Microsoft putter vellignende fup-mails i spam - Google og Yahoo sletter dem
Mens Microsoft tidligere på året ude og advare om cyberangreb og spear-phishing-kampagner mod demokratiske, europæiske institutioner, så har Windows-producenten selv valgt at implementere mail-beskyttelsesteknologien DMARC på en måde, så potentielle svindelmails stadig kan tilgås af brugeren.
Mail-tjenesterne hos Google og Yahoo smider mails, der fejler et DMARC-tjek helt væk, mens de samme mails kan ende op i brugerens spam-mappe i Microsofts Outlook-webmail.
Microsoft har selv været med til at definere DMARC, som står for Domain-based Message Authentication, Reporting, and Conformance. Rapporterings-delen af forkortelsen vender vi tilbage til, her har Microsoft nemlig også valgt en særlig tilgang.
Standarden kan være med til at beskytte organisationer mod de allermest vellignende phishingmails. Center for Cybersikkerhed har siden 2017 anbefalet danske organisationer at implementere DMARC.
DMARC er kort fortalt en teknologi, hvor indehaveren af et domæne, eksempelvis danskebank.dk, kan sætte nogle politiker op for, hvordan mails, der udgiver sig for at komme fra det pågældende domæne, skal behandles af mail-modtagerens server.
På den måde bliver det sværere for en angriber at sende eksempelvis en phishing-mail på vegne af et legitimt domæne som @danskebank.dk
Netop Danske Bank har tidligere fortalt Version2 om, hvordan og hvorfor virksomheden har beskyttet ca. 2.600 af bankens domæner med DMARC. DMARC sætter en politik for to andre protokoller, SPF og DKIM. SPF (Sender Policy Framework) er et simpelt system til validering af mails og er designet til at detektere spoofing. Modtageren af en mail kan kontrollere, at indgående mails fra et domæne kommer fra en server (IP-adresse), der er godkendt af domæne-ejeren (afsender). Listen over godkendte servere for et domæne publiceres via domænets DNS-oplysninger. DKIM (DomainKeys Identified Mail) beskriver, hvordan der kan knyttes et domæne-specifikt id til en mail. Domæne-ejeren kan signere den enkelte mail med en privat signeringsnøgle og dermed give modtageren mulighed for at verificere, om mailen er afsendt fra en server, der er registreret i DNS (Domain Name System). Verifikationen sker på baggrund af afsender-serverens offentlige signeringsnøgle, der er tilgængelig via DNS. Kilde: Center for CybersikkerhedDMARC
Spam og reject
Version2 har lavet nogle test med spoofede mails sendt til egne konti. Vores fup-mail udgiver sig for at komme fra et legitimt domæne, der er beskyttet med en striks DMARC-politik kaldet reject. Denne politik tilsiger, at mails, der fejler DMARC-tjekket, bør afvises af mail-serveren.
Hos mail-tjenesterne hos Google (gmail.com) og Yahoo (yahoo.com) blev disse mails afvist med en retur-besked om et fejlet DMARC-tjek. Det vil sige, at de pågældende svindelmails slet ikke når frem til modtageren.
En tilsvarende mail sendt til en testkonto på Microsofts Outlook-webmail havnede i Version2's forsøg i spam-mappen. En demonstrations-video af forsøget ligger her.
Udgangspunktet for reject er ifølge Henrik Schack, at mails helt bliver afvist af modtagerens mailserver. På den måde når spoofede mails slet ikke frem til brugeren, og altså heller ikke til brugerens spam-mappe.
Til dagligt arbejder Henrik Schack som systemadministrator hos lyd- og e-bogsvirksomheden Storytel. Og ved siden af hjælper han fra tid til anden organisationer med at implementere DMARC.
»Reject betyder ‘afvis email’, og det kan alle andre end Microsoft godt finde ud af,« skriver han i en mail til Version2.
Henrik Schack står bag status.dmarc.dk, hvor man kan se, hvordan det står til med DMARC-implementeringen hos en række danske organisationer.
»Resten af verden har ikke noget problem med at respektere en reject policy,« skriver Schack.
Der findes en DMARC-policy kaldet quarantine, som ofte bevirker, at DMARC-mails bliver sendt i spam-mappen. Det sker hos både Google, Yahoo og Microsoft.
Ifølge Henrik Schack kan det være et problem, da brugeren på den måde stadig kan tilgå mails med potentielt ondsindet indhold, selvom det kræver et kig i spam.
