Verbeteringen aan site + verzonden mails

  • 7 september 2018
  • 12 reacties
  • 1005 Bekeken

  • Anonymous
  • 0 reacties
Hoi Knab!

Ik was even benieuwd dus heb ik op internet.nl wat testjes gedaan, en helaas komen knab.nl en @knab,nl daar niet zo goed uit.
Dit is de test voor e-mail: https://internet.nl/mail/knab.nl/145412/
En dit is de test voor de website: https://internet.nl/site/knab.nl/362055/

Ik wil een aantal suggesties zijn die cruciaal zijn, niet alleen voor het vertrouwen door experts in de site en in de motivatie van Knab om het veilig te houden, maar ook gewoon omdat het beter oogt, zeker voor een bank.

E-MAIL:
1. Schakel DNSSEC in als dit mogelijk is
2. Schakel zeker weten DMARC, DKIM en SPF in. Dit zijn manieren zodat andere providers direct kunnen herkennen of het mailtje daadwerkelijk verzonden is vanuit jullie domein, en niet met een website waar je elke afzender in kunt vullen om een phishing bericht te sturen bijvoorbeeld. Mijn mailprovider markeerde jullie bericht al als spam, omdat niet vastgesteld is of het daadwerkelijk van jullie afkomt. Pak dit dus alsjeblieft zeker op 🙂
3. Schakel IPv6 in als dit kan. De IPv4-adressen zijn op, het nieuwe internet gaat bestaan uit IPv6-adressen en hoe dan ook moet Knab in de nabije toekomst hier aan gaan geloven. Dit heeft geen topprioriteit, maar het is wel fijn als een bank naar de toekomst leeft en dit alvast heeft ingeschakeld.

WEBSITE:
1. Schakel DNSSEC in als dit mogelijk is
2. Schakel HSTS in. Dit zorgt ervoor dat er altijd HTTPS gebruikt moet worden en dit helpt beschermen tegen een man-in-the-middle attack.
3. Schakel IPv6 in (zie uitleg hierboven)

Graag hoor ik hoe jullie hierover denken en wat jullie hopelijk (nog meer) aan gaan passen :-)

Vriendelijke groet,
M

12 reacties

Reputatie 1
Dag Mario..ik ben erg blij dat je dit gechecked heb. Goede aanvullingen, mocht dit nog niet geimplementeerd zijn..

En ook erg belangrijke aanvullingen voor een bank.
Ik wilde nog even een toevoeging doen, dit is dus wat ik te zien krijg als ik een mail krijg van Knab. Bij mij zullen mensen dit nooit te zien krijgen, omdat mijn domein DMARC, DKIM en SPF heeft.

Zie hier wat ik te zien krijg bij jullie mails: https://prnt.sc/krzs04

Vriendelijke groet,
M
Reputatie 5
Badge +1
Bedankt voor de uitgebreide analyse, Mario :)
Zoals je misschien begrijpt heb ik hier geen kaas van gegeten; ieder zo z'n expertisegebied. ;)

Ik ga er altijd van uit dat mijn collega's van security alles netjes en goed hebben opgebouwd, dat vertrouwen als leek moet ik hebben, hoewel er vast altijd wel verbeterpuntjes zijn. Maargoed, inhoudelijk kan ik hier helaas niet op reageren. Ik heb een bericht naar mijn security collega's gestuurd om hier antwoord op te geven.

Groet, David


P.s. Misschien ook nog even een notitie waar het aan komt op topics over onze systemen; dit forum is daar niet op toegerust zoals je waarschijnlijk hebt ondervonden. Zeker bij onderwerpen als security zul je zien dat, hoewel veel dingen in de openbaarheid goed zijn en wij dat ook graag zouden willen, wij niet altijd het achterste van de tong willen laten zien juist omdat het om veiligheid gaat (sorry, dat staat helaas niet ter discussie). Toch wil ik altijd mijn best doen om een antwoord voor je te vinden 🙂 Heb je nou écht iets waarvan je zegt "daar moeten ze direct iets mee", dan ben je in veel gevallen beter uit met een mailtje naar service@knab.nl. Los van dat je natuurlijk sowieso welkom bent om iets hier te posten is het goed goed om dat altijd even mee te wegen.
Reputatie 6
Badge +2
Hi Mario,

Goede punten die je noemt in dit topic. Ze zijn allemaal al bekend bij ons en er wordt aan gewerkt. In het vervolg kun je deze zaken ook melden via onze standaard procedure.
Meer hierover kun je hier teruglezen.

Groet, Pam
Reputatie 1
Goede inbreng hier..gisteren een mail uit de spammap gevist van dit forum omdat Google dacht dat het om phishing ging.
Reputatie 1
Goedemorgen, ik krijg nog steeds de mails van KNAB in mijn "Spam map" van Gmail. Gaan jullie dit nog oppakken? Ik vind dit wel belangrijke zaken.

Dit heeft betrekking op Forum Reacties (denk 2x per maand), niet de incasso mails en de bijschrijvingen.
Reputatie 5
Badge +1
Met de certificaten van de e-mails is, zoals ik heb begrepen van mijn collega's, alles in orde (los van de suggesties die zijn gedaan in dit topic). Waarom Google deze mails in de spam- (of reclame-)box plempt is mij ook niet duidelijk. Helaas hebben we geen controle over Google, het is ook heel erg vreemd dat dit niet altijd en ook niet bij iedereen het geval is.

Groet, David
Reputatie 4
Badge
Met de certificaten van de e-mails is, zoals ik heb begrepen van mijn collega's, alles in orde (los van de suggesties die zijn gedaan in dit topic). Waarom Google deze mails in de spam- (of reclame-)box plempt is mij ook niet duidelijk. Helaas hebben we geen controle over Google, het is ook heel erg vreemd dat dit niet altijd en ook niet bij iedereen het geval is.

Groet, David

David, ik heb hetzelfde probleem met mijn Outook mail-account. Het is dus niet alleen bij een Google mail-account een probleem.
Bij Outlook kan wel het KNAB domein ingevoerd worden als veilige afzender
Reputatie 1
..en wat gaat er nu precies nog met die suggesties gebeuren in de toekomst? Wellicht lossen deze de problemen op. Ik weet dat sommige mailprogramma's wel "waarderen" als je het goed hebt ingesteld. Dit zou zeker geen kwaad kunnen.

Wat ik meer bedoel is dat het toch geem maand hoeft te duren om de suggesties door te voeren? Ik zit zelf in de ICT en dit moet in een week geregeld kunnen worden.
Reputatie 1
Jullie DMARC record staat niet ingesteld. Ongelovelijk: https://www.forumstandaardisatie.nl/standaard/dmarc

Reputatie 5
Badge +1
Hoi Wallace78,

Bedankt voor het melden, en de link naar de uitleg. Dit is geen ontwikkelaarsforum, dus fijn dat je die link meegaf.

Jullie DMARC record staat niet ingesteld. Ongelovelijk: https://www.forumstandaardisatie.nl/standaard/dmarc



Ben je van meniing dat de veiligheid van Knab in het geding komt dan mag je dit direct bij mijn veiligheidscollega's melden zoals omschreven op onze site. Je mag het zelf uiteraard ook nog een keer melden bij ze. Ik stuur je melding sowieso ook door.

Groet, David
Reputatie 1
Hier is blijkbaar nog niks aan gedaan. Ik krijg de reacties van het forum nog steeds in de spam-box met deze melding.

Gisteren weer eentje. Het kan allemaal toch niet zo lastig zijn toch?

Reageer