CFCS i DMARC-smutter: »Det er selvfølgeligt en ren tilståelsessag«

Mens Center for Cybersikkerhed anbefaler andre at bruge DMARC, har organisationen ikke helt styr på egne domæner i forhold til mail-beskyttelsesteknologien.

Forleden tweetede Center for Cybersikkerheds Situationscenter (Sitcen) om, hvordan mailbeskyttelsesteknologierne DMARC, SPF og DKIM gør det sværere at misbruge et domæne til spam og phishing.


Men domænet for Situationscenteret, cfcs-sitcen.dk, har ikke selv implementeret DMARC og umiddelbart heller ikke SPF eller DKIM.

Det viser et opslag på dmarcian.com

DMARC er helt kort fortalt en gratis teknologi, der gør det muligt for en mailserver på en standardiseret måde at håndtere mails, der foregiver at være sendt fra en ellers legitim afsenderadresse. På den måde kan forsøg på svindelmails, der ser ud til at komme fra et troværdigt domæne, begrænses.

For at valideringen af en mail kan finde sted, skal DMARC være implementeret hos både afsender og modtager. Flere store mail-udbydere understøtter DMARC. Eksempelvis Google og Microsoft.

DMARC forhindrer ikke, at der principielt kan stå hvad som helst som navn på afsenderen.

Teknologien kan alene sætte en stopper for, at afsenderadressen bliver misbrugt. Men det kan i sig selv være væsentligt, da svindlere så bliver nødt til at skrive fra eksempelvis @cfcs-sitcen.svindler.dk i stedet for at kunne sende direkte fra @cfcs-sitcen.dk

Og på den måde kan en svindler foregive at sende mails på vegne af - i dette tilfælde - Danmarks it-sikkerhedsmyndighed.

Henrik Schack driver sitet http://status.dmarc.dk/ og han beskriver cfcs-sitcen.dk som »komplet ubeskyttet.«

»I lyset af de selv anbefaler brugen af DMARC finder jeg det temmelig pinligt, ved den ene hånd ikke hvad den anden laver? Ikke ligefrem noget man ønsker sig af en organisation der varetager den slags opgaver som de gør,« lyder det i en skriftlig kommentar til Version2 fra Schack.

»… en ren tilståelsessag ... «

Chef for Center for Cybersikkerhed Thomas Lund Sørensen erkender, der bør være DMARC-beskyttelse på det pågældende

»Det er selvfølgeligt en ren tilståelsessag, når der er domæner, vi har ejerskab over, som vi ikke har fået DMARC'et,« siger Thomas Lund Sørensen og tilføjer, at der bliver arbejdet på at indføre DMARC for domænet.

Måden at løse den slags på er vel at have nogle procedurer, så når man har et nyt domæne (cfcs-sitcen.dk er registeret i september 2018), så har man en tjekliste, man skal igennem?

»Jeg vil netop lige præcis anbefale, at det er det, man gør som virksomhed: at man har en proces for, hvordan man registrerer et domæne, og at man også i den forbindelse selvfølgelig tager stilling til, hvad man gør med det i forhold til DMARC.«

I er jo it-sikkerhedsmyndighed. Hvis man havde ondt i sinde kunne det måske være oplagt at misbruge sådan et domæne?

»Det er jo den risiko, der ligger der. Og det er også derfor, vi selvfølgeligt har gjort alt for, at de domæner, vi rent faktisk bruger som e-maildomæner,« siger Thomas Lund Sørensen og bemærker, at cfcs.dk har DMARC-beskyttelse.

Han medgiver, at også de domæner, som CFCS ikke anvender til mail-kommunikation, skal have DMARC-beskyttelse al den stund, at mail-modtagere ikke kan forventes at vide, hvordan CFCS anvender de enkelte domæner.

»Det er også derfor, vores råd er: Få det DMARC'et, og gør det til en del af processen, når man bestiller et nyt domæne.«

Thomas Lund Sørensen har ikke noget umiddelbart bud på, hvornår der kommer DMARC, DKIM og SPF på domænet.

»På det her punkt er vi også afhængig af nogle tredjepartsleverandører. Det skal ikke handle om at flytte ansvaret, men det tager givetvis mere tid, end vi synes er sjovt.«

Mangler CFCS i den forbindelse tips og tricks til indførelse af DMARC til domænet, så ligger der en læsværdig vejledning fra organisationen her(PDF), som Henrik Schack i øvrigt har bidraget til.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Arvin

God idé, Henrik: Alle nye domæner burde i DNS-mæssig sammenhæng blive født med en SPF-record, som lukker af for mail -- lige så naturligt som at de har en SOA record.

Men hvad med subdomæner? Nogle steder synes folk at anbefale, at man formulerer SPF som wildcards for at hindre, at spammere sender mails fra akut@hovedkvarter.domæne.dk. Men dét forekommer skørt, med mindre domæne.dk skulle have været så fjollede at opsætte wildcard DNS-records.

Log ind eller Opret konto for at kommentere