Efter angreb med falske mails - nu bruger Socialdemokratiet DMARC

Illustration: Bigstock
Ved at anvende teknologien DMARC kan svindelmails forhindres i at nå deres mål. Men mange bruger kun metoden halvhjertet.

Siden 2017 har Center for Cybersikkerhed anbefalet danske organisationer at implementere teknologien DMARC som et værn mod de mest vellignende svindelmails.

Men selvom teknologien har været tilgængelig siden 2012, er der stadig mange organisationer, der ikke anvender den.

Det viser et kig på hjemmesiden status.dmarc.dk, som er en løbende opdateret opgørelse over udbredelsen af DMARC på en stribe danske domæner. Blandt andet i finanssektoren, den offentlige sektor og hos de politiske partier.

Under halvdelen af partierne benytter DMARC

Af opgørelsen fremgår det, at eksempelvis under halvdelen af de politiske partier i Folketinget har implementeret teknologien, og kun Socialdemokratiet har aktiveret DMARC på en måde, som reelt beskytter mod, at partiets domæne, @socialdemokratiet.dk, uden videre kan misbruges som afsenderadresse på falske mails.

»Grunden til, at vi har implementeret DMARC, har været et generelt ønske om at sikre både interne og eksterne modtagere af mails fra @socialdemokratiet.dk imod falske mails. Vi har selv tidligere været udsat for falske mails, der forsøgte sig med økonomisk misbrug ift. at få overført penge,« oplyser partisekretær hos Socialdemokratiet Jan Juul Christensen.

Socialdemokratiet kunne dog have implementeret DMARC på en måde, der var endnu mere afvisende over for potentielt skadelige mails, end det i skrivende stund er tilfældet. Partiet kører således med en DMARC-politik, der kaldes ‘quarantine’.

Det betyder, at modtagerens mailserver instrueres i at smide falske mails i spam-mappen. Men DMARC kan også sættes til ‘re­ject’ – en indstilling, der får modtagerens mailserver til helt at afvise falske mails, så de ikke engang når modtagerens spam-mappe.

Frygt for at afvise for meget

Når en organisation ikke bare kører med ‘reject’ fra starten, skyldes det som regel frygt for, at legitime mails ikke når frem til modtageren.

Bag opgørelsen på status.dmarc.dk står Henrik Schack. Han arbejder som systemadministrator ved e- og lydbogs virksomheden Story­tel og bidrog til udarbejdelsen af den DMARC-vejledning, som Center for Cybersikkerhed udgav i 2017.

I fritiden hjælper han organisationer med at implementere DMARC, og han mener, at teknologien bør sættes op, så vellignende svindelmails slet ikke når frem til hverken indbakken eller spam-mappen.

Selvom de falske mails ligger i spam-mappen, kan brugerne stadig finde frem til dem og måske finde på at interagere med dem, påpeger han og nævner som eksempel, at han i kraft af sit arbejde hos Storytel jævnligt må fiske legitime mails ud fra spam-mappen hos medarbejdere.

»Jeg kigger selv i min spam-mappe ind imellem, fordi der er så mange mails, der bliver kategoriseret forkert,« siger Henrik Schack.

Henrik Schack oplever, at interessen for DMARC blandt danske organisationer er stigende, selvom mange altså endnu har til gode at implementere teknologien. Derudover er rigtig mange private faktisk beskyttet af DMARC, formentlig helt uden af vide det, da de store web-mailudbydere som ­Google, Microsoft og Yahoo anvender DMARC.

Artiklen fortsætter under grafikken

Illustration: Nanna Skytte

Udbredelse styrker effekten

For at DMARC skal fungere, skal teknologien være implementeret på både afsender-domænet og modtagerens mail-server. Så jo større udbredelse, desto mere beskyttelse.

DMARC fungerer som en slags fælles sprog, der gør en mailserver i stand til at slå oplysninger op på domænet for den påståede afsender af en mail (eksempelvis @socialdemokratiet.dk) og i den forbindelse validere, om alt er, som det skal være.

Hvis noget er galt, kan afsenderdomænet anvise, hvad der skal ske med den falske mail. Eksempelvis om mailen skal i modtagerens spam-mappe (‘quarantine’), om mailen helt skal afvises (‘reject’), eller om den skal passere (‘none’).

