Kan enhver også sende mails på vegne af direktøren i din organisation?

Illustration: REDPIXEL.PL/Bigstock
DMARC kan sætte en stopper for de mest luskede svindelmails, men mange har ikke implementeret teknologien, der i princippet ikke koster noget.

Danske organisationer ser ikke just ud til at være ved at falde over hinanden, når det kommer til at implementere og aktivere DMARC.

I hvert fald ikke ifølge et kig på https://status.dmarc.dk, der en opgørelse over udbredelsen af DMARC på en stribe domæner. Blandt andet i det offentlige og i den finansielle sektor herhjemme.

DMARC er helt kort fortalt en gratis teknologi, der gør det muligt for en mailserver på en standardiseret måde at håndtere mails, der foregiver at være sendt fra en ellers legitim afsenderadresse. For at valideringen af en mail kan finde sted, skal DMARC være implementeret hos både afsender og modtager. Flere store mail-udbydere understøtter DMARC. Eksempelvis Google og Microsoft.

Hvis DMARC er implementeret hos både afsender og modtager, kan teknologien forhindre, at enhver kan sende mails på vegne af eksempelvis politiker@[navnet-på-et-parti].dk, redaktør@[navnet-på-et-medie].dk eller direktør@[navnet-på-en-virksomhed].dk

Misbrug af mailadresser som disse kan principielt åbne op for alt fra CEO-fraud over falske pressemeddelelser til falske nyheder.

DMARC forhindrer ikke, at der principielt kan stå hvad som helst som navn på afsenderen.

Teknologien kan alene sætte en stopper for, at afsenderadressen bliver misbrugt. Men det kan i sig selv være væsentligt, da svindlere så bliver nødt til at skrive fra eksempelvis @virksomhedsnavn.svindler.dk i stedet for at kunne sende direkte fra @virksomhedsnavn.dk

Altså en synlig forskel for almindelige brugere.

Alligevel fremgår det af https://status.dmarc.dk at eksempelvis næsten ingen af landets kommuner og regioner bruger DMARC til aktivt at stoppe svindel-mails i at nå modtagere.

Og det er der i øvrigt heller ikke mange af landets medier, der gør. Heller ikke Version2 - det skulle dog være på vej.

Det skal her bemærkes, at flere domæner på https://status.dmarc.dk faktisk har implementeret DMARC, men endnu ikke på en måde, så svindelmails reelt bliver afvist som følge af teknologien. Nogle domæner - herunder version2.dk - kører således med DMARC i monitor-mode - en overvågningstilstand. Mere om det senere.

Danmarks nationale it-sikkerhedsmyndighed Center for Cybersikkerhed anbefaler ellers at bruge DMARC. Og ifølge erfaringer fra Nets, så fungerer DMARC.

Version2 kunne forleden fortælle, hvordan Nets havde oplevet et drastisk fald i phishing-forsøg, som virksomheden tilskriver implementeringen af DMARC på domæner relateret til NemID.

Det skal her bemærkes, at flere domæner på https://status.dmarc.dk faktisk har implementeret DMARC, men endnu ikke på en måde, så svindelmails reelt bliver afvist som følge af den teknologi. Det kan eksempelvis være, hvis domænet kører i såkaldt monitor-mode - en overvågningstilstand, der kan indikere, at DMARC er på vej til at blive aktiveret. Mere om det senere.

DMARC beskytter varemærke mod hærværk

Hvis forklaringen på den ringe DMARC-udbredelse er manglende kendskab til teknologien eller frygt for uforholdsmæssigt store implementerings-udgifter, så kan videre læsning måske være med til at ændre på dette billede.

»Med DMARC beskytter man sådan set sit brand mod hærværk, svindlere og så videre, der er ikke nogen god grund til ikke at have det,« siger Henrik Schack.

Han står bag https://status.dmarc.dk

Som sidebeskæftigelse hjælper Henrik Schack fra tid til anden organisationer med at implementere DMARC. Det er som regel ikke noget, han tager penge for. Forklaring? Det er ifølge Schack så let, at der ikke rigtigt er nogen forretningsmodel i det set fra et konsulentperspektiv.

»Hvis jeg skulle leve af det, så var jeg død. Der er jo ikke så meget arbejde i det, det bliver ikke til nogen stor faktura,« siger han.

Klar, parat, start

DMARC fungerer ved at et domænes offentlige DNS-record - et sted alle kan slå op - indeholder en beskrivelse af, hvordan en postserver skal agere, når den modtager post, der ser ud til at komme fra førnævnte domæne. Altså eksempelvis en mail fra @version2.dk

Hos flere mailudbydere, såsom Google og Microsoft, er det for domæne-administratorer relativt lige til at sætte DMARC op ved at trykke på et par knapper i et selvbetjeningspanel, forklarer Henrik Schack.

