Beantwoord

Ik ontvang phishing van het planet.nl domein. Hoe zit het met het SPF-record van Planet.nl en verantwoordelijkheid van KPN?

  • 23 May 2022
  • 41 reacties
  • 360 keer bekeken

Het domein planet.nl is in beheer van KPN.
Dit wordt bevestigd door de SIDN (Stichting Internet Domeinregistratie Nederland)

Ik heb verschillende phishing mails ontvangen die verzonden zijn met het domein planet.nl
Tot mijn verbazing wordt dit ook toegelaten in de TXT-record van de DNS waar de SPF geregeld staat.
Hierin staat namelijk ?all
 

 

Na veel uitzoekwerk blijkt het dat vooral Russen gebruik maken hiervan door onder de naam van Planet phishing te versturen.

Wanneer ik contact opneem met abuse geven ze als antwoord dat ik zelf mijn spamfilter in kan stellen.
Toch is dit niet de verantwoordelijkheid nemen en de geldstroom naar Rusland door laten gaan.
Niet iedereen heeft een spamfilter en niet iedereen zit bij KPN.

Hoe kan er voor gezorgd worden dat KPN zijn verantwoordelijkheid neemt?
Hoe kan er voor gezorgd worden dat KPN tegen de oorlog is die Rusland is begonnen?

icon

Beste antwoord door arnoldvdm 24 May 2022, 17:09

Bekijk origineel

41 reacties

Reputatie 7

DMARC werkt alleen in combinatie met DKIM en SPF.
Als je geen DKIM en SPF hebt ingesteld weet DMARC niet wat die moet doen.

Maar ik ben hier niet om jullie allemaal les te geven.

Het gaat erom dat KPN en Planet zijn verantwoordelijkheid moet nemen.
Als KPN en Planet te dom zijn moet het maar op een procedurele manier.

Wat gaat er dan mis?

Met het SPF record voor @planet.nl is helemaal niets mis al zou het wellicht beter zijn om het SPF record af te sluiten met ~all i.p.v. ?all. Dit maakt echter niets uit voor de dmarc controle immers beide (~all en ?all) geven standaard een fail bij de dmarc controle.

Waar je eerder een vraagteken bij zou moeten zetten is de p=none in het DMARC record.

 

Heb jij eens een voorbeeld (screenshot) van zo'n spam bericht afkomstig van een @planet.nl adres en kan je hier dan ook de broncode van dat mailbericht plaatsen?

Reputatie 7
Badge +11

@GeSp DMARC werkt alleen in combinatie met DKIM en SPF.
Als je geen DKIM en SPF hebt ingesteld weet DMARC niet wat die moet doen.

Maar ik ben hier niet om jullie allemaal les te geven.

Het gaat erom dat KPN en Planet zijn verantwoordelijkheid moet nemen.
Als KPN en Planet te dom zijn moet het maar op een procedurele manier.


Hoe kom je erbij dat KPN geen SPF en DKIM records hebben, SPF had je zelf gevonden.

Net een testmail vanaf een kpnmail.nl account gestuurt, zit toch echt een DKIM-Signature in:

 

Received: from smtp.kpnmail.nl (unknown [10.31.155.6])    by
 ewsoutbound.so.kpn.org (Halon) with ESMTPS    id
 7ba4000-db98-11ec-b4ce-005054449439;    Tue, 24 May 2022 21:34:09 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
    d=kpnmail.nl; s=kpnmail01;
    h=content-type:mime-version:message-id📅subject🇹🇴from;
    bh=FK8vTjvVvMZb3UK8g4C8w/i17EA0GO78gZrXMJSATXY=;
    b=hGP/QfgsQ1iezHvspuhB70AAmDXLN6y2qTsMihxX6tci3lnjeC9pptLrZaVfUPZGkwcFcEHmcJa02
     FdtX/dbmgu96tBrEzDqxfCjIM6v9FexvSboxKyi0L7OaeysIzRB5HSXkyDRL7eah/QXllfEkr7/r6m
     onlooIwTtwe8Z29k=

 

Mijn mailserver spamfilter geeft aan DKIM_SIGNED, DKIM_VALID en SPF_PASS, alles klopt dus.

In dit signature je zien welke selector gebruikt wordt en die opzoeken, hieronder die van kpnmail en planet:

 

Ik ben dus ook benieuwd wat er in de headers van zo'n russische spammail staat.

Dit is een deel van de header.
Het geeft inderdaad een dmarc=fail aan.
Maar alsnog is het volgens de wet niet altijd toegestaan om mails te blokkeren.
Ook niet als het een dmarc=fail geeft.

