Center for Cybersikkerhed: Organisationer bør bruge DMARC

Hvis du misbruger post systemet, og sender mails på vegne af andre - i deres navn, så vil du få problemer med dem...

Hvad så med Peters private postserver hjemme i kælderen, skal den ikke beskyttes? Joda, men hvis han kunne finde ud af at installere Postfix, konfigurere SPF filtrering og OpenDKIM, så vil mit bud være han nok også kan finde ud af at installere OpenDMARC pakken, det tager ikke mange minutter :-)</p>
<p>

Jeg må desværre informere dig, jeg har været i kontakt med en del virksomheder der bruger professionelle konsulent huse til at sætte deres email op, og disse har ikke fået DMARC, heller ikke SPF1, eller DKIM på indgående mail, eller udgående post.

Ja det tager ikke mange minutter at sætte op, men virksomheder hyrer konsulenter til at gøre det, og ikke alle disse konsulenter gør ikke deres job ordenligt!

Mailinglister
SPF1, SPF2, DKIM, DMARC... Alle disse mere eller mindre forkvaklede forsøg på at lave autentikering af emails, men ingen af dem understøtter mailinglister.</p>
<p>Alle er flyttet til håbløse webforums hvor man ikke har ordentlig thread-håndtering eller notifikationer eller i det hele tagen et nogenlunde acceptabelt brugerinterface.</p>
<p>Nostalgi er ikke hvad det har været, men SPF mv. har gjort email ubrugeligt til andet end reklamer og glædelig-jul-beskeder.

Du har ret i at SPF, DKIM, og DMARC er forsøg på at rette nogle problemer vedr. mail, men de er bedre end ingen ting, men langt fra perfekte.

Den må, du gerne forklare nærmere, SPF1 blokere ikke maling lister, det gør DKIM, og DMARC heller ikke, Hvis du ikke har sat SPF, DKIM eller DMARC op på dit domæne, er disse teknologier ignoreret. Hvis du misbruger post systemet, og sender mails på vegne af andre - i deres navn, så vil du få problemer med dem...

Så jeg er nysgerrig, hvordan har SPF gjort email ubrugeligt ?

Omkring 70-80% af verdens email adresser er beskyttet af inbound DMARC. Husk alle de store er med, Google, Microsoft, Yahoo, Mail.ru, Yandex, ja selv Apple har fået inbound DMARC beskyttelse her for nogle måneder siden. Plus adskillige af de danske mailbox/hostingudbydere incl TDC.

Den tvivler jeg lidt på, da jeg har DMARC, på mit eget domæne, jeg får rapporter fra Google, og et par andre, men ikke alle af dem du nævner sender DMARC rapporter til mig, så enten er der ingen der forsøger at misbruge mit domæne mod de andre som du har nævnt, eller også understøtter de ikke fuld indbound DMARC - eller rapportere ikke tilbage som jeg har bedt dem om.

I Danmark er det op i mod 90% af (små til medium størrelse) virksomheder (i det sæt jeg har undersøgt), der ikke har alle DMARC, DKIM, eller SPF1 implementeret, og et mindretal har kun har en eller 2 af dem implementeret - myndighederne her i landet ser det heller ikke for godt ud - er dog blevet rette for en del myndigheder vedkommende, efter bla. jeg har påpeget hvor nemt det var at misbruge deres domæner..

Ja, man kan tage hovedet under armen og sige, hvis folk ikke implementere alt, så er det deres problem, men faktum er at lave beskyttelse på alle 3 teknologier - hvor end uperfekte dette er, betyder at du yder en service hvor du beskytte dem du kommunikere med maksimalt, også selvom de ikke har implementeret alle standarder eller teknologier. Det skal starte et sted.

Man skal ikke sigte efter mindste fællesnævner, men derimod sætte alle teknologier op til at være maksimalt stramme, således ens email er mere besværlig at misbruge, end hvis man ikke gør det. Dette betyder at hvis folk har bare en af teknologierne er deres sikkerhed øget.

[quote id=367586] Iøvrigt beskytter hverken SPF, DKIM eller dem begge kombineret mod phishing. (uden DMARC) SPF beskytter din returnpath adresse som uden DMARC kan være helt uden relation til den synlige afsender adresse. DKIM er bare en signatur, som uden DMARC kan være fra den kriminelles eget domæne, og stadig være en valid DKIM signatur.

Hvis verden fungerede som du beskriver, så ville vi aldrig have set velkonstruerede phishing emails fra SKAT, NETS, PostDanmark, NemID, E-Boks eller de mange banker uden DMARC. [/qoute]

SPF1, og DKIM er langt fra perfekte.

Jeg har dog på fornemmelsen du ikke forstår DKIM, DKIM er en digital signatur, som du har lavet på din post server, du har offentliggjort den offentlige nøgle for validering, via din DNS. Er Din DNS eller mailserver hacket, ja så kan kriminelle lave en valid DKIM signatur, men er den ikke hacket, er det ikke muligt at lave en valid DKIM signatur (jo, du kan gætte en 2048 bit hemmelig nøgle - måske), fordi den ikke passer til den offentlige nøgle du har offentliggjort..

Phishing : Nu er det sådan der er mange forskellige måder at lave phishing angreb på,

Jeg kan feks oprette en anonym email på en af de gratis udbydere der ude, eg mail.com som hedder skat@mail.com, eller lign.. Dette kan vi ikke gøre så meget ved, da mange udbydere ikke validere hvem der oprette en email adresse.

