Mathieu Donders

Ik kom dit bij kleine bedrijven heel vaak tegen, en bijna niemand weet dat het speelt: bij veel domeinen kan in principe iedereen een mail versturen die eruitziet alsof die van jou komt. Aan je klanten, met jouw adres als afzender. Geen hack, geen inbraak in je account, gewoon een open deur die nog niet is dichtgezet. Hoe dat kan, in gewone taal. Of een mail namens jouw domein mag worden verstuurd, regel je met drie instellingen in je domein: SPF, DKIM en DMARC. Even kort wat ze doen: SPF is een lijst van wie er namens jou mag mailen. DKIM is een soort echtheidskenmerk op je mail, zodat de ontvanger kan controleren dat hij onderweg niet is vervalst. En DMARC is de instructie aan de ontvangende mailserver: wat moet je doen met mail die zich voordoet als mij maar niet klopt. Pas als die laatste goed staat, wordt nepmail uit jouw naam ook echt tegengehouden of als verdacht gemarkeerd. Het probleem dat ik vaak zie: SPF staat er nog wel half, maar DMARC ontbreekt of staat zo zacht dat er feitelijk niets wordt geblokkeerd. Dan kan iemand dus nog steeds mailen alsof het van jou komt. Wat je zelf kunt doen. Je hoeft hier geen dure beveiliging voor in te huren. Vraag je domeinprovider of websitebouwer of SPF, DKIM en DMARC goed staan voor je domein, en specifiek of DMARC op een actieve stand staat in plaats van alleen monitoren. Er zijn ook gratis online tools waarmee je je eigen domein kunt checken, dan zie je zelf of er iets ontbreekt. Belangrijk om te weten, want het klinkt enger dan het is: dit is geen acute hack en geen reden tot paniek. Het is een instelling die bij heel veel bedrijven gewoon nog niet is gezet. Eenmaal goed staat het, en dan ben je er vanaf. Mochten er vragen over zijn, stel ze gerust, dan denk ik mee.

Even op die twijfel over wachtwoordmanagers, want die hoor ik vaker en hij houdt mensen onnodig tegen. Dat idee dat een schriftje veiliger is dan een wachtwoordmanager klinkt logisch, maar het klopt niet voor de meeste mensen. De vergelijking wordt vaak verkeerd gemaakt. De echte vraag is niet "kan een wachtwoordmanager ooit gehackt worden", want in theorie kan alles, de echte vraag is "wat gaat er in de praktijk mis bij mensen". En dat is bijna nooit een gekraakte kluis. Het is hergebruik van hetzelfde wachtwoord, een wachtwoord dat ergens anders al gelekt is, of een nepmail waar iemand intrapt. Tegen precies die drie dingen helpt een wachtwoordmanager, en een schriftje niet. Een goede wachtwoordmanager bewaart je wachtwoorden versleuteld, zo dat zelfs de aanbieder er niet bij kan. Word je toch ongerust over die ene kluis, dan is de oplossing niet "terug naar papier", maar je belangrijkste accounts extra beveiligen met tweefactor of een passkey, zoals hierboven al genoemd. Dan heeft iemand aan alleen je wachtwoord sowieso niets. Kort gezegd: een schriftje beschermt je niet tegen de dingen die mensen echt de das omdoen. Een wachtwoordmanager met tweefactor erbij wel. Begin desnoods klein, alleen met je mail en je bank, want je mail is de loper naar al je andere accounts.