Het gaat bij dit mailtje om ICS-fraude maar er is genoeg andere fraude van Parkmobile, Bunq, etc.
Het punt is dat ik vrijwel alleen phishing ontvang van de domeinnaam planet.nl
Naast planet.nl ontvang ik alleen nog maar een klein beetje phishing waar ze zelf de naam Bitcoin in gebruiken waardoor het overduidelijk is dat dit phishing is.
Dat gaat dan om berichten van 7KB.
Bij ICS soortgelijke phishing gaat om berichten van 700KB.
Als je elke dag 10 ICS phishing berichten ontvangt gaat het om 7MB per dag.
Dat keer 365 dagen is 2,5GB per jaar.
Daarbij heb je volgens de wet een bewaarplicht van 7 tot 10 jaar.
Dan ben je dus per mailbox 25GB aan opslagruimte extra kwijt.
Dat voor 50 mailboxen is 1.250GB aan opslagruimte.
Het haalt dus de terabytes.
Als elk bedrijf dat doet gaat het milieu helemaal naar de knoppen.
Ok, het is toegestaan om mailberichten te comprimeren waardoor het bewaren minder wordt.
Maar deze berekening gaat alleen om 50 mailboxen.
En er werken meer dan 50 mensen in Nederland.
In werkelijkheid is de ontvanger dus sowieso een gedupeerde.
 


Er staat dus duidelijk. 
dkim=none;
spf=neutral ………….
de dmarc staat ook op (p=NONE sp=NONE)

KPN doet er dus helemaal niets aan.

Voor de duidelijkheid moet je een aanvraag doen bij de ACM als je persoonsgegevens op de zwarte lijst wil zetten.
Aangezien sommige mensen namen in hun e-mailadressen hebben staan of dit gericht is aan een medewerker waar een naam in staat, is het verplicht om bij elke spam- en phishingmail een aanvraag te doen bij de ACM.

Reputatie 7
Badge +11

Dit heeft m.i. niets met KPN / Planet te maken.

ARC staat voor Authenticated Received Chain, die mails zijn doorgestuurd vanaf een andere server, waarschijnlijk intern aangezien je de domeinnaam onleesbaar maakt.

dkim=none wil alleen zeggen dat er geen DKIM-Signature aanwezig is in die mail, dat is de reden van de DMARC fail.

Er staat dus ook heel duidelijk dmarc=fail, dan moet jullie mailserver zo slim (ingesteld) zijn om die mails te weigeren, en wat ik al eerder gepost heb is dat bij p=none de ontvanger sowieso zelf mag bepalen wat deze met dmarc failures doet.

sp=none slaat op de subdomeinen, daar geldt hetzelfde voor.

Aangezien je ook maar een gedeelte van de headers laat zien kan ik er verder niets van maken, er zal vast wel ergens in die headers te zien zijn waar de mail oorspronkelijk vandaan komt en dat zal vast niet van een KPN mailserver zijn.

 

Volgens welke wet mag je geen emails weigeren?

Ik heb daar nog nooit van gehoord dus ik ben benieuwd en als dat waar zou zijn vraag ik me af waarom je überhaupt hierover begint op dit forum, je had die mails dan sowieso binnen gekregen.

 

Waarom zou je een bewaarplicht hebben voor dat soort mails, je gaat toch niet alle reclame en spam mails bewaren.

Die bewaarplicht geldt alleen voor mails die betrekking hebben op de normale bedrijfsvoering, zoals afspraken, facturen e.d.

 

 

Van de belastingdienst.
Leuker kunnen we het niet maken, wel makkelijker.

 

Bron: https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/ondernemen/administratie/een_administratie_opzetten

De mailserver stuurt het vervalste mailtje inderdaad ook naar zichzelf door.
Dat gebeurt standaard wanneer je ook webmail hebt. (via web en outlook te benaderen)

Dat het niets met planet te maken heeft ben ik het niet mee eens.
De vervalser gebruikt de domeinnaam planet.nl om zijn phishing te versturen.

Om dat te voorkomen zijn er methodes bedacht.
SPF, DKIM en DMARC.

Alleen DKIM wordt gebruikt door planet.nl
De officiële selector: planet01 heb ik in mijn hele leven nog nooit gezien.
Ik ontvang alleen maar troep van planet. Niet ondertekend dus.
DMARC is zwak ingesteld en de SPF helemaal niet.

Ik zal de constructie kort uitproberen te leggen.
De Russen gebruiken servers in Duitsland.
Dat is de ene keer vps-929487-1 en de volgende keer hebben ze weer een getalletje veranderd.
Ik heb al eerder contact opgenomen met de servereigenaren en de persoon die daarop heeft gereageerd nagetrokken. Dit was een Rus.
Dat was nog voor de oorlog tussen Rusland en Oekraïne.

