Email Security

    Der Weg zu p=Reject, dem internen DMARC-Projekt von Mimecast: Teil 3. Auftrag erledigt?

    Das jetzt abgeschlossene DMARC-Projekt von Mimecast zeigt Beispiele von Angriffen, die durch eine Kombination von DMARC für den E-Mail-Teil des Angriffs und Mimecasts Brand Exploit Protect für die Erkennung und Beseitigung bösartiger Websites gestoppt wurden.

    by Matthew Gardiner

    In meinem ersten Blog über das interne DMARC-Projekt von Mimecast habe ich die Grundlagen dafür gelegt, was DMARC ist und warum wir uns für dieses Projekt entschieden haben. Mimecast wird, wie jedes Unternehmen mit einer Online-Präsenz, von Phishern ins Visier genommen, die versuchen, diese gezielt auszunutzen, um die Bekanntheit und das Vertrauen in unsere Marke auszunutzen und unsere Kunden, Partner und andere anzugreifen. DMARC ist eine hervorragende Möglichkeit, diese Art von E-Mail-basierter Markenausbeutung zu bekämpfen, indem die Verwendung von Domänen für E-Mails effektiver eingeschränkt wird. Der Zweck dieser Blogserie ist es, Einblicke zu geben, die Ihnen dabei helfen, das DMARC-Projekt Ihres eigenen Unternehmens zu leiten.

    In meinem zweiten Blog habe ich mich mit dem "Wer" und dem "Wie" unseres DMARC-Projekts befasst. Ja, es handelt sich um ein Projekt, das in der Regel zusätzlich zu einem großartigen DMARC-Produkt ein funktionsübergreifendes Team aus IT, Sicherheit, einem DMARC-Spezialisten und sogar Marketing erfordert, um das beste und zweckmäßigste Ergebnis zu erzielen. Bei Mimecast haben wir, wie die meisten anderen Unternehmen auch, festgestellt, dass wir viel mehr Domains besitzen, als wir ursprünglich dachten - mehr als 300. Viele dieser Domains sind nur geparkt, um andere an der Registrierung zu hindern, während andere in vergangenen M&A-Transaktionen auftauchten und andere für spezielle Projekte ohne aktive Beteiligung der IT- oder Sicherheitsteams registriert wurden.

    Die Registrierung von Domains ist doch so einfach. Glücklicherweise werden nur sehr wenige der 300 eigenen Domains verwendet, um legitime E-Mails von Mimecast zu versenden. Für Mimecast ist mimecast.com unsere #1 Domain, die wir schützen wollen. Wir verwenden sie sowohl als Hauptdomain unserer Website als auch als Domain, von der wir die meisten unserer E-Mails versenden.

    Einstellung von Mimecast.com auf p=reject

    Nachdem wir die Liste der Domänen, die uns gehören, zusammengestellt hatten, stellten wir fest, dass wir bei einigen Domänen erst nachforschen mussten, um die internen Eigentumsverhältnisse herauszufinden. Diese meist ungenutzten Domänen haben wir sehr schnell auf p=reject für DMARC gesetzt - da wir sie ohnehin nicht zum Versenden von E-Mails verwenden, besteht keine Gefahr, dass die rechtmäßige E-Mail-Zustellung gestört wird. Denken Sie daran: Nur weil und keine E-Mails von den meisten Ihrer Domains versenden, heißt das nicht, dass Angreifer dies nicht tun! Daher ist DMARC für alle Ihre Domänen relevant und p=reject sollte Teil Ihres Standard-DNS-Eintrags sein, auch für geparkte Domänen. In der ersten Phase des Projekts konnten wir unsere Energie auf unsere primäre E-Mail-Präsenz konzentrieren, die um die Domain mimecast.com herum aufgebaut ist. Dies ist die Domain, von der aus wir und unsere legitimen Dienstleister (Marketo und andere) E-Mails versenden. Hier mussten wir bei der Umstellung auf p=reject etwas vorsichtiger sein.

