»Du har corona, kammerat«: Så let kan svindlere sende mails fra sundhedsvæsenet

Den gik måske for 5 år siden (e-mailkorrespondance fra det offentlige), men vi er da kommet videre, mig bekendt?

Er E-boks et fremskridt? Det synes jeg bestemt ikke, mage til besværlig adgang til vigtig information skal man da lede længe efter :-)

Og hvorfor er der ikke noget valgfrihed på området? Eks. Indkaldese til blodprøvetagning på Frederiksberg Hostpital, den slags skal død og pine leveres i E-Boks, det ville jeg da klart fortrække bare at modtage en ganske almindelig email om.

Vores sundhedsvæsen er ikke de eneste med rigtig dårlig email sikkerhed, det er et udbredt problem.

Tag et kig på min dagligt opdaterede oversigt over nogle interessante domæner.

https://status.dmarc.dk/

Hvorfor sendes disse ikke via E-boks?

E-mail er en glimrende kommunikationsform, hvis den vel at mærke benyttes rigtigt - en fælles FB model, under kontrol af et amerikanskejet firma er ikke.

Men er det ikke det, de siger, regionerne?

I hvert fald Region Syd og Region Midtjylland?

Deres argument for den utilstrækkelige sikkerhed er risikoen for at ”vigtige emails” ikke når frem.Det vil de først lige undersøge. Om ”kritiske beskeder” således kan ende i borgernes spamfiltre, blive sorteret fra, forsvinde:

Nicolai Arvedsen, afdelingschef for informationssikkerhed i Region Syddanmark:

»I dag er der en risiko for, at borgere kan få mails, der ser ud, som om de kommer fra Region Syddanmark.
Det er en væsentlig risiko, og det kan skade den tillid, borgerne har til os.
Men hvis alternativet er, at de ikke får en kritisk besked, som kan have betydning for deres sygdomsforløb, så er vi nødt til at afveje risiciene på begge sider,« siger han og fortsætter:</p>
<p>»Derfor har vi besluttet først at undersøge, om vi har nogle vigtige systemer, som vil blive blokeret, hvis vi slår reject-politikken til. For mig er det sund fornuft, at man undersøger konsekvenserne, inden man laver et nyt tiltag. Og så kan man altid diskutere tempo og rækkefølge.«

Og Region Midtjylland:

Region Hovedstaden mangler ligesom Region Syddanmark at analysere e-mails, før de kan stramme DMARC-politikken. Det samme gælder Region Midtjylland, lyder det i en mail:</p>
<p>»Problematikken er, at hvis vi sætter en streng politik (p=reject) i vores DMARC record, risikerer vi, at e-mails, som faktisk er fra regionen, bliver afvist hos modtageren.</p>
<p>Da der ofte er tale om alvorlige konsekvenser, hvis ikke kommunikationen kommer frem, skal vi sikre os, at alt er på plads før politikken strammes,« skriver Region Midtjylland.

Det gør de mig bekendt heller ikke.

Tak til Version2, fordi I forklarer og skitserer problemet på så enkel facon – og pædagogisk – så selv jeg, der ikke er professionel IT-haj, har relativt let ved at forstå det. Og ikke mindst – således regionernes/kommunernes IT-ansvarlige kan læse med og få gratis tips og vejledning.

Jeg undrer mig imidlertid...

Hvorfor sender regionerne vigtig information – en ”kritisk besked”, som Region Syd siger – ud til borgerne på mail?

Hvorfor sendes disse ikke via E-boks?

Er det (blot) pga. prisen/gebyret?

Findes der ikke politikker på området?

Jeg mener – kan der ikke være ræson i, at der er en vis stringens i kommunikationen fra det offentlige?

Det handler om pålidelighed, autoritet (i den officielle information / kommunikation), og sikkerhed omkring borgernes oplysninger, fx. Eller er der noget, jeg ikke forstår?

Så var vi også af med problemet = Du får IKKE e-mails fra det offentlige. Færdig.

Den gik måske for 5 år siden (e-mailkorrespondance fra det offentlige), men vi er da kommet videre, mig bekendt?

Nogen burde fortælle dem forskellen på envelope-from og From: headeren..

"For mig er det sund fornuft, at man undersøger konsekvenserne, inden man laver et nyt tiltag. Og så kan man altid diskutere tempo og rækkefølge.«"

Tempo ? DMARC har eksisteret siden 2012. Der er ikke meget tempo over Region Syddanmark :-)

Er der nogen der tør afvise mails fra de store udbydere?

Er der en reject policy, så har afsender/admin af domænet truffet en beslutning om at det er ok at afvise - så ja, hvis man påstår at overholde DMARC indgående, så skal der rejectes, selv hvis det kommer fra f.eks. gmail servere.

Præcis.

Jeg oplever jævnligt, at folk med en gØrle konto ikke får mine mails, selv om der har været hyppig kommunikation mellem os ikke lang tid før.

Mails ryger stille i spam (der er vist endda da noget med gØrle opererer med spam i 2 niveauer, så de kan komme rigtig langt væk) uden man som afsender får en dyt at vide.

Hvis jeg skal tage konspirationsteoribrillerne på, så er jeg ved at have en mistanke om at gØrle konskekvent chikanerer folk der ikke selv sender til dem fra deres servere, måske ud fra en betragtning om at folk til sidst resignerer og ikke magter selv at holde styr på egne data, men overlader det hele til gØrles overvågningsmaskine.