Duitsland heeft na de oorlog door de bezetting van de VS ook strategisch gezien altijd
goede banden gehouden met Rusland.
Na de 2e wereldoorlog mocht Duitsland geen leger meer hebben.
Om het land veilig te houden hebben ze Amerikaanse steden en Amerikaanse legerbasissen in Duitsland. O.a. vliegbasis Ramstein.
(zie hier kaartje: https://stringfixer.com/nl/List_of_United_States_Army_installations_in_Germany )
Daarbij moest/moet Duitsland aan Amerika voor die veiligheid betalen.
Maar heleboel Duitsers hadden daar na een tijd genoeg van.
Om die reden zijn er ook veel politici die daar tegen zijn. (denk aan de verhuizing van de hoofdstad van Bonn naar Berlijn in 1990)
Omdat Rusland, hoe gek het klinkt, ook meegeholpen heeft aan de vrijheid van Duitsland zijn de banden met Rusland alleen maar sterker geworden.
In werkelijkheid heeft elke rus vrij spel in Duitsland omdat het volk en de politici tegen het Amerikaanse leger is geworden.
Laatst ook op de NOS over de banden met Rusland.
Duitsland is dus partijdig.

Nu is dat op zich niet zo erg.
Tenzij ze dus de servers misbruiken.

Dat is dus het geval.
Ze gebruiken de servers om fraude te plegen.

Reputatie 7
Badge +7

@wjb Wij hebben inderdaad een policy van None. Het aanpassen hiervan naar Quarantaine of Reject heeft nogal wat impact voor een aardig gedeelte van de legitieme mailstromen van onze klanten, dit is dan ook (nog) niet gedaan.

 

@GeSp In de praktjk zal iedereen een policy van None honoreren, daar deze erg belangrijk is voor het testen van, en inzage krijgen in, problemen met Dmarc. Zonder deze policy zou het niet zo ruim geimplementeert zijn. As er van een policy afgeweken word is dat meestal Reject (Wij wijken hier ook af en behandelen het als een Quarantaine).

Reputatie 7

In de praktjk zal iedereen een policy van None honoreren, daar deze erg belangrijk is voor het testen van, en inzage krijgen in, problemen met Dmarc. Zonder deze policy zou het niet zo ruim geimplementeert zijn.

Dat betekent dus dat er eenvoudig misbruik gemaakt kan worden van kpn domeinen door de p=none in het dmarc record.

Het betekent dus ook dat iemand mijn @planet.nl emaladres zou kunnen misbruiken om mails te versturen. Dat is nogal wat.

@wjb 
Zo is het.

Het is niet de bedoeling om mensen weg te jagen bij KPN.
Als ik het nakijk hebben ook alle concurrenten die VDSL, of via kabel leveren 
netjes SPF met ~all of -all ingesteld.
Ziggomail zelfs alle 3. (SPF, DKIM, DMARC) 
T-mobilethuis, Tele2, Youfone, X2Com, NGbluNetworks, etc.  allemaal SPF met ~all of -all.

Het bijzondere is dat XS4all, waarbij KPN ook de eigenaar van is, wel SPF ingesteld heeft.
Maar overstappen naar XS4all is niet mogelijk meer omdat je dan doorgestuurd wordt naar KPN.
De andere providers waarvan KPN eigendom is hebben het allemaal met ?all ingesteld.
Kpnmail, Telfort, Planet, etc.
Online/Canaldigitaal, partner van KPN zijn overigens ook goed beveiligd.

@Dennis ABD 
Het hele punt is dat het onnodig is dat KPN geen SPF ingesteld heeft.
Ze hebben de macht om alle phishing en spam tegen te gaan, maar staan alles toe.
Dat de DMARC ook niet goed ingesteld is maakt het spammers en phishers alleen maar makkelijker.
 

Bron: https://www.dmarcanalyzer.com/nl/een-dmarc-record-aanmaken/

 

Reputatie 7

 Als ik het nakijk hebben ook alle concurrenten die VDSL, of via kabel leveren 
netjes SPF met ~all of -all ingesteld.

Ik ben het met je eens dat het spf record beter met ~all afgesloten zou kunnen worden maar dat is het probleem niet immers zowel ~all als ?all zullen, zoals eerder gezegd, leiden tot een fail in de dmarc check.

 

 Dat de DMARC ook niet goed ingesteld is maakt het spammers en phishers alleen maar makkelijker.

Die p=none in het dmarc record is eigenlijk het enige echte probleem, niet het spf record.

