CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«
Forleden tweetede Center for Cybersikkerheds Situationscenter (Sitcen) om, hvordan mailbeskyttelsesteknologierne DMARC, SPF og DKIM gør det sværere at misbruge et domæne til spam og phishing. DMARC gør det sværere at misbruge et domæne til spam og phishing. Se vores vejledning om SPF, DKIM og DMARC: https://t.co/556I3fMsTI https://t.co/xiFMo1dSw6
Men domænet for Situationscenteret, cfcs-sitcen.dk, har ikke selv implementeret DMARC og umiddelbart heller ikke SPF eller DKIM.
Det viser et opslag på dmarcian.com DMARC sætter en politik for to andre protokoller, SPF og DKIM. SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS. Kilde: 'Reducér risikoen for falske mails, Center for Cybersikkerhed (PDF)DMARC
DMARC er helt kort fortalt en gratis teknologi, der gør det muligt for en mailserver på en standardiseret måde at håndtere mails, der foregiver at være sendt fra en ellers legitim afsenderadresse. På den måde kan forsøg på svindelmails, der ser ud til at komme fra et troværdigt domæne, begrænses.
For at valideringen af en mail kan finde sted, skal DMARC være implementeret hos både afsender og modtager. Flere store mail-udbydere understøtter DMARC. Eksempelvis Google og Microsoft.
DMARC forhindrer ikke, at der principielt kan stå hvad som helst som navn på afsenderen.
Teknologien kan alene sætte en stopper for, at afsenderadressen bliver misbrugt. Men det kan i sig selv være væsentligt, da svindlere så bliver nødt til at skrive fra eksempelvis @cfcs-sitcen.svindler.dk i stedet for at kunne sende direkte fra @cfcs-sitcen.dk
Og på den måde kan en svindler foregive at sende mails på vegne af - i dette tilfælde - Danmarks it-sikkerhedsmyndighed.
Henrik Schack driver sitet https://status.dmarc.dk/ og han beskriver cfcs-sitcen.dk som »komplet ubeskyttet.«
»I lyset af de selv anbefaler brugen af DMARC finder jeg det temmelig pinligt, ved den ene hånd ikke hvad den anden laver? Ikke ligefrem noget man ønsker sig af en organisation der varetager den slags opgaver som de gør,« lyder det i en skriftlig kommentar til Version2 fra Schack.
»… en ren tilståelsessag ... «
Chef for Center for Cybersikkerhed Thomas Lund Sørensen erkender, der bør være DMARC-beskyttelse på det pågældende
»Det er selvfølgeligt en ren tilståelsessag, når der er domæner, vi har ejerskab over, som vi ikke har fået DMARC'et,« siger Thomas Lund Sørensen og tilføjer, at der bliver arbejdet på at indføre DMARC for domænet. Situationscenteret monitorerer Center for Cybersikkerheds sensornetværk, som har til opgave at opdage cybertrusler mod de tilsluttede virksomheder og myndigheder. I forbindelse med væsentlige cyberangreb, aktuelle cybertrusler eller it-sikkerhedshændelser, som kan have interesse og relevans for en bred eller en begrænset kreds af myndigheder, virksomheder og andre, vil situationscenteret udsende varsler, som kan indeholde konkrete tekniske anbefalinger i forbindelse med en aktuel trussel. Situationscenteret vil også kunne informere generelt om cybersikkerhed i forhold til det aktuelle situationsbillede. kilde: Center for CybersikkerhedCFCS Situationscenter
Måden at løse den slags på er vel at have nogle procedurer, så når man har et nyt domæne (cfcs-sitcen.dk er registeret i september 2018), så har man en tjekliste, man skal igennem?
»Jeg vil netop lige præcis anbefale, at det er det, man gør som virksomhed: at man har en proces for, hvordan man registrerer et domæne, og at man også i den forbindelse selvfølgelig tager stilling til, hvad man gør med det i forhold til DMARC.«
I er jo it-sikkerhedsmyndighed. Hvis man havde ondt i sinde kunne det måske være oplagt at misbruge sådan et domæne?
»Det er jo den risiko, der ligger der. Og det er også derfor, vi selvfølgeligt har gjort alt for, at de domæner, vi rent faktisk bruger som e-maildomæner,« siger Thomas Lund Sørensen og bemærker, at cfcs.dk har DMARC-beskyttelse.
Han medgiver, at også de domæner, som CFCS ikke anvender til mail-kommunikation, skal have DMARC-beskyttelse al den stund, at mail-modtagere ikke kan forventes at vide, hvordan CFCS anvender de enkelte domæner.
»Det er også derfor, vores råd er: Få det DMARC'et, og gør det til en del af processen, når man bestiller et nyt domæne.«
Thomas Lund Sørensen har ikke noget umiddelbart bud på, hvornår der kommer DMARC, DKIM og SPF på domænet.
»På det her punkt er vi også afhængig af nogle tredjepartsleverandører. Det skal ikke handle om at flytte ansvaret, men det tager givetvis mere tid, end vi synes er sjovt.«
Mangler CFCS i den forbindelse tips og tricks til indførelse af DMARC til domænet, så ligger der en læsværdig vejledning fra organisationen her(PDF), som Henrik Schack i øvrigt har bidraget til.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