Men så skal du bare klistre endnu et lag på - vi skal have TLS, SPF, DKIM, DMARC, DANE, og hvad der så lige skal hægtes ovenpå i morgen - det bliver ikke bedre på den måde, kun værre.

DKIM virker på mig inderlig grotesk, at man skal have endnu en separat kryptering, når man i forvejen har TLS, og DMARC er lidt samme surdej i forhold til SPF.

Og spørger man så de kyndige om hvordan DMARC skal sættes op, så får man altid et svævende svar ala: det-afhænger-jo-af-dit-setup, og det-kan-gøres-på-så-mange-måder, osv. osv.

Siger man så: ja tak, men kan du ikke give en helt konkret og skudsikker vejledning, så kommer det samme svævende svar frem.

Og helt ærligt, det kan jeg ikke bruge til en bønne, opsætning af en mailserver burde kunne gøres ud fra hårde facts, ikke ud fra tarotkorttydning, eller hvordan Månen tilfældigvis står i forhold til Jupitor.

Lad os nu få barberet mails helt ned til et simpel system som jeg har skitseret, hvor al levering er end-to-end baseret på DNS opslag.

Men løser DMARC problemet? Er der nogen der tør afvise mails fra de store udbydere?

Ja.

DMARC p=reject har været krav til statslige myndigheder siden 1. juli.

https://sikkerdigital.dk/myndighed/tekniske-tiltag/tekniske-minimumskrav/

Ja der er mailsvindlere derude og ja vi må beskytte os. Det er virkeligt irriterende.

Men resultatet af at hyle op om at "det også er for galt at de kan udgive sig for at komme fra det offentlige" er at politikere kommer med en automatreaktion, der betyder at vi nu skal logge på et nyudviklet dansk system, med fin 4-faktorautentifikation hver morgen, for at se om de offentlige har sendt os post om skolemælk.

Men løser DMARC problemet? Er der nogen der tør afvise mails fra de store udbydere?

Alle de disse velmenende sorteringsteknikker, der skal redde os fra grimme svindlere, har gjort modtagelsen af mails til et hemmeligt lotteri. Som det nævnes i artiklen, svingede reaktionen fra den studerendes Google-mail mellem at modtage, afvise eller direkte i SPAM-mappen - uden forklaring eller notits.

Indikationerne kunne fx være hvis der var HTML i mailens indhold - eksempelvis et skjult link - røg mailen i spam. Jeg har just sent et kvart-årligt nyhedsbrev ud til de sædvanlige 50 medlemmer. Uden HTML, det hele var i ren tekst, inklusive to links. Google beskuttede at gemme mailen bort i modtagernes SPAM-mapper, så ingen bemærker, at den er modtaget...

Tilsvarende sker med andre helt almindelige enkeltmails, der fx sendes til firmaer, hvor diverse "IT-eksperter" tilsvarende har skruet så højt op for filtrene på deres mailsystemer, at man nu er nød til at ringe for at spørge, om seneste mail allernådigst blev tilladt modtagelse.

Det er absolut vigtigt at udvikle gode systemer, der afmærker upålidelige mails, så godtroende modtagere ikke bliver snydt. Men pt svarer "IT-eksperternes" løsninger til at svejse postkasserne til i lukket tilstand, fremfor at sikre, at mail-modtagelse fortsat er nemt og brugbart.

Det undrer mig, at fx one.com hvor jeg er privatkunde, ikke har sat DMARC m.m. op som default. Der er helt sikkert mange privatpersoner, der som mig er lægmand og uvidende om sådanne indstillinger. Det står fint forklaret på deres supportsider, hvis man ved, hvad man skal lede efter.

Det er ikke mange linjers kode i DNS'en der skal til, for at have en basisbeskyttelse

Faktisk skulle der være/have været meget mere kontrol med tildeling af domæner her i landet.

Imo burde det kun være offentlige instanser som burde have lov til at have TLD'er, alle andre skulle som i England kun kunne få lov til at købe et XXX.co.dk eller lignende domæne.

Og så, som jeg har sagt mange gange før, lad os nu få en gennemgribende modernisering af hele mailparadigmet, så vi i stedet får et challenge-response system - det håbløst forældede mailsystem vi stadig bruger, hvor vi slæber rundt med en håbløs teknisk gæld, er jo baseret på en tankegang om relaying, noget som fanden har skabt i vrede, og som ingen mening giver i det 21' århundrede.

Hvorfor er der ikke nogen i Staten, der har tænkt/overvejet at Staten/regioner/kommuner skulle etablere et TLD for danske myndigheder, fx .govdk.

Eller hvad med et second-level domain ala .my.dk my for myndighed, eller st for stat, ko for kommune og re for region.

Tildeling af domain navne i en af de to løsninger skal selvfølgelig være styret efter strenge regler.

»Vi er ikke enige i, at det skulle være nemt at misbruge sundhed.dk’s domæne og sende mails på vegne af sundhed.dk, da vi igennem længere tid har haft en SPF-record implementeret. Dermed har den modtagne e-mailserver haft mulighed for at spørge sundhed.dk’s domæne om, hvorvidt den e-mail, de har modtaget, kommer fra en af de servere, som må sende på vegne af sundhed.dk,« hedder det i en mail til Version2

Nogen burde fortælle dem forskellen på envelope-from og From: headeren..