Center for Cybersikkerhed: Organisationer bør bruge DMARC

I en udførlig vejledning fra Center for Cybersikkerhed bliver organisationer anbefalet at indføre DMARC.

Center for Cybersikkerhed anbefaler organisationer at indføre DMARC for at dæmme op for blandt andet phishing.

Det sker i forbindelse med udgivelsen af en vejledning om netop DMARC.

DMARC kan forhindre en angriber i at sende falske mails, det vil sige mails, der ser ud, som om de kommer fra en legitim afsender, uden at gøre det.

Falske mails kan eksempelvis være mere eller mindre målrettede forsøg på phishing, hvor en angriber forsøger at franarre et offer login-oplysninger. Falske mails kan også være et problem i forbindelse med CEO-fraud, hvor en mail til en regnskabsmedarbejder i en styrelse umiddelbart ser ud til at komme fra direktøren i styrelsen, men reelt er det en svindler, der er afsender.

CFCS har tidligere udgivet den relativt operationelle vejledning 'Reducér risikoen for falske mails'. (PDF).

»Center for Cybersikkerhed oplever i stigende grad, at danske myndigheder og virksomheder udsættes for cyberangreb. Det sker ofte ved, at medarbejderen modtager en e-mail, som ser ud til at være sendt fra eksempelvis en kollega, samarbejdspartner eller offentlig myndighed,« står der i indledningen på vejledningen.

Og herefter fremhæves DMARC.

»Et redskab til at imødegå denne trussel er protokollen DMARC (Domain-based Message Authentication, Reporting and Conformance), som gør det muligt at forhindre mails med en forfalsket afsender i at nå ud til slutbrugere og samtidig begrænse misbrug af de domænenavne, organisationen ejer.«

Storbritannien kræver DMARC

I vejledningen fra CFCS, der er en del af Forsvarets Efterretningstjeneste, står det blandt andet at læse, at det siden oktober 2016 har været et krav, at statslige myndigheder i Storbritannien anvender DMARC. Og at det i oktober 2017 blev et krav, at statslige myndigheder i USA skal implementere DMARC.

DMARC-teknologien har flere gange været behandlet her på Version2. CFCS-vejledningen beskriver det som en e-mail-autentifikationsprotokol, som sætter en politik for anvendelsen af to andre protokoller: SPF og DKIM.

CFCS takker til sidst i vejledningen flere personer og organisationer »for samarbejdet og den faglige sparring i forbindelse med udarbejdelsen af denne vejledning«.

Det drejer sig om Digitialiseringsstyrelsen, Statens It, koncern it-sikkerhedschef i Danske Bank Poul Otto Schousboe og indehaver af dmarc.dk Henrik Schack.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Nielsen

Det er skræmmende hvor mange myndigheder, virksomheder, organisationer, m.v. der ikke bruger de helt basale beskyttelser mod email misbrug.

DMARC i sig selv er ikke nok, da du også skal havde SPF1, og DKIM, hvis du virkeligt vil beskytte (men skal også huske wildcard domæner for SPF1 og DKIM, ellers kan man omgå dem).

Det er så nemt og billigt at sætte op (der er mange guider, der stort set giver dig de parameter du skal sætte ind), men få der ved noget om det - også blandt IT-konsulenter.

  • 1
  • 0
Henrik Schack

DMARC i sig selv er ikke nok, da du også skal havde SPF1, og DKIM, hvis du virkeligt vil beskytte (men skal også huske wildcard domæner for SPF1 og DKIM, ellers kan man omgå dem).


Det er ikke helt korrekt hvad du skriver, subdomæner eller wildcard domæner arver automatisk DMARC policy'en fra roden af domænet.
Så hvis formålet udelukkende er at afholde banditter fra at misbruge dine subdomæner til falske emails er en DMARC reject policy i roden af dit domæne nok.

  • 2
  • 0
Michael Nielsen

Så hvis formålet udelukkende er at afholde banditter fra at misbruge dine subdomæner til falske emails er en DMARC reject policy i roden af dit domæne nok.

I teorien har du ret, hvis alle har understøttelse for DMARC. Problemet er at ikke alle modtagere supportere DMARC, SPF1, og/eller DKIM, der er mange modtager der kun understøtter 1, eller 2 af disse teknologier (hvis nogen overhovedet), nogen har slet ikke nogen af dem - men når man ikke vil havde beskyttelse, kan ingen hjælpe dem ...

Men i realiteten, vil de fleste modtagere kun understøtte SPF1, og/eller DKIM, samt nogle få der har DMARC med, derfor så kan du sætte så mange policies i DMARC, som du ønsker, men det vil blive ignoreret af flertallet af post servere.

