DMARC: Partier og Folketinget står åbne for hackeres fup-mails

Illustration: Nanna Skytte
Forsvarets Efterretningstjeneste anbefaler en åben og gratis standard til beskyttelse mod angreb via mail, men hverken Folketinget eller en stribe politiske partier anvender den. Sløjt, siger bidragyder til anbefalingen.

Både Folketinget selv og flere af de politiske partier er åbne for angreb med fup-mails, som hackere og fremmede magter kan bruge mod folkestyret.

Forsvarets Efterretningstjenestes Center for Cybersikkerhed anbefalede allerede i 2017 organisationer at benytte en åben og gratis teknologi, DMARC, til at beskytte mod fup-mails. Uden DMARC er det muligt for en angriber at få en mail til at se ud, som om den kommer fra eksempelvis SF og en afsenderadresse som formand@sf.dk.

Dermed kan angriberen lukrere på den troværdighed, der knytter sig til det officielle domæne sf.dk.

Kun ét parti er beskyttet med DMARC

Ifølge Ingeniørens opgørelse benytter fem ud af ni partier i Folketinget slet ikke teknologien, mens tre partier har implementeret, men ikke aktiveret DMARC, så den stopper de ondsindede mails. DMARC er heller ikke aktiveret for Folketingets hoveddomæne, ft.dk.

I denne uge fortalte Microsoft ellers om målrettede angreb mod flere europæiske organisationer, der beskæftiger sig med demokrati og valg. Angrebene er ifølge Microsoft blandt andet foregået ved at forfalske afsenderadresser på e-mails.

Sikkerhedskonsulenten Henrik Schack bidrog til den FE-rapport, der anbefalede den gratis standard. Han mener, at det forestående folke­tingsvalg er en ekstra grund til, at det politiske system får styr på sine mailservere.

»I betragtning af, hvor stor en rolle skadelige mails spiller i forhold til alle mulige former for cyber­angreb, så synes jeg godt nok, vi har sløjet den længe nu,« siger Henrik Schack med henvisning til, at DMARC har eksisteret siden 2012.

Han står bag domænet status.dmarc.dk, som holder øje med DMARC-tilstanden hos en stribe danske organisationer, og som Inge­niøren har brugt til sin opgørelse.

Artiklen fortsætter under grafikken

Illustration: Nanna Skytte

Løser ikke alle problemer

Chefen for Center for Cybersikkerhed, Thomas Lund Sørensen, fremhæver, at DMARC kan beskytte mod de allermest vellignende svindel­mails, selvom teknologien ikke løser alle sikkerhedsproblemer.

»Det er klart, at du fjerner et værktøj fra en hvilken som helst hacker – hvad enten han er statslig eller total amatør – hvis han ikke kan bruge det korrekte domæne til at udgive sig for at være en anden,« siger han.

SF, som er et af de partier, der ikke er beskyttet mod fup-mails, oplyser i en e-mail til Ingeniøren, at man vil gå sit beredskab efter i sømmene.

»Vi synes det er godt og vigtigt at I tager emnet om cybersikkerhed op her op til valget! Det er helt klart også med til at presse os til at tjekke vores beredskab efter i sømmene,« oplyser kommunikationsmedarbejder med hovedansvar for SF's hjemmeside William Vest-Lillesøe i en mail.

Som de eneste partier har SF og Liberal Alliance – i tillæg til ikke at have implementeret DMARC – en defekt SPF-record, da Ingeniøren kigger efter i første omgang. En SPF-record er kort fortalt en liste over servere, der må sende mails på vegne af partiernes domæner.

Udover SF har Ingeniøren også bedt Liberal Alliance om en kommentar. Vi har ikke modtaget et svar fra partiet, SPF-recorden for liberalalliance.dk er dog blevet fikset siden vores henvendelse.

Hovedparten af artiklen stammer fra den trykte udgave af Ingeniøren, som udkommer i dag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

Når jeg tænker på at embedsværket og partiernes kommunikationsmedarbejdere er sproglige ekvilibrister, så viser ovenstående udtalelser 1 af 3 ting:
1) enten man har ikke forståelse for it
2) kommunikationsmedarbejderen har ikke fået alt med leverandøren/it afdeling
3) de it folk man har at trække på, forstår ikke it.

Det er ikke jeres beredskab i skal gennemgår, der er jeres forsvarsværker.
beredskab er noget man aktivere når det går galt.
forsvarsværker er noget man har (mange af) for at reducere sandsynligheden for at beredskabet skal aktiveres.

Torben Jensen

Nej, DMARC alene giver ikke beskyttelse.

SPF og DKIM giver beskyttelse.
Og med DMARC er det muligt at fortælle modtager om manglende SPF og DKIM skal betyder at e-mail betragtes som spam eller helt afvises.

DMARC kan desuden rapportere tilbage til domain owner om nogen har misbrugt domain til afsendelse af e-mails.

Uffe R. B. Andersen

nets.dk domænet har en DMARC reject policy, dvs vi er beskyttet mod falske @nets.dk e-mails.
En SPF record er ikke nødvendig, men det ville være pænere, idet man så nemt kan konkludere at domænet ikke er i brug til e-mail.

Problemet er, at næsten alle mailservere tjekker for en SPF-record, mens mange mailservere ikke tjekker for en DMARC-record. Så en SPF-record (v=spf1 -all) ville være til glæde for mange.

Uffe R. B. Andersen

Mange og mange .. omkring 80% af verdens email adresser er beskyttet af inbound DMARC.

Jeg kan kun udtale mig ud fra mine egne erfaringer og de mailsystemer, typisk Cisco Ironport eller Proofpoint, som jeg ser. De er som udgangspunkt ikke sat op til at lave DMARC-kontrol out-of-the-box - det skal enables manuelt. Så mit bud er, at der er mange virksomheder, der ikke beskytter deres brugere via DMARC-tjek. Det vil dog kun glæde mig at tage fejl :-)

Per Larsen

Det fremgår ret klart af artiklen, hvem der har forstået, hvad det her drejer sig om i Folketinget. Længere er den ikke.

Det er straks værre for det meget store antal private med egne domæner og hostet hos domæne-operatøren. - -Her er p.t. ikke tilstrækkelig filtrering. Den er angivligt en anelse bedre hos techgiganterne. Men i mål kommer ingen - angiveligt.
E-mail std. er gammel, og en ny, og efter dagens sikkerheds std. ny teknologi, er der måske gang i et sted? Er det et spinkelt håb?
Den nuværende "sten på sten" teknologi er ikke holdbar.

Henrik Schack

Det er straks værre for det meget store antal private med egne domæner og hostet hos domæne-operatøren. - -Her er p.t. ikke tilstrækkelig filtrering.


Filtrering er bestemt ikke det eneste der mangler hos private ejere af domæner.
"Standard leverancen" fra praktisk alle der sælger domæner og tilhørende web/email løsninger er usikker.
Man kan finde ud af at lave "1-click" installation af email og CMS systemer, men sikkerheden er det op til Hr. Jensen selv at komme i mål med.

Log ind eller Opret konto for at kommentere