Den sidste indstilling bliver typisk brugt i den såkaldte monitorerings-periode, hvor indehaveren af et domæne kan modtage løbende rapporter om, hvilke mails der bliver sendt på vegne af domænet. Det kan være praktisk for at få afklaret, om der eksempelvis er eksterne mailtjenester til udsendelse af nyhedsbreve, der skal formelt godkendes, men ikke er blevet det.

Folketinget er ikke beskyttet

Flere af de politiske partier i Folketinget anvender indstillingen ‘none’ for deres domæner, lige som selve Folketinget gør for domænet @ft.dk, som politikerne bruger.

Folketinget har ifølge Henrik Schack kørt med denne indstilling siden december 2017, og Ingeniøren har forhørt sig hos Folketingets administration, om man påtænker at gøre indstillingen mere restriktiv.

Det skriftlige svar lyder, at »Folketinget har implementeret DMARC på monitoreringsniveau og er i gang med arbejdet for at hæve håndhævelsen af DMARC-politikken til et højere niveau«, og går ikke i nærmere detaljer med, om man forventer at være på plads inden det valg, der senest skal finde sted 17. juni.

Beskytter ikke mod alt

Mens DMARC kan beskytte mod de mest vellignende forsøg på phishing, så beskytter teknologien dog ikke, hvis en angriber sender en mail via et domæne, der ligger tæt op ad det autentiske domæne.

Et tænkt eksempel kunne være en afsenderadresse, der hedder @socialdemokratiet-dk.com i stedet for @socialdemokratiet.dk. At stoppe den slags kræver, at en organisation har købt og beskyttet sådanne lignende domæner også. Til gengæld vil det i udgangspunktet være synligt for mail-modtageren – hvis vedkommende ellers kigger efter.

Henrik Schack medgiver, at DMARC på den måde ikke beskytter mod alle phishing-scenarier.

»Men det fjerner utrolig meget af det. Det fjerner det bedste, dem der er lavet i den allerhøjeste kvalitet,« siger Henrik Schack.

Denne artikel stammer fra den trykte udgave af Ingeniøren, som udkommer i dag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Jensen

»Jeg kigger selv i min spam-mappe ind imellem, fordi der er så mange mails, der bliver kategoriseret forkert,« siger Henrik Schack.

Hvem kan leve med at "mange" legitime mails ryger i spamfolderen? Er det virkelig det bedste man kan komme op med i 2019?

Adam Sjøgren

Det er altid sjovt når V2 og Ingenøren skriver om DMARC - det er altid for dååårligt at alle mulige ikke har sat det op. Men:

Der bliver ofte slået på at CFCS anbefaler DMARC, og det ser da ganske rigtigt også fint ud på cfcs.dk (dog kunne dmarcian ikke gætte DKIM selector'en og dermed ikke checke DKIM-opsætningen):

Går man ind på cfcs.dk i en webbrowser bliver man omdirigeret til fe-ddis.dk, og:

Ups...

de store web-mailudbydere som ­Google, Microsoft og Yahoo anvender DMARC.

Anvender og anvender:

Yahoo har en DMARC record, men hverken Gmail, Outlook eller Hotmail har.

Hans Nielsen

jeg kan ikke engang få et ordentligt spamfilter ved min udbyder.


Hvis du selv står for din mail, giver du dig mange flere muligheder.

Der hvor jeg har en del af mine mail konti ligende, er det mulighed for at aktivere filter, som tager en god del af spam mail.
Men jo mere "hård" man er, jo mere risikere manat mail ender forkert i SPAM.

Det er jo et problem for firmaer som lever af at sælge deres ydelser, og som fårordre og kontakter på mail.

I øverigt synes jeg at google gmail gør det rigtigt god.

Men det vigtigste når du har mail , er at du får styr på din DNS, og mail filter.

Hvis du køber et domain, og selv bruger lidt tid og anvender "stjerne mail" fornuftigt. Så kan du nemmere få styr på det.
servage.net synes jeg er fornuftigt.

Min "normale" mail i dageligdagen, vidersender jeg til en gmail konti.

Men brug af flere konti og udbyder hjælper jo også på SPAM og nyhedsbreve.

Hvis man kun har en mail konti, så er man en digital tosk.

Log ind eller Opret konto for at kommentere