Indtil alle understøtter alle disse teknologier, bliver man nød til at agere med at folk ikke har dem alle, og derfor gardere sig maksimalt, og så kommer mit råd ind i billedet igen.

Så husk wildcard domæner, hvis du vil undgå mail misbrug.

  • 0
  • 0
Henrik Schack

Men i realiteten, vil de fleste modtagere kun understøtte SPF1, og/eller DKIM, samt nogle få der har DMARC med, derfor så kan du sætte så mange policies i DMARC, som du ønsker, men det vil blive ignoreret af flertallet af post servere.


Du har dit fokus på de helt forkerte tal. Ja der findes mangle små mailservere med en utidssvarende konfiguration, og det vil der nok altid gøre.

Kigger vi på det der i praksis betyder noget, altså de emailadresser som er i brug, ser billedet helt anderledes ud.

Omkring 70-80% af verdens email adresser er beskyttet af inbound DMARC.
Husk alle de store er med, Google, Microsoft, Yahoo, Mail.ru, Yandex, ja selv Apple har fået inbound DMARC beskyttelse her for nogle måneder siden.
Plus adskillige af de danske mailbox/hostingudbydere incl TDC.

Hvad så med Peters private postserver hjemme i kælderen, skal den ikke beskyttes? Joda, men hvis han kunne finde ud af at installere Postfix, konfigurere SPF filtrering og OpenDKIM, så vil mit bud være han nok også kan finde ud af at installere OpenDMARC pakken, det tager ikke mange minutter :-)

Mangler der stadig nogen? Ja det gør der da, men vi bevæger os i den rigtige retning. Så hvis du vil gøre en forskel og hjælpe flertallet til en mere sikker email oplevelse, så kan det kun gå for langsomt med at komme igang med DMARC.

Iøvrigt beskytter hverken SPF, DKIM eller dem begge kombineret mod phishing. (uden DMARC)
SPF beskytter din returnpath adresse som uden DMARC kan være helt uden relation til den synlige afsender adresse.
DKIM er bare en signatur, som uden DMARC kan være fra den kriminelles eget domæne, og stadig være en valid DKIM signatur.

Hvis verden fungerede som du beskriver, så ville vi aldrig have set velkonstruerede phishing emails fra SKAT, NETS, PostDanmark, NemID, E-Boks eller de mange banker uden DMARC.

  • 1
  • 0
Benny Lyne Amorsen

SPF1, SPF2, DKIM, DMARC... Alle disse mere eller mindre forkvaklede forsøg på at lave autentikering af emails, men ingen af dem understøtter mailinglister.

Alle er flyttet til håbløse webforums hvor man ikke har ordentlig thread-håndtering eller notifikationer eller i det hele tagen et nogenlunde acceptabelt brugerinterface.

Nostalgi er ikke hvad det har været, men SPF mv. har gjort email ubrugeligt til andet end reklamer og glædelig-jul-beskeder.

  • 0
  • 1
Michael Nielsen

Omkring 70-80% af verdens email adresser er beskyttet af inbound DMARC. Husk alle de store er med, Google, Microsoft, Yahoo, Mail.ru, Yandex, ja selv Apple har fået inbound DMARC beskyttelse her for nogle måneder siden. Plus adskillige af de danske mailbox/hostingudbydere incl TDC.

Den tvivler jeg lidt på, da jeg har DMARC, på mit eget domæne, jeg får rapporter fra Google, og et par andre, men ikke alle af dem du nævner sender DMARC rapporter til mig, så enten er der ingen der forsøger at misbruge mit domæne mod de andre som du har nævnt, eller også understøtter de ikke fuld indbound DMARC - eller rapportere ikke tilbage som jeg har bedt dem om.

I Danmark er det op i mod 90% af (små til medium størrelse) virksomheder (i det sæt jeg har undersøgt), der ikke har alle DMARC, DKIM, eller SPF1 implementeret, og et mindretal har kun har en eller 2 af dem implementeret - myndighederne her i landet ser det heller ikke for godt ud - er dog blevet rette for en del myndigheder vedkommende, efter bla. jeg har påpeget hvor nemt det var at misbruge deres domæner..

Ja, man kan tage hovedet under armen og sige, hvis folk ikke implementere alt, så er det deres problem, men faktum er at lave beskyttelse på alle 3 teknologier - hvor end uperfekte dette er, betyder at du yder en service hvor du beskytte dem du kommunikere med maksimalt, også selvom de ikke har implementeret alle standarder eller teknologier. Det skal starte et sted.