 Als ik het nakijk hebben ook alle concurrenten die VDSL, of via kabel leveren 
netjes SPF met ~all of -all ingesteld.

Ik ben het met je eens dat het spf record beter met ~all afgesloten zou kunnen worden maar dat is het probleem niet immers zowel ~all als ?all zullen, zoals eerder gezegd, leiden tot een fail in de dmarc check.

 

Bekijk dit eens:

Bron: https://easydmarc.com/blog/spf-authentication-spf-all-vs-all/

?all “We highly recommend not to use this option. 

 

Bij ?all komt er op SPF geen fail.
?all betekent dat elke server mail mag verzenden. 

De DMARC gaf in het geval van de Planet phishing een fail wegens de DKIM.
Ook staat er in de DMARC een aspf=r
De r staat voor relaxed en niet voor strict.

Hier nog 1 met spf=neutral bij planet.nl
Wel 1 fail wegens niet verzonden met DKIM maar het blijft zwak dat ze niet aangeven welke servers mogen verzenden onder planet.nl en kpnmail

 

Reputatie 7

Zou jij eens een aantal van die mails ongewijzigd en als bijlage door kunnen sturen naar abuse@kpn.com zodat zij daar eens naar kunnen kijken.

Persoonlijk vind ik dat KPN er eigenlijk best veel aan gelegen zou moeten zijn dat er geen misbruik gemaakt kan worden van haar domeinen.

Ik hoop dan ook dat @Dennis ABD hier toch nog eens serieus naar wil (laten) kijken.

Reputatie 7
Badge +11

Ik denk dat beide instellingen van de SPF (?all) en DMARC p=none bijdragen aan het probleem, op deze manier hebben beide records weinig nut en wordt het spammers i.d.d. te makkelijk gemaakt om via planet.nl of kpnmail.nl emailadressen te spammen.

Je moet dus andere manieren gebruiken om te kijken of iets wel of geen legitieme mail is, wat je sowieso zou moeten doen, ook al zouden alle records kloppen kan er nog spam of erger van gehackte accounts bij planet of kpnmail komen.

 

 

@wjbWij hebben inderdaad een policy van None. Het aanpassen hiervan naar Quarantaine of Reject heeft nogal wat impact voor een aardig gedeelte van de legitieme mailstromen van onze klanten, dit is dan ook (nog) niet gedaan.

 

@GeSpIn de praktjk zal iedereen een policy van None honoreren, daar deze erg belangrijk is voor het testen van, en inzage krijgen in, problemen met Dmarc. Zonder deze policy zou het niet zo ruim geimplementeert zijn. As er van een policy afgeweken word is dat meestal Reject (Wij wijken hier ook af en behandelen het als een Quarantaine).

 

 

@Dennis ABD

KPN moet nu toch ook wel een keer uitgetest zijn want het staat volgens mij al jaren op p=none.

Wat betreft het forwarden van mails, daar is toch ARC voor uitgevonden zodat het geen DKIM-Signatures e.d. meer breekt?

Reputatie 6
Badge +9

@GeSp,

 

Mailservers kunnen inderdaad met ‘SRS’ de huidige informatie van de ‘verzender’ doorsturen naar de eindbestemming als ze als ‘forward’ server dienen. Helaas in de praktijk staat dat nauwelijks aan bij mailservers. Bijvoorbeeld bij SpamExperts gaat het ook fout omdat ze ‘SRS’ niet gebruiken om de huidige bron gegevens mee te nemen.

Reputatie 7

Ook staat er in de DMARC een aspf=r
De r staat voor relaxed en niet voor strict.

Het verschil tussen r en s is alleen wel heel iets anders als wat jij waarschijnlijk denkt dat het is.

Bij r hoeft het (sub)domein niet exact overeen te komen maar mag het ook een subdomein daarvan zijn terwijl bij s het (sub)domein exact overeen moet komen.

Een mail van abc@sub.planet.nl zal bij r een pass krijgen en bij s een fail.

Een mail van abc@planet.nl zal in beide gevallen een pass krijgen.

Reputatie 7
Badge +11

@King006 

 

SRS doet forwarden op een andere manier, kon er zo snel niets over vinden wat nu echt een goede uitleg geeft en waarom dat geen DKIM-Signatures zou breken, ik las wel ergens een commentaar dat de DMARC alignment dan niet meer klopt omdat de envelope-from veranderd, dan lijkt het mij dat het DKIM-Signature dus niet meer klopt, maar ik zoek nog even verder of heb je ook een link waar een goede uitleg staat?

ARC is wat anders, zie b.v. deze website voor uitleg: https://postmarkapp.com/blog/what-is-arc-or-authenticated-received-chain

Reageer