Det er heller ikke SPF1, DKIM, eller DMARCS formål.

SPF1, DKIM, og DMARC gør det kun sværere at misbruge en virksomheds email, og er ikke perfekte. Men det er betydeligt sværere at misbruge en email adresse, hvis den er beskyttet af disse teknologier.

At stoppe spam og phishing er ikke hvad SPF1, DKIM, og DMARC drejer sig om, dog er de en del af løsningen.

Så ja, SPF1, DKIM, DMARC, eller digitale signaturere er ikke nogen silver bullets, hverken alene, eller samlet set. Men de gør ting væsentligt sværere for en angribere, da man skal falde over på social engineering, for at narre folk til at tror adressen er valid.

SPF1, SPF2, DKIM, DMARC... Alle disse mere eller mindre forkvaklede forsøg på at lave autentikering af emails, men ingen af dem understøtter mailinglister.

Alle er flyttet til håbløse webforums hvor man ikke har ordentlig thread-håndtering eller notifikationer eller i det hele tagen et nogenlunde acceptabelt brugerinterface.

Nostalgi er ikke hvad det har været, men SPF mv. har gjort email ubrugeligt til andet end reklamer og glædelig-jul-beskeder.

Men i realiteten, vil de fleste modtagere kun understøtte SPF1, og/eller DKIM, samt nogle få der har DMARC med, derfor så kan du sætte så mange policies i DMARC, som du ønsker, men det vil blive ignoreret af flertallet af post servere.

Kigger vi på det der i praksis betyder noget, altså de emailadresser som er i brug, ser billedet helt anderledes ud.

Omkring 70-80% af verdens email adresser er beskyttet af inbound DMARC. Husk alle de store er med, Google, Microsoft, Yahoo, Mail.ru, Yandex, ja selv Apple har fået inbound DMARC beskyttelse her for nogle måneder siden. Plus adskillige af de danske mailbox/hostingudbydere incl TDC.

Hvad så med Peters private postserver hjemme i kælderen, skal den ikke beskyttes? Joda, men hvis han kunne finde ud af at installere Postfix, konfigurere SPF filtrering og OpenDKIM, så vil mit bud være han nok også kan finde ud af at installere OpenDMARC pakken, det tager ikke mange minutter :-)

Mangler der stadig nogen? Ja det gør der da, men vi bevæger os i den rigtige retning. Så hvis du vil gøre en forskel og hjælpe flertallet til en mere sikker email oplevelse, så kan det kun gå for langsomt med at komme igang med DMARC.

Iøvrigt beskytter hverken SPF, DKIM eller dem begge kombineret mod phishing. (uden DMARC) SPF beskytter din returnpath adresse som uden DMARC kan være helt uden relation til den synlige afsender adresse. DKIM er bare en signatur, som uden DMARC kan være fra den kriminelles eget domæne, og stadig være en valid DKIM signatur.

Hvis verden fungerede som du beskriver, så ville vi aldrig have set velkonstruerede phishing emails fra SKAT, NETS, PostDanmark, NemID, E-Boks eller de mange banker uden DMARC.

Så hvis formålet udelukkende er at afholde banditter fra at misbruge dine subdomæner til falske emails er en DMARC reject policy i roden af dit domæne nok.

I teorien har du ret, hvis alle har understøttelse for DMARC. Problemet er at ikke alle modtagere supportere DMARC, SPF1, og/eller DKIM, der er mange modtager der kun understøtter 1, eller 2 af disse teknologier (hvis nogen overhovedet), nogen har slet ikke nogen af dem - men når man ikke vil havde beskyttelse, kan ingen hjælpe dem ...

Men i realiteten, vil de fleste modtagere kun understøtte SPF1, og/eller DKIM, samt nogle få der har DMARC med, derfor så kan du sætte så mange policies i DMARC, som du ønsker, men det vil blive ignoreret af flertallet af post servere.

Indtil alle understøtter alle disse teknologier, bliver man nød til at agere med at folk ikke har dem alle, og derfor gardere sig maksimalt, og så kommer mit råd ind i billedet igen.

Så husk wildcard domæner, hvis du vil undgå mail misbrug.

DMARC i sig selv er ikke nok, da du også skal havde SPF1, og DKIM, hvis du virkeligt vil beskytte (men skal også huske wildcard domæner for SPF1 og DKIM, ellers kan man omgå dem).

Det er skræmmende hvor mange myndigheder, virksomheder, organisationer, m.v. der ikke bruger de helt basale beskyttelser mod email misbrug.

DMARC i sig selv er ikke nok, da du også skal havde SPF1, og DKIM, hvis du virkeligt vil beskytte (men skal også huske wildcard domæner for SPF1 og DKIM, ellers kan man omgå dem).

Det er så nemt og billigt at sætte op (der er mange guider, der stort set giver dig de parameter du skal sætte ind), men få der ved noget om det - også blandt IT-konsulenter.

Ja det bør være det endelige mål.

Det er vel meningen at alle domæner sættes op med dmarc, enten på den ene eller anden måde.

Center for Cybersikkerhed anvender email adresser på @cfcs.dk

er det mig der er blind eller benytter de heller ikke dmarc paa fe-ddis.dk ?