We weten allemaal over CEO-fraude en spoofing. Maar welke andere dingen kunnen misgaan als je geen DMARC (en SPF en DKIM) hebt ingeregeld?
DMARC beschermt je tegen spoofing, waarbij anderen jouw e-maildomein misbruiken om een valse identiteit aan te nemen. CEO-fraude is één vorm van spoofing. Daarbij doet een aanvaller zich bijvoorbeeld voor als de CEO van een bedrijf. Hij stuurt een e-mail naar een medewerker van het bedrijf en zet die daarin onder druk om met spoed geld over te maken naar een bepaalde bankrekening. De bankrekening van de aanvaller, uiteraard, maar dat weet de medewerker niet.
Andere voorbeelden van spoofing zijn:
Aanvallers zetten spoofing ook in voor phishing-aanvallen. Met een link in een phishingmailtje lokken ze hun slachtoffers naar een ogenschijnlijk legitieme, maar in werkelijkheid valse website. Bijvoorbeeld een nagemaakte versie van de website van een bank. Daar wordt het slachtoffer bijvoorbeeld verleid om gevoelige data te delen of malware – zoals ransomware – te installeren. Het mailtje kan ook een schadelijke bijlage bevatten. Als de ontvanger het bestand opent, wordt er bijvoorbeeld ransomware of een virus op zijn computer geïnstalleerd.
Een andere vorm van domeinmisbruik is spammen. Als je domein onvoldoende is beveiligd, kunnen aanvallers uit alle delen van de wereld vanaf die domeinnaam grote hoeveelheden ongewenste spamberichten versturen. E-mailproviders die al het spamverkeer vanaf je domein opmerken, kunnen vervolgens besluiten om het domein op internationale spam-blacklists te plaatsen.
Het gevolg: al het e-mailverkeer vanaf jouw domein wordt vervolgens als spam behandeld. Dus ook legitieme e-mailberichten. De e-mailberichten worden dan automatisch geblokkeerd en niet meer bij de bedoelde ontvangers afgeleverd. Dat leidt tot reputatieschade voor je organisatie. En daarnaast is het nog een heel gedoe om weer van de spam-blacklist af te worden gehaald.
DMARC is een belangrijke maatregel tegen alle hierboven genoemde aanvallen en de daaruit volgende financiële en reputatieschade.