På dmarc.org - et informations-site, som blandt andet Google og Microsofts LinkedIn støtter - fremgår det, at en organisation, der vil implementere DMARC, bør starte med en policy, der hedder none (en monitorerings-tilstand), så quarantine og endeligt reject.
Tanken er en gradvis indfasning, hvor domæne-indehaveren har mulighed for at se, at alting fungerer som det skal, og at legitime mails når frem til modtageren, mens falske mails bliver stoppet.
Vi overholder standarden
Sikkerhedsdirektør hos Microsoft Danmark Ole Kjeldsen mener ikke, det er et problem, når reject-mails bliver puttet i Outlooks spam-mappe.
»De færreste går ned i deres spam-folder og finder noget, hvor de siger: 'Den skulle jeg faktisk have læst',« siger han.
Sikkerhedsdirektøren peger desuden på, at det jævnfør DMARC-specifikationerne er muligt at behandle en reject-policy, så mails bliver placeret i spam-mappen i stedet for helt at blive afvist.
I specifikationerne bag DMARC tales der da også om, at reject bør (eng. should) resultere i en afvisning af en mail, når afsender autentifikationen fejler. Der er altså tale om en opfordring og ikke et krav.
Ole Kjeldsen forklarer, at Microsoft desuden har et overordnet filter, inden mails når frem til klienten, og at dette filter kan betyde, at nogle mails slet ikke når frem - heller ikke til spam.
»Alt det, der åbenlyst er spoofed eller ikke burde komme igennem, det slettes. Men der er altså også en risiko for at få nogle falske positiver. Og det vil vi gerne sikre, ikke sker, så derfor lægger vi det ned i spam-folderen,« siger Ole Kjeldsen.
Med falske positiver henviser Ole Kjeldsen til en situation, hvor en ellers legitim mail fejler et DMARC-tjek. Microsofts danske sikkerhedsdirektør understreger desuden, at der ikke er nogen mails, der fejler et DMARC-tjek, som lander i brugerens indbakke. Men i spam-mappen kan de altså stadig findes.
MS: Vi har en bred portefølje
Som nævnt havnede spoofede mails i Version2’s test sendt til Outlook-webtjenesten i spam, trods en reject-politik på det afsender-domæne, vi har angivet.
»Vi er nok den udbyder, som har den bredeste portefølje i forhold til både at tilbyde nogle forbrugertjenester. Og så har vi millioner af kunder, som benytter denne platform, og som vil komme efter os, hvis vi endte op med at slette noget, som reelt kunne være indhold, de ville have, fordi det fejlede på DMARC, som måske er sat forkert op. Vi har nogle bredere hensyn,« siger Ole Kjeldsen og tilføjer:
»Jeg er ikke i tvivl om, at hvis vi behandlede alle reject-policies som 'slet', så ville vi komme ud i en situation, hvor nogen ville sige: 'der er information, der er gået tabt. Det er en fejl, tingene er væk.' Og den situation ønsker vi ikke at stå i.«
Nogen vil nok mene, at det bør være op til indehaveren af et domæne med DMARC-beskyttelse, hvorvidt fup-mails skal i modtagerens spam-mappe eller ej. Eksempelvis kan domæne-indehaveren jo bruge en quarantine-politik i stedet for en reject-politik, hvis spam-mappen er at foretrække ved et fejlet DMARC-tjek.
Men sådan ser man ikke på det hos Microsoft.
»Hvis vi ville, så kunne vi godt slette reject, den position har vi bare valgt ikke at tage, fordi vi ikke ønsker at komme i en position, hvor information bliver tabt,« siger Ole Kjeldsen.
MS: DMARC ikke udbredt nok
Under snakken med Version2 anfører Ole Kjeldsen, at DMARC har været en begrænset succes, al den stund standarden er i brug relativt få steder. Det vidner et kig på status.dmarc.dk også om.
»Hvis alle kunne implementere DMARC, så ville det være fantastisk. Men det er kun toppen af isbjerget, når det gælder spam og phishing, der kan tages med DMARC,« siger Ole Kjeldsen.
»Og derfor er det kun en procentmæssig lille del af den samlede spam-mængde, vi kan håndtere med DMARC. Fordi det simpelthen ikke er udbredt nok.«
For at DMARC skal være effektivt, så kræver det, at teknologien er implementeret på domæner og på modtageres mail-servere.
DMARC-rapportering
Et værdifuldt input for de organisationer, der ønsker at implementere DMARC, kan være den afrapportering, som mailservere, der understøtter teknologien, kan sende retur. Rapporterne fortæller noget om, hvilke mails der når igennem til modtagere i forbindelse med DMARC.
