Omschrijving
- Type: CUSTOMER
- Severity: WARNING
- Bescherming tegen: Misconfiguration (Human Error)
- CIS: –
Deze Customer Check controleert of er voor uw e-maildomeinen autodiscovery goed is ingesteld.
Waarom deze check?
E-mailprogramma’s zoals Microsoft Outlook maken het eenvoudig om de instellingen van uw e-mailbox correct in te vullen. Dat gebeurt door middel van het Autodiscover protocol. Wanneer u uw e-mailadres invult, zal het programma op het internet zoeken wat de juiste server is waar uw e-mail gedownload kan worden, om te beginnen op http://autodiscover.<uwdomein> maar ook op andere varianten.
Het is gebleken dat deze functionaliteit misbruikt kan worden. Dat is mogelijk wanneer de eigenaar van een domein vergeten is om Autodiscover correct in DNS te regelen. Het misbruik kan tot gevolg hebben dat uw logingegevens in verkeerde handen komen. Meer informatie over het lek is te vinden in de publicatie van de onderzoek die het ontdekte, Amit Serper van Guardicore.
Deze check controleert daarom of voor al uw e-maildomeinen Autodiscover goed is ingesteld.
Welke mogelijke uitkomsten heeft de check?
Deze check heeft drie mogelijke uitkomsten. In Attic komt dit als volgt tot uiting:
- Okay: Voor al uw e-maildomeinen is Autodiscovery goed ingesteld
- Warning: Autodiscovery voor uw primaire domein is niet correct ingesteld
- Error: Autodiscovery is voor 1 of meerdere niet-primaire domeinen niet correct ingesteld
Hoe moet dit worden opgevolgd?
Indien de output Warning is, betekent het dat het domein waarmee uw medewerkers inloggen kwetsbaar is voor misbruik. We adviseren in dat geval dit probleem met spoed op te lossen. Bij Error gaat het om secundaire domeinen, waarvoor de kans op lekken van logingegevens kleiner is, maar toch is het goed om Autodiscovery ook dan alsnog goed in te stellen.
Autodiscovery dient binnen de DNS configuratie van het betreffende domein moeten worden ingesteld. Neem dus contact op met de beheerder van die configuratie om dit op te lossen.
Het record dat in uw DNS zou moeten bestaan, is:
- name: autodiscover
- type: CNAME
- target: autodiscover.outlook.com
Het correct configureren van dit DNS record is geen garantie tegen misbruik. De DNS server die door een bepaalde medewerker gebruikt wordt, zou bijvoorbeeld misbruikt kunnen worden om alsnog naar een malafide server door te verwijzen. Er zijn nog wat additionele controls mogelijk om kans op misbruik verder te reduceren. Zie daarvoor de adviezen van Guardicore: Autodiscovering The Great Leak