»De store mail-tjenester har gjort det vældigt nemt. Hvis du kører din egen mailserver, kan det godt blive lidt langhåret.«

Men hvis man kan finde ud af at hoste sin egen mailløsning, så kan man også finde ud af at sætte DMARC manuelt op, vurderer Henrik Schack.

P='none'

I forbindelse med DMARC-opsætning, så er det muligt at vælge mellem tre forskellige policies i forhold til, hvordan den modtagende mailserver skal reagere: 'none', 'reject' og 'quarantine'.

‘None’ er en overvågningstilstand (monitor-mode), som ikke har nogen konsekvenser for behandlingen af mails.

»Det allerførste du gør, det gør at oprette en DMARC-record i monitor-mode. Altså 'p=none'. Det betyder ikke noget for dine eksisterende mail-leverancer, det er udelukkende en kortlægning,« siger Henrik Schack.

I overvågningstilstanden bliver ingen mails afvist - i hvert fald ikke som følge af DMARC.

Mails kan godt blive afvist af andre årsager, eksempelvis hvis et domæne har været eller bliver misbrugt som afsender i svindelmails.

Overvågningstilstanden bevirker, at en række rapporter om mail-leverancer, bliver sendt til en adresse angivet af indehaveren af det domæne, der er indført DMARC på. Raporterne kan for eksempel vise, om legitime mails fejlagtigt bliver behandlet som spam.

For at disse DMARC-rapporter bliver genereret forudsætter det, at modtagerens mailserver også har implementeret DMARC. Det vil være tilfældet for en del postmodtagere, fordi de store udbydere såsom Microsoft og Google har implementeret DMARC på deres cloudbaserede mail-løsninger.

Rapporterne, der bliver genereret, er i XML-format. Og der kan, alt efter organisationens mail-aktiviteter, hurtigt blive tale om en del retur-data, der skal bearbejdes. Det findes der online-værktøjer til.

Henrik Schack fremhæver i den forbindelse web-servicen Dmarcian, når det kommer til bearbejdning af XML-data fra DMARC.

Men der findes også andre cloud-baserede løsninger, ligesom der findes selvstændige open source-værktøjer, der kan bruges til at analysere DMARC-data med.

DKIM og SPF

Når rapporterne begynder at tikke ind, er det eksempelvis muligt at se, hvilke domæner der mangler DomainKeys Identified Mail (DKIM) og Sender Policy Framework (SPF). Det er de to teknologier, som DMARC bygger ovenpå.

DKIM er en mail-autentifikations-mekanisme, der via en digital signatur gør det muligt for modtagerens mailserver at verificere, om en mail, der ser ud til at komme fra et specifikt domæne, er autoriseret af den faktiske ejer af domænet.

SPF er lidt i samme dur og bruges til at validere, at ip-adressen for den server, der har sendt en mail fra et givet domæne, nu også har lov at sende på vegne af domænet.

Status for både DKIM og SPF fremgår på samme måde som DMARC af et domænes offentlige DNS-record.

SPF-forvirring

Hvad SPF angår, så kan der her opstå forvirring, fordi der florerer forskellige standard-definitioner online, fortæller Schack.

Det skyldes, at der flere steder er sat lighedstegn mellem SPF og en gammel Microsoft-standard kaldet 'Sender ID'.

Resultatet er ifølge Henrik Schack, at feltet med SPF-oplysninger kan risikere at blive overfyldt på grund af data, der egentlig ikke hører hjemme der. Og det gør i sidste ende SPF-feltet ugyldigt, så det ikke længere kan bruges til validering af mail-autenciteten.

»En defekt SPF-record kan ikke bruges i DMARC-sammenhæng,« siger han.

Der er ifølge Henrik Schack flere nyhedsbrevs-tjenester, der ikke følger SPF-specifikationerne, hvilket betyder at disse udbyderes kunder ender med en fejlagtig SPF-record.

I forhold til at finde ud af, hvad der er op og ned, hvad SPF angår, anbefaler Henrik Schack et kig i rapporten 'M3AAWG Best Practices for Managing SPF Record' (PDF) fra 'Messaging, Malware and Mobile Anti-Abuse Working Group'. (PDF)

Ærmerne op

Tilbage til DMARC-rapporteringen. På baggrund af rapporteringen i overvågningstilstand er det i princippet nu muligt at se, hvor der skal rettes op i forhold til organisationens mail-håndtering.

»Så er det ellers bare at smøge ærmerne op og komme i gang, det er egentlig ikke så svært,« siger Henrik Schack.

Udover fejl og mangler i forhold til DKIM og SPF, så kan DMARC-rapporteringen afsløre, at ellers legitime mails faktisk ender i spam-mappen hos eksempelvis Google og Microsofts respektive mailtjenester. En ikke videre ønskværdig situation.

