Auteur: Sigurd

Geplaatst op

DNS-beveiliging in beeld

Controleer je domeinen met één gratis script

E-mailfraude, phishing en spoofing zijn aan de orde van de dag. Toch zijn de technische maatregelen die deze aanvallen tegengaan — zoals SPF, DMARC en DKIM — bij veel organisaties niet of onvolledig ingesteld. Zeker in sectoren waar meerdere domeinen in beheer zijn, zoals bij accountantskantoren, ontbreekt vaak een snel overzicht van de beveiligingsstatus per domein.

Daarom heb ik een gratis Python-script ontwikkeld waarmee je DNS-configuraties geautomatiseerd kunt controleren: voor één domein, of voor een volledige lijst.

Wat controleert het script?

Per domein analyseert het script de volgende instellingen:

  • SPF — Is er een geldig afzenderbeleid? Hoe streng is de configuratie, en hoeveel DNS-lookups worden er gebruikt?
  • DMARC — Welk beleid is ingesteld voor niet-geauthenticeerde e-mail? Zijn rapportages geconfigureerd?
  • DKIM — Zijn de digitale handtekeningen voor Microsoft 365 en Google Workspace aanwezig?
  • DNSSEC — Is de DNS-zone cryptografisch beveiligd tegen vervalsing?
  • MTA-STS — Wordt TLS afgedwongen bij e-mailaflevering?
  • BIMI — Is er een merklogo geconfigureerd voor ondersteunde e-mailclients?
  • CAA — Zijn de bevoegde certificaatautoriteiten beperkt?
  • security.txt — Is er een meldpunt voor beveiligingskwetsbaarheden beschikbaar?
  • MX-records — Welke mailserver en provider zijn in gebruik? Is er een Secure Mail Gateway aanwezig?

Twee gebruiksmodi

Enkelvoudig domein — HTML-rapport

Voer één domeinnaam in en ontvang direct een overzichtelijk HTML-rapport met een score, aandachtspunten en een gedetailleerde toelichting per onderdeel. Het rapport is zelfstandig — geen externe afhankelijkheden — en kan direct worden geopend in een browser of worden doorgestuurd per e-mail.

Lijst van domeinen — Excel-werkmap

Sla een tekstbestand op met één domeinnaam per regel en verwerk de volledige lijst in één keer. Het resultaat is een gekleurde Excel-werkmap: groen voor correct geconfigureerde instellingen, rood voor ontbrekende of onjuiste configuraties, grijs voor niet van toepassing. Zo heb je in één oogopslag een volledig overzicht van alle domeinen.

Voor wie is dit script bedoeld?

Het script is praktisch inzetbaar voor:

  • Accountantskantoren die de e-mailbeveiliging van hun eigen domein of die van klanten willen controleren
  • IT-beheerders die periodiek een overzicht willen van de DNS-beveiligingsstatus binnen hun portefeuille
  • Organisaties die zich voorbereiden op certificering of compliancetrajecten waarbij e-mailbeveiliging een rol speelt

Technische vereisten

Het script draait op Windows, macOS en Linux en vereist Python 3.10 of hoger. Bij de eerste opstart controleert het automatisch of de benodigde pakketten aanwezig zijn en biedt het aan deze te installeren. Alle uitvoerbestanden worden lokaal opgeslagen — er worden geen gegevens naar externe servers verstuurd.

Het ZIP-bestand bevat het script én een beknopte installatiehandleiding voor gebruikers zonder technische achtergrond.

Download

Het script is gratis beschikbaar. Klik op onderstaande knop om het ZIP-bestand te downloaden.


↓ Download DNS Checker (gratis)

Geplaatst op

Tweestapsverificatie is niet alleen voor nerds

Credits: Aaron Goodwin – Nerd – Flickr

Ik vind informatiebeveiliging leuk. Waarschijnlijk behoor ik daarmee tot een minderheid. Democratisch gezien zal ik deze discussie dus verliezen tenzij ik jou ervan overtuig dat tweestapsverificatie echt helpt, ook als je niet schatbewaarder van De Nederlandsche Bank bent.

De laatste tijd is steeds vaker fraude in het nieuws via internetoplichting. Waar vroeger vooral de e-mail werd gebruikt, maken kwaadwillenden nu steeds meer gebruik van het vertrouwen dat social media wekken. Voorbeelden daarvan zijn Whatsapp fraude en hacks op social media accounts. Tegen iemand die zich voordoet als een ander (‘social engineering’, zoals met Whatsapp fraude) is niet zoveel technisch te doen, maar tegen hacks op social media is er een heel adequaat middel: tweestapsverificatie.

