E-mail authenticatie ING Domestic Bank Nederland & XS4ALL
Marc Cramer - ING Domestic Bank Nederland Bill Middelbosch - ING Domestic Bank Nederland Jan Pieter Cornet – XS4ALL
1
De aanleiding
DKIM, SPF & DMARC
2
De aanleiding
Phishing Activity Trends Reports
DKIM, SPF & DMARC
3
Doelstellingen voor ING Domestic Bank Nederland Behoud van e-mail als vertrouwd service en sales kanaal Klanten zo veel mogelijk helpen door waar mogelijk valse e-mails te blokkeren en de zichtbaarheid en deliverability van legitieme e-mails te vergroten.
Invulling geven aan de zorgplicht Accurate klant educatie en pro-actief waarschuwen voor valse e-mails. Een voortrekkende rol innemen door nieuwe mogelijkheden actief te adopteren en te ondersteunen.
Voorkomen van directe en indirecte schade en operationele kosten Voorkomen van directe schade bij de ING klant / ING en het voorkomen van indirecte schade aan het ING merk.
Opzetten van een anti phishing aanpak Het opzetten en borgen van een integrale aanpak, ondersteund door (realtime) inzicht in het probleem van valse e-mails.
DKIM, SPF & DMARC
4
DMARC - Proof of Concept DMARC Proof-Of-Concept persbericht: “Het aantal valse e-mails dat misbruik maakt van het domein ING.nl is gedaald met 71%”
De ING heeft het initiatief genomen tot een interbancaire samenwerking om adoptie van deze standaarden te promoten
DKIM, SPF & DMARC
5
Aanpak - ING Domestic Bank Nederland Aanpak gericht op vier aandachtsgebieden binnen de “Lifecycle” van een valse e-mails.
1
2
Het versturen van valse e-mails waar mogelijk frustreren
Safe zone Enkele uren Creëren Phishing Site (copy MING)
Verzenden van de valse e-mails
Blokkeren van valse e-mails door de e-mail providers Danger zone
Seconden Provider ontvangt valse e-mails
Beïnvloeden van de ING klant om het “succes” van 3 phishing aanvallen te minimaliseren
Evaluatie
Binnen 18 uur Klant ontvangt valse e-mails
Klant acteert op valse e-mail
Klant lijdt schade
Actieve monitoring om effectief te reageren op 4 en te leren van “succesvolle” aanvallen
Doel om “aanvallen” van valse e-mails vroegtijdig te onderkennen, te monitoren en op verschillende manieren en momenten te frustreren.
DKIM, SPF & DMARC
6
E-mail authenticatie voor ING Domestic Bank Nederland “No Silver Bullet” Een maatregel tegen “spoofing” en….. 9
een handvat voor verdergaande visualisatie en deliverability van echte ING e-mails
9
nieuwe mogelijkheden voor accurate klant educatie
9
een bron van informatie over het gebruik en misbruik van het ING.nl domein
Geen technische handeling maar een keuze om het digitale merk van ING te beschermen Gekozen voor open standaarden; 9
Volwassen markt standaarden sinds de introductie van DMARC in januari 2012
9
Geen leverancier specifieke software
9
Geen “vertrouwde derde partij”
DKIM, SPF & DMARC
7
Open standaarden – SPF, DKIM & DMARC
E-mail authenticatie “volwassen” sinds de introductie van de DMARC standaard in januari 2012
Duidelijke keuze vanuit het e-mail ecosysteem voor de e-mail authenticatie standaarden SPF en DKIM
DKIM, SPF & DMARC
8
E-mail authenticatie; Samenwerkende standaarden
DMARC • Betrouwbaar – gebruikt het beste van SPF en DKIM • Zichtbaarheid – rapportages over valse en legitieme e-mails • Controleerbaar – verzender geeft aan hoe om te gaan met niet-geverifieerde e-mails
SPF • Verifieert route van e-mail • Vertrouwde verzendende servers in DNS • Eenvoudig in te zetten
DKIM, SPF & DMARC
DKIM • Verifieert inhoud van e-mail • Public keys in DNS • Gebruikt hashing en encryptie technieken
9
DMARC; Hoe werkt het ? Zonder DMARC
Met DMARC filtering 1.
DMARC reporting
2.
DMARC Reject (policy enforcement)
DKIM, SPF & DMARC
10
DMARC adoptie bij XS4ALL (1) Kennis van DMARC initiatief vanaf oktober 2011
Contact met ING en besluit om DMARC te adopteren in Q1 2012 9
Vragen en klachten over phishing komen vaak voor bij de helpdesk
Eerste DMARC implementatie april 2012 9
Interne rapportages
Volledige DMARC rapportage vanaf eind mei 2012
DKIM, SPF & DMARC
11
DMARC adoptie bij XS4ALL (2) XS4ALL stuurt volledige DMARC rapportages naar alle verzenders die DMARC geadopteerd hebben
Extra informatie voor ING - resultaat spamfilter
Implementatie redelijk eenvoudig door eigen beheer mail infrastructuur
DKIM, SPF & DMARC
12
DMARC; Adoptie na1 jaar Adoptie bij e-mail verzenders
Adoptie bij e-mail ontvangers
9 50% van de 20 grootste e-mail verzenders
9 Wereldwijd is 60% van alle e-mail inboxen
hebben DMARC geadopteerd 9 70% van de DMARC verzenders gebruiken een policy die de ontvangende ISP’s vraagt actie te ondernemen tegen misbruik op basis van ongeautoriseerde e-mails
beschermt door DMARC, wat gelijk staat aan 1.976 billion inboxen 9 De belangrijkste Mailbox providers (ISP’s) hebben DMARC in 2012 geadopteerd
Google (at launch), Yahoo, AOL & Microsoft
9 In November en December 2012 zijn 118
Mail.ru (largest mailbox provider in Russia)
billion DMARC e-mail berichten met een
NetEase (largets mailbox provider in China)
“reject” verzonden naar ISP’s die DMARC hebben geadopteerd
9 Meer dan 325 million e-mail berichten zijn geblokkeerd op basis van DMARC in November en December 2012
DKIM, SPF & DMARC
13
DMARC – Het gemeenschappelijke belang Proof-of-Concept als startpunt voor de nationale DMARC adoptie 2012…… 9
Een succesvolle Proof-Of-Concept door XS4ALL en de ING
9
Interbancaire samenwerking; ING, ABN AMRO en Rabobank
9
Interbancair statement; Als grote verzenders zullen ING, ABN AMRO en Rabobank de DMARC standaard adopteren. De Nederlandse Mailbox providers (ISP’s) wordt gevraagd dit ook te doen
2013 ? 9
Adoptie door de Nederlandse overheid ?
9
Adoptie bij de Nederlandse Mailbox providers (ISP’s) ?
DKIM, SPF & DMARC
14
DMARC: Situatie in Nederland na 1 jaar Adoptie bij e-mail verzenders 9 144 unieke domeinen in .nl hebben DMARC DNS record 9 3% van de ontvangen (niet spam) mails gebruikt DMARC 9 0,5% van de mails gebruikt DMARC in “quarantine” of “reject” mode
DKIM, SPF & DMARC
Adoptie bij e-mail ontvangers 9 XS4ALL nog steeds enige ISP in .nl (1 miljoen mailboxen, 10% van de markt) 9 UPC, KPN; op de hoogte van techniek, nog geen concrete plannen 9 Recente support in commerciële e-mail software: sendmail, postfix & Cloudmark
15