Forklaringen kan ifølge Henrik Schack være, at svindlere - netop på grund af manglende DMARC - har misbrugt organisationens domæne til at udsende spam fra, hvorfor diverse anti-spam-mekanismer generelt begynder at behandle mail, der hævder at komme fra en given organisations domæne som uønsket indhold.

Afdækningen af sådan et problem kan selvsagt være ønskværdig.

Når knasterne er ryddet af vejen, skal DMARC gøres aktivt, så ondsindede mails faktisk bliver forhindret i at nå modtagere.

Det sker ved at sætte policy til enten 'reject' eller 'quarantine'.

'Reject' vil sige, at mailmodtagerens server helt afviser mails, hvis de eksempelvis fejler et DKIM- og SPF-tjek. Mens 'quarantine' og fejl ved samme tjek - alt efter den konkrete implementering - kan bevirke, at mails bliver sendt i brugerens spam-mappe.

»Jeg kan ikke mindes, jeg har set uheld - altså mails, der bliver afvist uden at skulle være blevet afvist,« siger Henrik Schack med henvisning til, når DMARC kører med 'reject'.

I den forbindelse betyder DMARC i øvrigt også, at hvis en organisation sender legitime mails via eget domæne, som modtagerne markerer som spam, så er det svært for domæneindehaveren at løbe fra ansvaret.

Så derfor er det også muligt for mailudbydere at knytte et ry til domæner i stedet for flygtige ip-adresser, da DMARC jo er med til at garantere, at afsenderen faktisk har lov at bruge domænet.

»Uden DMARC kan man ikke rigtig ‘straffe' andet end ip-adresserne som står for afsendelsen, med DMARC kan ens reputation hæftes til domænet,« skriver Henrik Schack i en opfølgende mail.

Han henviser til, at Google siden 2016 har anvendt domæne-baseret reputation. Det er muligt at se via Google Postmaster Tool, hvordan ens domænes ry eller rygte klarer sig desangående.

Reklame for svindlere

Som nævnt, så er DMARC-politiken for et domæne eller mangel på samme offentlig tilgængelig.

I den forbindelse er det værd at holde sig for øje, at og svindlere på den måde også kan se i den offentlige DNS-record om et domæne er forsøgt beskyttet med DMARC og har en policy sat til ‘reject’ eller 'quarantine'.

Da Nets fik aktiveret DMARC for domænet nemid.nu oplevede organisationen et væsentligt fald i forsøg på svindel. Det vil sige, at svindlere så ud til på forhånd at opgive at sende mails på vegne af det DMARC-beskyttede domæne.

Et domæne uden DMARC er til gengæld nærmest en reklamesøjle, men Henrik Schack.

»Man står nærmest og reklamerer med, at man er et nemt offer. Hvis det var noget, der krævede en investering på en million, kunne jeg forstå det, men det er gratis teknologi,« siger Henrik Schack.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Laursen

Artikler som denne er årsag til forvirring om hvad DMARC rent faktisk gør.
Alle kan fortsat sende en mail med din direktør som afsender.

DMARC kan ikke bestemme hvad andre beslutter sig for at taste ind som afsender email.

DMARC er udelukkende et instrument som implementeres på den modtagende mailserver.
Her checker man om der er sat DMARC op for domænet og man handler ud fra den policy som DMARC DNS recorden fortæller.

Hvis din kundes mailserver IKKE har DMARC implementeret så kan de stadig modtage den falske mail fra direktøren.

Det ville være rart at dette blev tydeligt i denne artikel.

Per Laursen

Hej Henrik.

Jeg ville ønske at du havde citeret det hele:

"DMARC er udelukkende et instrument som implementeres på den modtagende mailserver.
Her checker man om der er sat DMARC op for domænet og man handler ud fra den policy som DMARC DNS recorden fortæller."

Formuleringen kunne have været mere præcis, det medgiver jeg.

Leif Neland

Jeg har (haft) en konto hos dmarcian, men da jeg inspireret af denne artikel ville logge ind fik jeg at vide at abonnementet var udløbet og med den mængde post, der kom fra domænet, ville abonnementet koste $2,388.00 om året.

Så jeg vil nok se efter alternativer...

Claus Juul

Dmarc/SPF/DKIM er lige som nabohjælp, hvis vi alle implementere det bliver, hjælper vi hinanden med at reducere muligheden for mails med falske afsenderidentiteter.

Hvis man har meget skygge IT, fx marketing har indgået aftaler om reklameudsendelse uden at nogen i IT ved noget om det, så gøres implenterningen mere besværligt, da man først lige skal kortlægge hvilke mailservices der anvendes! CIS CSC #2 siger at du skal vide hvilket software du anvender.

