Skip to main content

Ik heb een mail ontvangen van mijn eigen e-mailadres, hier is duidelijk sprake geweest van spoofing. Ik heb een planet.nl adres en als ik op het internet een Security test doe dan komt kpn.nl er heel goed uit maar planet.nl absoluut niet. De verschillen waar ik op doel zijn DNSsec en de bekende echtheidskenmerken  tegen phishing (DMARC, DKIM en SPF). Waarom loop ik dit soort risico’s met een planet.nl adres en beter nog wat gaan jullie hier aan doen?

 

*Admin: titel aangevuld i.v.m. vindbaarheid

@Wim U 

Het lijkt erop dat de afzender simpelweg jouw emailadres heeft ingevuld bij “afzender”. Dit gebeurt mij ook ca. 1 of 2 keer per jaar. Als dit slechts sporadisch gebeurt ga ik mij over dit soort emails niet druk maken. Gewoon direct weggooien.


Het betreft een agressieve afpersingsmail waar ik zelf niet wakker van lig en idd verwijder. Maar spoofing is met eerder genoemde technieken gemakkelijk te voorkomen. Ik constateer echter dat er grote verschillen zitten in de Security baseline tussen de mailservers van KPN en van Planet. Destijds heeft KPN dit Planet adres overgenomen. Ik heb er voor gekozen om dit oude mail adres te behouden. Ik ben klant van KPN en heb daar een abonnement. Dan verwacht ik ook gelijkwaardige beveiligingsmaatregelen. Bovendien kunnen mensen die minder op de hoogte zijn van dit soort malafide mailtjes wel opgelicht worden, dat gebeurt helaas te vaak.


@Wim U

Ja, ik heb die email nu ook vandaag gekregen. Dit is zeer duidelijk een poging tot afpersing. De afzender komt echter met een dreigement die hij niet kan waarmaken (nee, geen details).

Vragen:

Waar kwam die email bij jouw binnen ? In “Postvak In” of in de spamfolder ? Zorgen de veiligheids maatregelen (DNSSec, DMARC, DKIM en SPF) ervoor dat deze email bij mij in de spamfolder terechtkwam ? Want de emailservers die ik gebruik zijn allemaal  “kpnmail.nl” servers. Maar die hebben deze ene email (ook) niet tegengehouden.

Is het IP adres(sen) van @planet.nl emailservers hetzelfde zijn als die van kpnmail.nl ?

@Raymondt

@Jasper

Heeft het nog zin om deze afpersings-email naar bijv. “KPN abuse” te sturen ? Of is het onbegonnen werk om de afzender van dit soort emails te achterhalen ?


Bij mij kwam de mail gewoon binnen in “postvak in”. Dat hij bij jou is opgemerkt en als spam is behandeld is de maatregel die KPN neemt omdat de mailserver constateert dat de afzender niet de juiste is. Korte uitleg:

DNSSEC is niet geactiveerd bij planet. Verzenders die domeinhandtekeningen controleren, kunnen nu niet betrouwbaar het IP-adres van je ontvangende e-mailserver(s) opvragen. Een aanvaller kan het IP-adres daardoor ongemerkt manipuleren en aan jou gestuurde e-mails omleiden naar een eigen mailserver.

Het Planet domein bevat niet alle echtheidswaarmerken tegen e-mailvervalsing (DMARC, DKIM en SPF). Ontvangers kunnen daardoor niet betrouwbaar phishing- of spammails die jouw domeinnaam in hun afzenderadres misbruiken, scheiden van jouw echte e-mails. Er is wel wat geconfigureerd maar de policy is niet strikt en laat teveel door.

 


E-mailtest: kpn.nl

Het domein kpn.nl heeft een testscore van 100%.

Gefeliciteerd, je domeinnaam wordt spoedig in de Hall of Fameopgenomen!

100%

 

E-mailtest: planet.nl

Het domein planet.nl heeft een testscore van 54%.

54%


kpn.nl is geen domein wat email afhandeld.

 

Wat betreft planet.nl (en dat gaat op voor al onze klant mail domeinen) hebben wij er vooralsnog bewust voor gekozen om geen DMARC te hanteren daar analyze heeft laten zien dat een groot gedeelte van het reguliere mailverkeer hierdoor problemen gaat ondervinden. Voornamelijk veroorzaakt door het feit dat gebruikers regelmatig allerlei forwards e.d. instellen welke dit kunnen (en vaak dus doen) breken. Uiteraard kan dit in de toekomst veranderen.