Tanken er, at domæne-indehaveren på baggrund af rapporteringen i løbet af en monitorerings-periode kan tilpasse sit setup, inden DMARC sættes i kraft via en reject-policy.
På den måde kan falske positiver undgås, så den legitime kommunikation når frem til modtageren.
Nets har tidligere fortalt om, hvordan virksomheden efter en monitoreringsperiode indførte reject på flere domæner, hvilket nedbragte antallet af svindelmails.
Blandt andet Googles og Yahoos mail-tjenester sender rapporter retur til domæne-ejeren. Organisationerne er i den forbindelse at finde i toppen af listen som dataleverandører hos DMARC-værktøjs-sitet Dmarcian. Microsoft er ikke på listen.
Forklaringen er, at Microsofts Office 365-webmail og Outlook.com ikke sender rapporter om DMARC-håndtering retur. I hvert ikke endnu.
Retteligt skal det siges, at Microsofts LinkedIn er på Dmarcian-listen. Ifølge Henrik Schack har LinkedIn - der har haft problemer med falske @linkedin.com-mails - gennem længere tid genereret DMARC-rapporter, også før Microsoft overtog sitet.
Uden rapporterne er der umiddelbart heller ingen feedback i forhold til, om DMARC-opsætningen hos organisationer, der forsøger at beskytte sig via teknologien, er korrekt.
»De sender overhovedet ingen DMARC-rapporter, der er ingen, der tvinger en til at sende dem, men det ville være passende for et firma som Microsoft at gøre det og på den måde bidrage til udbredelsen af DMARC,« lyder det fra Henrik Schack i en skriftlig kommentar.
Microsoft: DMARC-rapportering er under udvikling
Da Version2 taler med Ole Kjeldsen om, hvordan DMARC-fejlende mails havner i spam i stedet for at blive afvist, meddeler han, at han vil undersøge nærmere, hvordan det forholder sig med den manglende afrapportering.
Microsoft Danmark vender senere tilbage med en skriftlig kommentar om, at »DMARC-rapporterne [er] under udvikling (hvornår de implementeres kan vi ikke give timeline på endnu), mens vi på virksomhedstjenester er i gang med at sikre, at rapporterne ikke bryder med GDPR.«
Skal det forstås således, at når afrapporteringen ikke er implementeret, skyldes det bekymringer i forhold til GDPR? (Som jo først trådte i kraft maj, sidste år). Er der ellers en forklaring på, hvorfor DMARC-afrapporteringen ikke er implementeret hos Microsoft?
»Det er i hvert fald en del af forklaringen, at vi vil sikre, at det overholder GDPR,« lyder det i et opfølgende, skriftligt svar fra Microsoft Danmarks pressekontakt.
Henrik Schack mener ikke, der er GDPR-problemer med den overordnede DMARC-rapportering, de såkaldte aggregerede rapporter.
Men ifølge Schack er der et problem med det, han kalder såkaldte forensic-rapporter, som indeholder hele kopier af mails. DMARC-specifikationerne taler også om disse rapporter, som man kan vælge at implementere på sin mail-server-løsning.
»De aggregerede rapporter har ingen udfordringer i forhold til GDPR, det er hvad alle de andre leverer. Forensics-rapporterne derimod, tror jeg slet ikke man kan gøre GDPR-compliant uden de bliver tæt på værdiløse,« skriver Henrik Schack.
Implikationer i forhold til forskellige former for DMARC-rapportering og privacy er diskuteret her.
Tillægsprodukt
Da Microsoft i februar var ude med historien om cyberangreb mod demokratiske organisationer i Europa promoverede virksomheden også Microsoft AccountGuard.
Ifølge Microsoft er det en sikkerhedstjeneste, der uden ekstra omkostninger kan benyttes af Office 365-kunder indenfor det politiske område.
Henrik Schack kalder Microsofts DMARC-implementering for halvhjertet, og han mener, det kan hænge sammen med, at virksomheden ønsker at udbrede egne sikkerhedsløsninger:
»Jeg ville nok nærmere sige de delvist understøtter DMARC standarden inbound, og ved at ødelægge DMARC-standarden lidt gør de deres tillægsprodukt mere relevant.«
Den mistanke afviste Ole Kjeldsen under interviewet med Version2 blankt.
»Jeg kan love dig, det her er ikke et forsøg på at markedsføre eventuelle sikkerhedsprodukter, det ville være at skyde os selv i foden. Specielt som en af grundlæggerne af DMARC,« lyder det fra sikkerhedsdirektøren.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
