CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«

27. december 2018 kl. 05:119
CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«
Illustration: Screenshot.
Mens Center for Cybersikkerhed anbefaler andre at bruge DMARC, har organisationen ikke helt styr på egne domæner i forhold til mail-beskyttelsesteknologien.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Forleden tweetede Center for Cybersikkerheds Situationscenter (Sitcen) om, hvordan mailbeskyttelsesteknologierne DMARC, SPF og DKIM gør det sværere at misbruge et domæne til spam og phishing.

Remote video URL

Men domænet for Situationscenteret, cfcs-sitcen.dk, har ikke selv implementeret DMARC og umiddelbart heller ikke SPF eller DKIM.

Det viser et opslag på dmarcian.com

DMARC

DMARC sætter en politik for to andre protokoller, SPF og DKIM.

SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger.

DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS.

Kilde: 'Reducér risikoen for falske mails, Center for Cybersikkerhed (PDF)


DMARC er helt kort fortalt en gratis teknologi, der gør det muligt for en mailserver på en standardiseret måde at håndtere mails, der foregiver at være sendt fra en ellers legitim afsenderadresse. På den måde kan forsøg på svindelmails, der ser ud til at komme fra et troværdigt domæne, begrænses.

For at valideringen af en mail kan finde sted, skal DMARC være implementeret hos både afsender og modtager. Flere store mail-udbydere understøtter DMARC. Eksempelvis Google og Microsoft.

DMARC forhindrer ikke, at der principielt kan stå hvad som helst som navn på afsenderen.

Artiklen fortsætter efter annoncen

Teknologien kan alene sætte en stopper for, at afsenderadressen bliver misbrugt. Men det kan i sig selv være væsentligt, da svindlere så bliver nødt til at skrive fra eksempelvis @cfcs-sitcen.svindler.dk i stedet for at kunne sende direkte fra @cfcs-sitcen.dk

Og på den måde kan en svindler foregive at sende mails på vegne af - i dette tilfælde - Danmarks it-sikkerhedsmyndighed.

Henrik Schack driver sitet http://status.dmarc.dk/ og han beskriver cfcs-sitcen.dk som »komplet ubeskyttet.«

»I lyset af de selv anbefaler brugen af DMARC finder jeg det temmelig pinligt, ved den ene hånd ikke hvad den anden laver? Ikke ligefrem noget man ønsker sig af en organisation der varetager den slags opgaver som de gør,« lyder det i en skriftlig kommentar til Version2 fra Schack.

»… en ren tilståelsessag ... «

Chef for Center for Cybersikkerhed Thomas Lund Sørensen erkender, der bør være DMARC-beskyttelse på det pågældende

Artiklen fortsætter efter annoncen

»Det er selvfølgeligt en ren tilståelsessag, når der er domæner, vi har ejerskab over, som vi ikke har fået DMARC'et,« siger Thomas Lund Sørensen og tilføjer, at der bliver arbejdet på at indføre DMARC for domænet.

CFCS Situationscenter

Situationscenteret monitorerer Center for Cybersikkerheds sensornetværk, som har til opgave at opdage cybertrusler mod de tilsluttede virksomheder og myndigheder.

I forbindelse med væsentlige cyberangreb, aktuelle cybertrusler eller it-sikkerhedshændelser, som kan have interesse og relevans for en bred eller en begrænset kreds af myndigheder, virksomheder og andre, vil situationscenteret udsende varsler, som kan indeholde konkrete tekniske anbefalinger i forbindelse med en aktuel trussel.

Situationscenteret vil også kunne informere generelt om cybersikkerhed i forhold til det aktuelle situationsbillede.

kilde: Center for Cybersikkerhed


Måden at løse den slags på er vel at have nogle procedurer, så når man har et nyt domæne (cfcs-sitcen.dk er registeret i september 2018), så har man en tjekliste, man skal igennem?

»Jeg vil netop lige præcis anbefale, at det er det, man gør som virksomhed: at man har en proces for, hvordan man registrerer et domæne, og at man også i den forbindelse selvfølgelig tager stilling til, hvad man gør med det i forhold til DMARC.«

I er jo it-sikkerhedsmyndighed. Hvis man havde ondt i sinde kunne det måske være oplagt at misbruge sådan et domæne?

»Det er jo den risiko, der ligger der. Og det er også derfor, vi selvfølgeligt har gjort alt for, at de domæner, vi rent faktisk bruger som e-maildomæner,« siger Thomas Lund Sørensen og bemærker, at cfcs.dk har DMARC-beskyttelse.

Artiklen fortsætter efter annoncen

Han medgiver, at også de domæner, som CFCS ikke anvender til mail-kommunikation, skal have DMARC-beskyttelse al den stund, at mail-modtagere ikke kan forventes at vide, hvordan CFCS anvender de enkelte domæner.

»Det er også derfor, vores råd er: Få det DMARC'et, og gør det til en del af processen, når man bestiller et nyt domæne.«

Thomas Lund Sørensen har ikke noget umiddelbart bud på, hvornår der kommer DMARC, DKIM og SPF på domænet.

»På det her punkt er vi også afhængig af nogle tredjepartsleverandører. Det skal ikke handle om at flytte ansvaret, men det tager givetvis mere tid, end vi synes er sjovt.«

Mangler CFCS i den forbindelse tips og tricks til indførelse af DMARC til domænet, så ligger der en læsværdig vejledning fra organisationen her(PDF), som Henrik Schack i øvrigt har bidraget til.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Journalist -
27. december 2018 kl. 11:23
Journalist

Linket er rettet nu.

Mvh Tania/V2

6
27. december 2018 kl. 11:05

Ja det er en sløj tredieparts-leverandør der skal bruge meget mere end 1 times tid på at klare den sag :-)

5
27. december 2018 kl. 10:56

Så CfCS må vente med at implementere DMARC fordi de venter på deres tredjepartsleverandør? Interessant.

4
27. december 2018 kl. 10:49

En DMARC record dækker også subdomæner. Egentlig er en SPF record slet ikke nødvendig for at lukke ned for email, men det er blevet en slags de facto standard at placere en "v=spf1 -all" samt en DMARC reject record i roden på domæner som ikke anvendes til email.

3
27. december 2018 kl. 10:45

God idé, Henrik: Alle nye domæner burde i DNS-mæssig sammenhæng blive født med en SPF-record, som lukker af for mail -- lige så naturligt som at de har en SOA record.

Men hvad med subdomæner? Nogle steder synes folk at anbefale, at man formulerer SPF som wildcards for at hindre, at spammere sender mails fra akut@hovedkvarter.domæne.dk. Men dét forekommer skørt, med mindre domæne.dk skulle have været så fjollede at opsætte wildcard DNS-records.

2
27. december 2018 kl. 10:09

SPF: "v=spf1 -all" DMARC: "v=DMARC1; p=reject;" Så er der lukket for email. Den opsætning burde alle nye domæner egentlig leveres med, således at email er noget man "tænder for" hvis man skal bruge det.

1
27. december 2018 kl. 09:59

Hvad er en nem måde for et domæne at markere, at det ikke forventes at blive anvendt ved mail-afsendelse? Måske har SPF en måde, hvorpå man eksplicit kan markere, at der ikke skal komme mail fra det givne domæne?