Waarom zou je dat doen?

Social media berichten worden net als e-mail heel makkelijk vertrouwd. Als je een Whatsapp krijgt van een vriend of een Linkedin message of Facebookbericht ben je geneigd je schild van wantrouwen snel te laten zakken. Als een hacker er in slaagt jouw account over te nemen, kan hij heel snel andere slachtoffers maken. Daarom gebruiken bedrijven en zakelijke clouddiensten zoals Exact Online en Nmbrs vaak een vorm van tweefactorauthenticatie. Als een wachtwoord wordt gekraakt of afgegeven, blijft de omgeving alsnog beschermd door de tweede laag, iets wat je bent of iets wat je hebt. NCSC adviseert waar mogelijk altijd tweefactorauthenticatie toe te passen.

Privé zou je dat ook moeten doen. Zeker wanneer zakelijk en privé een beetje door elkaar gaan lopen zoals bij Linkedin en soms ook Facebook. Een hacker is het waarschijnlijk niet te doen om jouw vakantiefoto’s of Linkedincontacten, maar door uit jouw naam een bericht te sturen met een malafide link, wekt die vertrouwen bij een ontvanger. Daarbij worden sommige diensten zoals Facebook of Google door veel mensen als identity provider (‘aanmelden met je Facebook account’) ingezet. Een hacker kan zelfs een account bij een webshop aanmaken onder jouw naam! Dan is een hack van Facebook ineens veel meer dan lastig. Behalve het risico op gegevensdiefstal of bankfraude, loop je ook het risico op identiteitsdiefstal of het in gevaar brengen van andere mensen in je sociale netwerk.

Is het moeilijk?

Nee, het is niet moeilijk. Google, Facebook, Linkedin, Twitter, Microsoft Live/Hotmail, Whatsapp, Apple (verplicht), ze bieden allemaal tweefactorauthenticatie. Zeker omdat deze accounts ook voor identity provider kunnen worden ingezet (je kunt ergens anders inloggen met je Facebook, Microsoft of Google account), moeten die aanmeldsystemen beschermd worden. Het instellen is in al deze platformen een standaard beveiligingsoptie onder je accountinstellingen.

Wat heb je ervoor nodig?

Je hebt een smart phone nodig met een Authenticator app. Als je een zakelijke Office account hebt, is de Microsoft authenticator een goede keuze omdat je dan ook de backupfunctie kunt gebruiken. Maar als je dit zakelijke en privé wilt scheiden, kun je ook Google Authenticator of Lastpass gebruiken. Lastpass biedt ook een wachtwoordkluis en backup van je verificatiesleutels. Het nadeel daarvan is wel dat Lastpass vervolgens eigenlijk beide autehnticatiefactoren beheert. Met de telefoon app scan je een QR code en geeft als respons de cijfercode die in je app verschijnt. Vanaf dat moment wordt er een continu wisselende code gegenereerd die je moet ingeven bij inloggen.

Is dat niet onhandig?

Ja het is erg onhandig om altijd te moeten aanmelden met twee codes. Daarom bieden de meeste platformen de mogelijkheid hun app op je telefoon of in de browser op een specifieke pc te vertrouwen. Dan hoef je niet je authenticator te gebruiken wanneer je via dat apparaat aanmeldt, maar wel als iemand (bijvoorbeeld een hacker) via een ander apparaat probeert aan te melden.

Op deze blog van Corinne Keijzer wordt het voor verschillende platformen met screenshots gedemonstreerd, bijvoorbeeld voor Linkedin. Zet deze beveiligingsoptie alsjeblieft aan, het kost je een paar minuten en kan jou en de mensen om wie je geeft heel veel ellende besparen!

Nog één tip: wanneer je van telefoon wisselt, worden de accounts in je authenticator app niet zomaar gebackupd en teruggezet op je nieuwe apparaat. Zet dus de backupfunctie in de Microsoft Authenticator app aan als je die gebruikt. Dat bespaart je een hoop tijd ten opzichte van alle authenticators opnieuw instellen. Lastpass slaat de sleutels sowieso op in de cloud maar Google authenticator is nog niet zo ver.

Geplaatst op

Forever Today is opgericht!

Welkom op de website van Forever Today. Forever Today is een vennootschap die diensten levert en investeert op het grensvlak van Accountancy en ICT. Op dit moment is op deze website nog weinig te vinden. Alle aandacht gaat uit naar het project Focudis van Braindumplabs.