    Nach etwa einem Monat der Überprüfung von DMARC-Berichten, laufender Überwachung und der Durchführung von DKIM und SPF Konfigurationsänderungen in den wenigen verbliebenen legitimen Sendeanwendungen haben wir den Wechsel zu p=reject für mimecast.com vorgenommen. Und ich freue mich, sagen zu können, dass mimecast.com ohne nennenswerte negative Auswirkungen von p=quarantine auf p=reject umgestellt wurde. Es hat sogar dazu beigetragen, den Phishern, die versuchen, unsere Marke zu missbrauchen, einen weiteren Pflock ins Herz zu treiben!

    dmarc-1.png
    Abbildung 1 - DMARC DNS-Ergebnisse für mimecast.com - p=reject

    Hat diese Umstellung auf p=reject Spammer und Phisher von davon abgehalten, zu versuchen die mimecast.com Domain zu nutzen, um die Mimecast Marke zu fälschen? Noch nicht, aber es hat definitiv Auswirkungen auf die E-Mail-Zustellungsrate! Und mit einer drastisch reduzierten E-Mail-Zustellungsrate erwarten wir, dass sie dazu übergehen, weniger gut geschützte Domains anzugreifen. Lassen Sie mich Ihnen anhand eines E-Mail-Beispiels - Abbildung 2 unten - ein Beispiel dafür geben, was wir in unseren ruf und rua DMARC-Berichten gesammelt haben.

    dmarc-2.png
    Abbildung 2 - Beispiel einer E-Mail, die versucht, "mimecast.com" zu fälschen und auf eine betrügerische Mimecast-Anmeldeseite zu verlinken

    Und wohin wollten diese E-Mails ihre Opfer führen? Große Überraschung - eine Seite zum Sammeln von Anmeldeinformationen, die auf einer Reihe von verschiedenen, jetzt gesperrten oder heruntergenommenen Webseiten gehostet wurde. Beachten Sie, dass sie sich nicht einmal die Mühe gemacht haben, "Mimecast" in den URLs richtig zu schreiben.

    dmarc-3.1.png
    dmarc-3.2.png
    DMARC 3.3.png
    dmarc-3.4.png
    Abbildung 3 - Vier Beispiele für URLs, die auf betrügerische Mimecast-Anmeldeseiten verlinkten

     

    dmarc-4.png
    Abbildung 4 - Die gefälschte Mimecast-Anmeldeseite, die auf diesen bösartigen Websites gehostet wurde

     

    Wie geht es weiter?

    Nun, das war's. DMARC-Projekt erledigt. Weiter mit dem nächsten Sicherheitsprojekt? Nicht ganz. Die Realität ist, dass in der Welt der IT und der Sicherheit nichts statisch ist. Es ist wichtig, dass Sie Ihre DMARC-Berichte ständig überwachen, um festzustellen, ob neue, legitime, aber nicht ordnungsgemäß konfigurierte Dienste eingeführt wurden (Hallo, Marketing). Ohne ständige Überwachung wird die Zustellungsrate dieser neuen legitimen E-Mail-Versanddienste ziemlich schlecht sein. Darüber hinaus sollten die in Ihren DMARC-Berichten enthaltenen Informationen über die Phisher, die versuchen, Ihre Domänen zu missbrauchen, Ihrem SOC-Team oder anderen Personen, die Ihr Programm zur Erkennung und Abwehr von Bedrohungen verwalten, zur Verfügung gestellt werden, da sie wichtige Erkenntnisse darüber liefern können, wer und wie Ihr Unternehmen per E-Mail gefälscht wird. Die oben beschriebenen Angriffe sind kein Einzelfall bei Mimecast.

    dmarc-5.png
    Abbildung 5 - Das Mimecast "M"-Logo

     

    Nächster Punkt: BIMI

    Jetzt, da mimecast.com bei DMARC auf p=reject steht, eröffnet dies auch eine weitere Möglichkeit, das Vertrauen in die Marke Mimecast per E-Mail zu verbessern. Ein neuer Standard, Brand Indicators for Message Identification (BIMI) , ist im Entstehen begriffen, der die kryptografische Verknüpfung eines Markenlogos, in unserem Fall das Mimecast "M" (siehe oben), mit der Domain mimecast.com ermöglicht. Auf diese Weise können nur verifizierte BIMI-Absender, die die Domain mimecast.com verwenden, die Zustellung des Mimecast "M" aktivieren und es in BIMI-unterstützenden E-Mail-Clients wie Gmail und Yahoo Mail anzeigen lassen. Bleiben Sie dran, denn das DMARC-Team bei Mimecast ist gerade dabei, BIMI für mimecast.com zu implementieren. In einem der nächsten Blogs werde ich über die BIMI-Erweiterung unseres DMARC-Projekts berichten.


     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang