Door: Daniël Smidt (Chief Technology Officer)
In deze Post-mortem blikken we terug op de e-mail-problematiek rondom het gebruik van Simplicate en Microsoft. Daarnaast blikken we vooruit en vertellen meer over gerelateerde product updates die er nog aankomen.
Deze situaties willen wij in de toekomst voorkomen. Daarom hebben wij maatregelen genomen zoals extra monitoring en aangescherpte beveiliging.
Daarnaast zijn we nu versneld bezig met het:
Deze punten leggen we hieronder uit.
Op 15 december 2022 ontvingen we de eerste melding bij onze supportafdeling van het feit dat bepaalde mails niet aankomen. Uit nader onderzoek bleek dat het probleem al sinds 12 december speelt. Het werd snel duidelijk dat het alleen om Microsoft-gebruikers gaat en daarnaast alleen om mailtjes met links naar simplicate.nl of simplicate.com in de tekst. Onze sites werden onterecht door Microsoft Office 365 Defender gemarkeerd als phishing sites. E-mails kregen een ‘High Confidence Phish’-kenmerk door een ‘URL detonation reputation’. Hierdoor kwamen deze e-mails in quarantaine, waardoor ze zelfs de spambox van een gebruiker niet bereikten. E-mails vanuit Simplicate met PDF-bijlagen of zonder link kwamen wel aan.
Afgelopen jaar hebben we in het kader van onze ISO-27001 certificering veel procedures, waaronder voor continuïteit, doorgelicht en waar nodig aangescherpt. We moeten eerlijk bekennen dat dit scenario zo ongebruikelijk was, dat het niet bij ons op de plank lag.
Ondanks onze monitoring op e-mail, hadden we geen eigen indicatie dat er wat fout liep. Wij konden de e-mails gewoon afleveren en kregen geen foutmeldingen (bounces) terug. Dit laat de technische beperking van e-mail zien: er is geen standaard voor ontvangstbevestiging. We ontdekten dat de oorzaak niet zit in hoe onze applicatie mail verstuurt, want ook e-mails die een link bevatten naar Simplicate en verstuurd werden vanuit bijvoorbeeld privéadressen zoals Gmail of Hotmail kwamen niet aan.
Hoe meer onderzoek we deden, des te meer we vermoedden dat er buiten ons platform wat was veranderd. Ondertussen kregen we van verschillende partijen signalen dat Microsoft in december aanpassingen heeft gedaan aan Office 365-producten en hoorden we in het reguliere nieuws van uitval van clouddiensten. De afhankelijkheid van partijen als Microsoft in onze maatschappij is groot, maar ze zijn zeker niet feilloos. Ons probleem bleek ook hier een geval van overmacht te zijn. De ontoegankelijkheid tot Microsoft maakte de weg naar de oplossing tot een erg moeilijk en vooral slepend proces.
Uiteindelijk hebben we een werkende oplossing en uitleg van Microsoft, maar geen uitputtende oorzaakanalyse ontvangen (Root Cause Analysis). Of dit onwil, policy of onmacht is weten we niet. Het blijft deels gissen waarom precies onze URL’s als phishing werden aangemerkt. De logica van het algoritme van Microsoft Defender maakt gebruik van Machine Learning, waar weinig over bekend is. We zijn een aanvullende (juridische) procedure gestart om hier meer inzicht in te krijgen.
Op 16 februari 2023 heeft het Engineering Team van Microsoft op het hoofdkantoor in Redmond, U.S.A. voor ons de oplossing doorgevoerd in Microsoft Defender van Office 365.
Eerder zijn ook andere pogingen gedaan, die slechts tijdelijk of niet volledig werkten. De eerste poging was het door Microsoft resetten van de domeinreputatie van de domeinen simplicate.nl en simplicate.com. Deze negatieve reputatie was volgens Microsoft onterecht ontstaan door een fout in hun Machine Learning algoritme van Defender. De aanpassing werkte slechts tijdelijk, want de negatieve reputatie kwam automatisch terug door hetzelfde algoritme.
We hebben meer dan twee maanden zeer intensief contact met Microsoft gehad en verschillende ingangen gezocht. Het probleem is uiteindelijk definitief verholpen doordat het Microsoft Engineering Team een harde uitzonderingsregel in hun algoritme heeft geconfigureerd. Wij schatten in dat dit een middel is wat ze slechts in uitzonderlijke situaties toepassen.
Uiteraard hebben we zelf nog veel andere oplossingsrichtingen geprobeerd gedurende de uitval. Hieronder leggen we een aantal van deze maatregelen in detail uit.
We streven naar zo veel mogelijk zekerheid om in de toekomst niet in dezelfde situatie te belanden. De harde uitzonderingsregels die nu door Microsoft zijn toegepast, zorgen ervoor dat het Machine Learning model van Defender leert van zijn fouten. Hierdoor zou het probleem zich in de toekomst niet weer voor mogen doen.
Deze uitleg geeft ons onvoldoende zekerheid. Daarom zorgen we ervoor dat we, nog meer dan we al deden, alle technische industriestandaarden hanteren en best practices volgen, zodat we de kans om uitgefilterd te worden zo klein mogelijk maken. Daarnaast hebben we een aantal grotere productveranderingen in petto.
We hebben onze monitoring flink uitgebreid om sneller te kunnen reageren. Een deel van deze monitoring is ook beschikbaar geworden voor Simplicate beheerders. Daarnaast hebben we onze testprocedures met het Quality Assurance team uitgebreid om zeker te zijn dat mails met linkjes naar onze omgevingen aankomen. De komende tijd doorlopen we ook elke ochtend nog een extra uitgebreide testprocedure.
Elk jaar laten we onze software door een externe partij toetsen op beveiliging. Onder andere met een penetratietest. Deze laatste test van 2022 gaf ons voldoende zekerheid dat we niet als phishingsite ingezet kunnen worden. Toch hebben we onze logs onderzocht op verdacht verkeer en niks gevonden. Ook externe Malwarescans gaven geen zorgelijke uitslag. Er werd slechts door één van de vijf tools verouderde code gevonden, die we uit voorzorg hebben vervangen. Uit e-mail evaluatie tooling kregen we al een 9.4 uit 10. Toch hebben we onder andere de beveiliging van e-mail door middel van DMARC nog strenger afgesteld. Daarnaast is extra monitoring geïntroduceerd die laat weten wie namens onze domeinen probeert te e-mailen.
Onze website www.simplicate.com wordt gehost bij DigitalOcean. Hosters hebben door misbruik het risico op blocklists te komen. Daarom versturen we e-mail via de gespecialiseerde e-mailproviders Mandrill/Mailchimp en Postmark. Daarnaast hebben we nu (net als bij onze software) uit voorzorg ook een Web Application Firewall geplaatst voor onze website. Hiermee wordt de kans op phishing en het negatief beïnvloeden van de reputatiescore door een hostingpartij verder voorkomen.
Op dit moment is het zo dat onze domeinnaam van onze website gelijk is aan onze software (bijvoorbeeld: omgeving.simplicate.nl). Onze website en software hebben hierdoor onbedoeld invloed op elkaar, ze delen hun reputatiescore. Wij werken er naar toe dat we de Simplicate omgevingen op een apart domein (omgeving.simplicate.app) kunnen gaan aanbieden. We maken het hiermee makkelijker om te switchen van domeinnamen als het probleem zich weer voordoet en hiermee voorkomen we een gedeelde reputatie. Deze oplossing hebben we met Microsoft gevalideerd.
Technisch gezien hebben we veel aanpassingen uitgeprobeerd. Helaas werden workarounds en omleidingen snel weer door het Defender algoritme ontdekt en ongedaan gemaakt. Gericht te werk gaan en evalueren was lastig omdat Microsoft niet prijsgeeft hoe het algoritme werkt en wat voor kenmerken of technische combinaties problematisch zijn. Daarom richten we ons nu op productverbeteringen voor de lange termijn die zeker bijdragen aan meer grip op betrouwbare communicatie.
Omdat e-mail geen afleverzekerheid biedt, zijn we begonnen aan het ontwikkelen van andere communicatiemiddelen. Zo gaan we versneld e-facturatie via het Peppol netwerk ondersteunen. We geloven erin dat dit de toekomst is van facturatie, onder andere omdat dit phishing onmogelijk maakt en afleverzekerheid biedt.
Het initiatief om over te gaan op een ander domein en het ondersteunen van Peppol hebben de komende tijd onze prioriteit. Uiteraard horen jullie hier tijdig meer over en maken we het zo makkelijk mogelijk om Simplicate te blijven gebruiken.
We willen jullie bedanken voor het geduld en vertrouwen in deze onzekere periode. In het bijzonder bedankt voor iedereen die mails heeft doorgestuurd zodat we bewijs hadden, op ons bericht op LinkedIn heeft gereageerd en anderen die ons met raad en daad hebben bijgestaan en zelfs vrijwillig in het weekend met ons doorzochten.
Ondertussen weten we ook dat er bedrijven met vergelijkbare problemen zijn. We hebben veel expertise opgedaan rond dit thema en delen graag onze kennis.
Mochten je na het lezen van dit bericht nog vragen of tips hebben, neem dan zeker contact op met onze supportafdeling via support@simplicate.nl of 088 - 5200 500. We helpen je graag verder.