60 statslige domæner sylter obligatorisk beskyttelse mod mail-svindel

Tak! Jepser, den virkede! (browseren plejer dog selv at sætte det ind, men hmm)

Men de kunne have nævnt Statens ITs kunder som: star.dk (alle arbejdsløse frygter at overse en mail fra dem) uim.dk (alle der søger opholdtilladelse eller kommer fra udlandet frygter at overse en mail fra dem) um.dk (alle danskere i udlandet vil gerne have mails fra dem i en coronatid) ku.dk og itu.dk (begge kan få nye studerende til at være uforsigtige når der kommer besked om studiepladser)

PS. Arbejder ikke hos Statens IT og linket til dmarc.status.dk fungerer ikke

Prøv med https://status.dmarc.dk/

Selve artiklen er skrevet godt nok men der er et par småproblemer med at hverken Domstolsstyrelsen, Kriminalforsorgen, Justitsministeriet eller Politiets Efterretningstjeneste får administreret deres systemer af Statens IT.

• Men alligevel er overskriften suppleret med et ældre billede af Statens IT, på Versions2's forside. Den redigering burde være forbeholdt Ekstra Bladet og B.T.?

Derudover ville styrelser og ministerier skulle anmode Statens IT om at lave ændringerne - og betale. For Statens IT er ikke på finansloven, de får ingen penge, medmindre de kan fakturere opgaven.

Så skulle en af de styrelser eller ministerier der administreres af Statens IT, mangle denne opsætning, er det fordi Styrelsen eller ministeriet har fravalgt denne sikkerhed for deres brugere. Men det vil jo også være en god historie at dykke ned i?

PS. Arbejder ikke hos Statens IT og linket til dmarc.status.dk fungerer ikke

Jeg tror de store mailudbydere er glade for spammere der leverer DMARC compliant spam, det gør det nemt for dem lynhurtigt at tildele en elendig domæne reputation. :-)

Jeg kører min egen mail-server, og for noget tid siden var det pludselig en masse spam fra mange ny-oprettede domæner, som havde helt korrekt spf, dkim, dmarc. Det bliver selvfølgelig fanget af diverse blacklists indenfor nogle få dage til en uge, men der må have nået rigtig meget spam frem worldwide inden da.

"Mailsvindel er et problem, vi må gøre noget!"

"DMARC er noget"

"Ergo må vi implementere DMARC".

Det er godt nok kun obligatorisk for statslige myndigheder, at have sat DMARC, men ifølge status.dmarc.dk, så er der langt imellem snapsene for andre domæner. Umiddelbart langt under 10%. Det kan undre at fagforeninger, finans og forsikringer firmaer, ikke tager det mere alvorligt. Det kunne måske hjælpe med et EU direktiv på området, men det tør man næste ikke ønske dig, hvis man tænker på, hvad der kom ud af ePrivacy direktivet (cookie direktivet).

Det er selvfølgelig muligt at Protonmail har gjort et godt stykke arbejde med at gøre det nemt

De har gjort det nemt. De mangler dog lidt endnu. Fx så tjekker de ikke DANE på indgående mails, men man kan godt "slå det til" på udafgående mails - også på sit eget domæne. Det samme gælder for MTA-STS. Det kan man godt "slå til" på sit eget domæne, men de tjekker så vidt jeg ved heller ikke på det ved indgående mails.

Fra artiklen:

Jeg kan godt forestille mig, at der kan være nogle få situationer, hvor man ikke er på plads med det, fordi det kræver medvirken fra en ekstern leverandør.

Tja, det er lykkedes for mig, idet mit domæne benytter en "ekstern leverandør" (nemlig Protonmail), og jeg er ellers som udgangspunkt en knold til alt, hvad der har med netværk at gøre.

Det er selvfølgelig muligt at Protonmail har gjort et godt stykke arbejde med at gøre det nemt, men ellers kunne man forfalde til at tro, at udfordringerne her ligger i ordene ekstern leverandør. Uden at sige for meget, så vil jeg bare bemærke, at jeg har set kunder få de eksterne leverandører og det samarbejde, som de fortjener!

Stort set alle 3rd party bulk mailers har styr på DKIM/DMARC, man skal bare konfigurere det på sin konto og oprette et par DNS records. Sværere er det ikke.

Office365 har også fuld DKIM support, og man skal bare følge deres guide og opsætte et par DNS entries. det er helt trivielt.

Det store problemer ved O365 er, at hvis man modtager post i O365, så fungerer det helt anderledes end standarden.

p=reject og p=quarantine er det samme for dem.

Hvis man engang har whitelistet en afsender, så ignorerer de fuldstændigt DMARC m.m. Så leveres den falske mail ALTID. Så det undrer mig at spammere ikke er bedre til at bruge afsenderadresser fra dovne afsendere der tidligere har sagt: whitelist vores adresse for at modtage mails.

Derudover laver Microsoft en kunstig DMARC record såfremt afsender ikke har den, men har en SPF. De bruger nemlig SPF på content From og ikke kun SMTP.FROM med p=quarantine.

Så det at få alt til at fungere i alle situationer er det svære. Og forståelsen af hvor de små spillere som Microsoft ikke følger standarden. De store som Google og Apple følger langt bedre standarder, fordi de er standarder.

Version2, eller andre med interesse, kunne spørge fx Staten IT, hvilke domænenavne de har registeret, de har sandsynligvis 70-90% af alle statslige domæner.

Det er ærgeligt at DK-Hostmaster ikke længere gør det muligt at se hvilke andre domænenavne som en virkssomhed har registeret, altså slå Staten-it.dk op på DK-hostmasters side (uden at se GRPR data) og så vælge fane/knap som så lister alle andre domænenave op som den samme registrant/fuldmægtig også har registeret.

Hvis de har konfigureret en DMARC quarantine policy uden at være teknisk klar til det, så vil de få problemer med at email lander i spam.

Deres SPF record giver et tip om at tingne ikke er helt gennemtænkt.https://dmarcian.com/spf-survey/?domain=gladsaxe.dk

Jf. listen har Gladsaxe Kommune implementeret det korrekt. Dog sender de emails fra deres Office 365 / Exchange hvor Google Mail detekterer dem som spam grundet fejlende DMARC. Har oplevet det flere gange siden starten af 2020 og senest i forgårds ved en autoreply fra deres byggesags afdeling.