Mailservers nog kwetsbaar voor DNS-lek

Via een gerichte aanval kunnen mailberichten in veel gevallen nog steeds worden afgevangen. Juist de extra beveiliging van mailservers gooit vaak roet in het eten. Firewalls maken namelijk het willekeurige poortgebruik van de DNS-patch ongedaan.

Veel mailservers in Nederland zijn nog niet gepatcht tegen het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminsky begin juli wereldkundig maakte. Dat zegt SIDN, de organisatie die het .nl-domein beheert. Antoin Verschuren, technisch adviseur bij SIDN: "Hoewel de grote internetproviders hun DNS-servers nu vrijwel allemaal gepatcht hebben, zien we dat mailservers dat vaak nog niet zijn."

"We weten niet of het daarbij om mailservers van providers gaat of van bedrijven." SIDN kan niet zeggen om welk percentage van de Nederlandse mailservers het gaat. Verschuren: "We weten alleen dat we veel namen van mailservers tegenkomen in onze lijst van ongepatchte servers."

Mailservers over hoofd gezien

Volgens Verschuren zijn er verschillende redenen waarom juist mailservers minder vaak gepatcht zijn: "Beheerders hebben zich in eerste instantie gericht op het patchen van machines die als officiële dedicated nameserver bekend staan. Vaak zijn zij ‘vergeten' dat er op de mailservers ook nog nameserversoftware staat."

"Beheerders van kleinere bedrijfsnetwerken hebben vaker wat minder kennis van DNS. Of ze weten gewoon niet dat er op hun mailserver ook een nameserverproces draait. Bovendien zijn er binnen een netwerk meestal meer mailservers dan nameservers aanwezig. De nameservers doen de meeste queries, dus die worden als eerste gepatched, de mailservers pas later."

Firewall gooit roet in eten

Een ander probleem is dat mailservers vaak draaien achter een firewall of router met strikte poortcontrole, die het effect van de patch ongedaan maakt. De patch tegen het Kaminsky-lek zorgt er namelijk voor dat de afzenderpoort van een vertaalverzoek een willekeurig getal krijgt (64000 mogelijkheden). Wanneer de firewall die keuze voor een willekeurige (random) poort ongedaan maakt, is het  patchen voor niets geweest.

Verschuren: "Vaak zijn mailservers wat beter beveiligd omdat er vertrouwelijke informatie op staat, of de beheerders willen ze beter beschermen tegen misbruik door spammers. Het is daardoor complexer om te zorgen dat die beveiliging wordt aangepast naar aanleiding van het DNS-lek." Adviezen om met deze situatie om te gaan, zijn te vinden in dit document van overheidsorganisatie Govcert.

Kleinere bedrijfsnetwerken

Daarnaast zijn kleinere bedrijfsnetwerken en thuisnetwerken volgens Verschuren meestal nog ongepatcht. SIDN ziet veel DSL-aansluitingen in de lijst van ongepatchte servers. Verschuren: "Binnen kleine bedrijfsnetwerken wordt het DNS-verkeer meestal door heel goedkope routertjes verzorgd. Die kunnen vaak niet eens gepatcht worden."

"Die gebruikers moeten dus eigenlijk een nieuwe router aanschaffen. Meestal zijn zij zich echter van geen gevaar bewust. Ik denk overigens niet dat criminelen dergelijke kleine gebruikers als doelwit kiezen, omdat er relatief weinig te halen valt."

Meer veilige queries

Het aantal gepatchte DNS-servers is nauwelijks toegenomen: ongeveer eenderde van de DNS-servers in Nederland is niet gepatcht. Verschuren: "Toch is het aantal onveilige queries gedaald van achttien naar veertien procent. Dat komt doordat een aantal grote DNS-servers inmiddels gepatcht is."

Bovendien klinkt het percentage van veertien procent volgens Verschuren ernstiger dan het is: "We houden iets minder dan vijf procent over aan kwetsbare queries als we de adressen filteren. Dus het buiten beschouwing laten van nameservers waarvan we op basis van patronen vermoeden dat ze gebruikt worden voor onderzoek of monitoring van domeinnamen."