Man skal ikke sigte efter mindste fællesnævner, men derimod sætte alle teknologier op til at være maksimalt stramme, således ens email er mere besværlig at misbruge, end hvis man ikke gør det. Dette betyder at hvis folk har bare en af teknologierne er deres sikkerhed øget.

[quote id=367586]
Iøvrigt beskytter hverken SPF, DKIM eller dem begge kombineret mod phishing. (uden DMARC)
SPF beskytter din returnpath adresse som uden DMARC kan være helt uden relation til den synlige afsender adresse.
DKIM er bare en signatur, som uden DMARC kan være fra den kriminelles eget domæne, og stadig være en valid DKIM signatur.

Hvis verden fungerede som du beskriver, så ville vi aldrig have set velkonstruerede phishing emails fra SKAT, NETS, PostDanmark, NemID, E-Boks eller de mange banker uden DMARC.
[/qoute]

SPF1, og DKIM er langt fra perfekte.

Jeg har dog på fornemmelsen du ikke forstår DKIM, DKIM er en digital signatur, som du har lavet på din post server, du har offentliggjort den offentlige nøgle for validering, via din DNS. Er Din DNS eller mailserver hacket, ja så kan kriminelle lave en valid DKIM signatur, men er den ikke hacket, er det ikke muligt at lave en valid DKIM signatur (jo, du kan gætte en 2048 bit hemmelig nøgle - måske), fordi den ikke passer til den offentlige nøgle du har offentliggjort..

Phishing : Nu er det sådan der er mange forskellige måder at lave phishing angreb på,

Jeg kan feks oprette en anonym email på en af de gratis udbydere der ude, eg mail.com som hedder skat@mail.com, eller lign.. Dette kan vi ikke gøre så meget ved, da mange udbydere ikke validere hvem der oprette en email adresse.

Det er heller ikke SPF1, DKIM, eller DMARCS formål.

SPF1, DKIM, og DMARC gør det kun sværere at misbruge en virksomheds email, og er ikke perfekte. Men det er betydeligt sværere at misbruge en email adresse, hvis den er beskyttet af disse teknologier.

At stoppe spam og phishing er ikke hvad SPF1, DKIM, og DMARC drejer sig om, dog er de en del af løsningen.

Så ja, SPF1, DKIM, DMARC, eller digitale signaturere er ikke nogen silver bullets, hverken alene, eller samlet set. Men de gør ting væsentligt sværere for en angribere, da man skal falde over på social engineering, for at narre folk til at tror adressen er valid.

  • 1
  • 0
Michael Nielsen

Mailinglister
SPF1, SPF2, DKIM, DMARC... Alle disse mere eller mindre forkvaklede forsøg på at lave autentikering af emails, men ingen af dem understøtter mailinglister.

Alle er flyttet til håbløse webforums hvor man ikke har ordentlig thread-håndtering eller notifikationer eller i det hele tagen et nogenlunde acceptabelt brugerinterface.

Nostalgi er ikke hvad det har været, men SPF mv. har gjort email ubrugeligt til andet end reklamer og glædelig-jul-beskeder.

Du har ret i at SPF, DKIM, og DMARC er forsøg på at rette nogle problemer vedr. mail, men de er bedre end ingen ting, men langt fra perfekte.

Den må, du gerne forklare nærmere, SPF1 blokere ikke maling lister, det gør DKIM, og DMARC heller ikke, Hvis du ikke har sat SPF, DKIM eller DMARC op på dit domæne, er disse teknologier ignoreret. Hvis du misbruger post systemet, og sender mails på vegne af andre - i deres navn, så vil du få problemer med dem...

Så jeg er nysgerrig, hvordan har SPF gjort email ubrugeligt ?

  • 1
  • 0
Michael Nielsen

Hvad så med Peters private postserver hjemme i kælderen, skal den ikke beskyttes? Joda, men hvis han kunne finde ud af at installere Postfix, konfigurere SPF filtrering og OpenDKIM, så vil mit bud være han nok også kan finde ud af at installere OpenDMARC pakken, det tager ikke mange minutter :-)

Jeg må desværre informere dig, jeg har været i kontakt med en del virksomheder der bruger professionelle konsulent huse til at sætte deres email op, og disse har ikke fået DMARC, heller ikke SPF1, eller DKIM på indgående mail, eller udgående post.

Ja det tager ikke mange minutter at sætte op, men virksomheder hyrer konsulenter til at gøre det, og ikke alle disse konsulenter gør ikke deres job ordenligt!

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize