“Iedereen kan mailen als Charles Michel of Jan Jambon”

Door Blokker_1999 op zaterdag 28 oktober 2017 13:22 - Reacties (1)
Categorie: /var, Views: 1.254

Computerwetenschapper Jeroen Baert van de KU Leuven heeft na de ophef in Nederland over het ontbreken van spf records op de domeinen van de overheid eenzelfde controle gedaan bij deze van de Belgische overheid en heeft daarna enkele mails aan het persbureau Belga laten zien om aan te tonen dat het ook mogelijk is om mails die afkomstig lijken van het email adres van onze eerste minister te versturen met daarbij volgende opmerking:
Op zich is dit vreemd, het probleem bestaat vermoedelijk al lang, maar is in principe heel snel op te lossen
En dit vind ik zeer vreemd voor een computerwetenschapper. Deze man zou toch moeten weten hoe email werkt en hoe de beveiliging (die er amper is) werkt. Het toevoegen van een SPF record gaat, in tegenstelling tot wat hij tegenover Belga verteld, helemaal niet voorkomen dat een vreemde nog een email gaat sturen die lijkt te komen vanaf een minister. Dit blijft een koud kunstje.
Volgens Baert moeten de operatoren hun ‘spf-record’ in orde brengen, waarmee wordt bepaald wie het e-mailadres mag gebruiken. Mails die die toestemming niet hebben, zouden zo worden geweigerd.
Als het zo simpel was dan hadden we de hoeveelheid spam en de hoeveelheid malware die wordt verdeeld al heel lang kunnen terugdringen. Zoals in het artikel rondom het ontbreken van deze records in Nederland al te lezen viel in de comments is een SPF record nog altijd iets dat gecontroleerd moet worden aan de kant van de ontvanger en niet de verzender. Daarnaast kan de ontvanger er voor kiezen de controle niet uit te voeren of een andere actie ondernemen dan dat de verzender vraagt (bijv. markeren als spam ipv te verwijderen).
Daarnaast zijn er ook weer verzenders die er voor kiezen om een zogenaamde “soft fail” te implementeren door allerhande technische beperkingen en fouten die verderop in de email keten kunnen gebeuren tussen zender en ontvanger en waar geen van de 2 partijen controle over heeft.

Ik vind het dan ook zeer bedenkelijk dat een computerwetenschapper een uitspraak doet over iets in zijn vakgebied waarmee hij de bal heel hard misslaat. Je kan een probleem dat inherent is aan een decennia oud protocol niet zomaar oplossen door een simpel record toe te voegen wat alleen maar zou werken in een ideale wereld. Want als we die ideale wereld hadden, dan hadden we dat record niet nodig. Om nog maar te zwijgen over alle andere beveiligingssystemen die je nog zou kunnen implementeren in mail en waar je ook maar weer moet vertrouwen op de tegenpartij…