Jon Linde

Hvis man har meget skygge IT, fx marketing har indgået aftaler om reklameudsendelse uden at nogen i IT ved noget om det, så gøres implenterningen mere besværligt, da man først lige skal kortlægge hvilke mailservices der anvendes!

Det er jeg ikke helt enig i at man først skal.
Med DMARC i "monitor" mode er netop et værktøj til at lave den kortlægning.
Efterhånden som man får det nødvendige overblik over de enkelte domæner, kan man justere SPF og skifte DMARC policy til noget mere restriktivt.

Jeg anser derfor DMARC som et af de første redskaber jeg kan tage frem.

Leif Neland
Tom Paamand

En modtager uden den nødvendige kritiske sans åbner glad et troværdigt udseende papirbrev, der fx stammer fra en svindler i Nigeria - hvilket forekommer jævnligt. Alligevel foreslår ingen mekanisk kontrol af korrekte afsendere hos postvæsenet, men for emails kan dette problem åbenbart "løses" ved lidt IT-sovs.

Sådanne filtre lader også til at blokere for mine Vanity Addresses, med mindre jeg opsætter mailservere for dem alle, og altid får rodet den rigtige frem. Forslaget "løser" et problem, der mest skyldes uforsigtige brugere - som ikke bliver klogere ved den nævnte løsning, men sandsynligvis blot endnu mere forvirrede.

Claus Juul

som ikke bliver klogere ved den nævnte løsning, men sandsynligvis blot endnu mere forvirrede.

Det er rigtigt, men der er heller ikke nogen der har sagt at DMARC/SPF/DKIM løser alle problemer, fx. kan en kompromitteret bruger stadig sende mails ud, der faktisk kommer fra brugerens mailklient/-server, men som stadig er spam/phising.

DMARC/SPF/DKIM kan fjerne en del mails, brugerne skal så forholde sig til færre mails og forhåbentligvis reducere risikoen for at brugeren gør noget skadeligt. Den sidste del kan kun undervisning hjælpe på.

Mads T. Jensen

Hvor er det nogle triste mennesker der må være bag siden https://status.dmarc.dk/fumle-listen når man i ramme alvor fremstammer sætningen

"Konfigurationen har absolut ingen effekt, ud over at vise verden at domæneejeren ikke har styr på teknikken"

Man får virkelig meget respekt når man er nedladende overfor andre mennesker...

Men ok, jeg formoder folkene bag siden ingen intentioner har om at være professionele i deres kommunikation.

Henrik Schack

Ja heldigvis kan man fristes til at sige, eller ville DMARC have været værdiløs.
Når du sender en besked til en mailingliste kan der ske noget i denne stil:

En email med dig som afsender, sendes videre fra en ikke autoriseret mailserver (Der røg SPF)
Dit oprindelige indhold ændres, subjectline prefixes f.eks med listenavn, og der tilføjes en footer (Der røg din DKIM signatur)

I 2015 skændes man bravt om hvordan man skulle løse mailingliste problemet, problemet blev ikke mindre af at der var problemer med den mailingliste hvor man diskuterer DMARC (IETF)
Der er adskillige mere eller mindre pæne måder at løse problemet på.
Det nyeste tiltag, som i øjeblikket testes, er ARC specifikationen, her er en gennemgang af hvordan den fungerer: https://dmarc.org/presentations/ARC-Overview-2016Q3-v01.pdf

Leif Neland

Sådanne filtre lader også til at blokere for mine Vanity Addresses, med mindre jeg opsætter mailservere for dem alle, og altid får rodet den rigtige frem. Forslaget "løser" et problem, der mest skyldes uforsigtige brugere - som ikke bliver klogere ved den nævnte løsning, men sandsynligvis blot endnu mere forvirrede.

Når du ikke kan finde ud af at sætte mailserver på dine vanitydomains, har du sikkert heller ikke sat SPF eller andet op, og så der det ikke filtre, der er relevante for denne artikel, der er i spil.

Det er en anden opsætning på mange mailservere: Har afsenderdomænet ikke en MX-record, dvs der kan ikke svares tilbage, er det højst sandsynligt spam, og derfor afvises det.

Henrik Schack

Lige præcis det MailChimp og Trustpilot beder om at få i din SPF record har ikke noget med SPF at gøre.

Må jeg få den uddybet?
[/quote]
SPF drejer sig om sender-envelope adressen (MAIL FROM) ikke den synlige FROM adresse.
f.eks MailChimp vil aldrig anvende dit domæne i sender-envelope adressen, de anvender altid et af deres egne domæner, hvorfor SPF recorden hører hjemme der.

Alt i alt kan du ikke sendt fuldt DMARC aligned email med MailChimp

https://dmarc.io/source/mailchimp/

Log ind eller Opret konto for at kommentere