ‘DKIM’ uit en ook hoe ISP’s en hostingbedrijven deze techniek kunnen uitrollen binnen hun netwerken. “De uitrol op je netwerk kan een project zijn, maar is uiteindelijk niet moeilijk,” zegt Kucherawy. “En zijn tools en er is software beschikbaar met uitgebreide mogelijkheden. Het is dus een kwestie van downloaden, een checklist langslopen en je bent klaar om te ‘signen’. Diverse experts hebben zelfs complete ‘kookboeken’ geschreven over een juiste implementatie. Technisch dus niet ingewikkeld, maar als de DNS-mensen en e-mail-experts binnen je organisatie niet met elkaar overweg kunnen zal je dat moeten oplossen.”

Feedback-laag
Kucherawy stipt ook de techniek DMARC aan, dat onder andere is ontwikkeld door PayPal en Google. “Zij zijn met een voorstel gekomen om bovenop DKIM en SPF een technologie te creëren die e-mail kan weigeren als er geen bescherming is van één van beide en dit kan rapporteren aan de organisaties die zich willen beschermen. Het is dus een feedback-laag.” De adoptie van DMARC gaat hard en omvat inmiddels zo’n 60% van alle mailboxen ter wereld. “Nu het een standaard wordt, zal dit nog sneller gaan.”

Adoptie
Nederland loopt volgens Kucherawy achter bij de wereldwijde adoptie van DMARC. “Maar het zit eraan te komen. Veel hebben DKIM en SPF al geïmplementeerd en een aantal experimenteren met DMARC. Ik ben dus blij met de voortgang die plaatsvindt.”

IPv6
Een belangrijk deel van de e-mail authenticatie-puzzel is IPv6, waarbij we volgens Kucherawy bescherming kwijt raken die alleen binnen IPv4 bestaat. “Wat overblijft is domeinnaam-reputatie, gebaseerd op DKIM en SPF. Als je dus met de IPv6-transitie aan de slag gaat, is het belangrijk om SPF, DKIM en DMARC daarin mee te nemen. Het is de enige lijn van defensie die we in de toekomst overhouden.”

Advies
Het advies van Kucherawy: “Negeer deze technieken niet. Wacht niet tot iemand het simpel voor je heeft gemaakt, want het is beter er nu al mee in aanraking te komen om voorbereid te zijn.”


Kucherawy bezit drie patenten rondom verbeteringen op de bezorging van e-mail en is (mede-)auteur van vijftien Internet RFC’s. Hij is een prominent lid van de Messaging Anti-Abuse Working Group (MAAWG) en lead developer van OpenDKIM en OpenDMARC. Sinds 2012 is hij werkzaam voor Facebook. De masterclass vond plaats op 28 maart 2013 in de Koninklijke Bibliotheek te Den Haag en was gericht op ISP’s, hostingbedrijven en andere ICT-ers die professioneel bezig zijn met e-mail.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.