De GCA, een samenwerkingsverband tussen het Openbaar Ministerie van Manhattan (New York), de Londense politie en het Center for Internet Security (CIS), heeft geprobeerd de returns van DMARC tegen BEC-aanvallen te kwantificeren. Hoewel die business case niet goed uit de verf komt, zijn er voldoende andere redenen om DMARC te implementeren.
De Global Cyber Alliance (GCA) heeft geprobeerd de directe zakelijke returns van DMARC te kwantificeren. Daarvoor zijn zij uitgegaan van binnenkomende phishing mail en het reduceren van de schade veroorzaakt door zogenaamde Business Email Compromises (BEC's). Dergelijke 'Man-in-the-Mail'-aanvallen bestaan bijvoorbeeld uit een vervalst 'spear phishing'-bericht waarin de CEO de financiële afdeling "hoogstpersoonlijk" vraagt om direct een belangrijke spoedbetaling te doen. Omdat de afzender van een mail-bericht zo makkelijk te spoofen is, lijkt het bericht afkomstig te zijn uit de eigen organisatie (email impersonation).
Uit de analyse van de GCA blijkt dat de schade veroorzaakt door dit soort oplichting meestal beperkt blijft tot duizenden tot enige tienduizenden euro's. Alleen in uitzonderlijke gevallen gaat het om honderdduizenden tot tientallen miljoenen euro's. Maar dat zijn natuurlijk wel de zaken die we in de media terugzien.
Kosten en opbrengsten
De GCA keek voor deze analyse specifiek naar het voorkomen van BEC-aanvallen, waarbij de investeringen (de implementatie van DMARC) en de opbrengsten (een kleiner aantal 'spear phishing'-berichten dat de inbox bereikt) bij dezelfde partij liggen.
Voor de berekening van de return gaan de auteurs ervan uit dat het drietal DMARC/SPF/DKIM die aanvallen tegenhoudt waarbij mail spoofing als tactiek wordt gebruikt (loss avoidance). Als 1 procent van de binnengekomen BEC-berichten leidt tot een interne follow-up — dat wil in dit geval zeggen: een onbedoelde financiële transactie — dan resulteert dat in een gemiddelde besparing van 16.100 euro per jaar per organisatie.
Zoals de auteurs zelf al aangeven was de belangrijkste feedback op hun uitkomsten dat deze schadebeperking voor organisaties in het algemeen niet significant genoeg is om er een project van te maken. Voor kleine organisaties met een paar domeinen kan DMARC/SPF/DKIM vaak binnen een paar uur opgezet worden. Maar voor grotere organisaties waarvoor bijvoorbeeld ook externe dienstverleners elektronische mailings verzorgen is het veel lastiger (duurder) om alle geautoriseerde mail-systemen in kaart te brengen en up-to-date te houden. Wat wellicht helpt is dat dit soort informatie als gevolg van de GDPR-wetgeving nu sowieso verzameld moet worden.
Opgeblazen
Voordat je de uitkomsten van deze analyse gebruikt om je eigen business case voor DMARC te onderbouwen, is het goed om te weten dat de auteurs van deze rapportage naar onze mening te graag een positieve uitkomst hebben willen brengen. Ze doen een paar discutabele aannamen die steevast het resultaat opblazen. Zo behandelen ze de 'reject' en 'quarantine' policies beide op dezelfde manier, wat betekent dat oude 'spear fishing'-berichten in de spambox eenzelfde kans op succes zouden hebben als berichten in de inbox.
In de presentatie van de uitkomsten in de Executive Summary wordt hier nog een schepje bovenop gedaan. Zo wordt de kwalificatie "slechts" gegeven aan een succesvolle follow-up (dat wil zeggen: een daadwerkelijke betaling) van 25% op 'spear fishing'-berichten naar de CFO. Op vergelijkbare manier benadrukken de auteurs de meest dramatische corner cases als zij spreken over de schade bij de zwaarst getroffen 1% van de ondernemingen. De verdeling van de schade over organisaties heeft een sterke longtail-verdeling, en daarmee is juist deze 1% het minst representatief. Tenslotte blijkt ook nog een groot deel van de cijfers in de belangrijkste tabel voor het onderbouwen van een individuele business case verkeerd weergegeven (als in: 3 ordes groter).
Beveiliging mailverkeer
Ondanks de tekortkomingen in deze rapportage zijn wij van mening dat DMARC en de daaronder liggende DKIM- en SPF-protocollen weldegelijk een belangrijke rol spelen in de beveiliging van mail-verkeer en het terugdringen van spam en digitale criminaliteit. Daarvoor is het wel nodig om over individuele organisaties heen op een hoger niveau naar onze internetinfrastructuur te kijken.
Kosten en opbrengsten van DMARC/SPF/DKIM liggen immers grotendeels bij verschillende partijen. Aan de verzendende kant gaat het om reputatieschade als je domein misbruikt wordt voor spam en scams, maar vooral om "deliverability": de kans dat valide berichten inderdaad worden afgeleverd en niet in de spambox terecht komen of helemaal worden geblokkeerd. Hier ligt met name een groot belang voor financiële dienstverleners en bulkverzenders van (marketing) mail.
Aan de ontvangende kant ligt het belang van DMARC/SPF/DKIM vooral bij grootverwerkers van mail-berichten. Niet voor niets behoren Google (Gmail), Microsoft (Hotmail), Yahoo! Mail, Facebook, Bank of America, Fidelity, J.P. Morgan Chase, LinkedIn en PayPal tot de initiatiefnemers van DMARC. Tim Draegen, mede-bedenker van de DMARC-standaard, heeft de ideeën achter DMARC uitgelegd in een eerder interview. Onlangs ontving hij een oorkonde van de Nederlandse overheid vanwege de opname van DMARC afgelopen voorjaar in de 'pas-toe-of-leg-uit'-lijst (ptolu).
Moderne internetstandaarden
Voor ons behoren DMARC, DKIM en SPF tot de moderne Internetstandaarden zoals die door iedereen geïmplementeerd zouden moeten worden. Die inspanning komt uiteindelijk ook weer ten goede aan ons allemaal. Dat is ook de visie van het Platform Internetstandaarden en de Veilige E-mail Coalitie. Wat betreft sluiten we ons van harte aan bij de oproep die DINL-voorman Michiel Steltman onlangs deed aan de hosting-industrie: "Inventariseer mailservers in je infra die geen DMARC (DKIM/SPF) en TLS hebben. Fix ze en/of ga het gesprek daarover aan met je klant. Anno 2018 kan e-mail security uit 1998 echt niet meer!"