Nets advarer mod endnu en bølge af fupmails og -beskeder

Hvor svært kan det være at få sat DMARC op. Helt ærligt!

Jeg reagerede da jeg modtog phishing fra domænet nemid.com

Kære Emil

Tak for din henvendelse. Vi sætter pris på gode input.

Vi har noteret os din bekymring samt dit forslag vedr. anvendelsen af DMARC. Behovet for supplerende sikkerhedsforanstaltninger bliver løbende vurderet af it-sikkerhedsfolk fra Digitaliseringsstyrelsen, Nets DanID og bankerne. Således undersøger vi selvfølgelig også belægget for en mulig anvendelse af systemer såsom DMARC.

Med venlig hilsen [navn] DIGST Digital Post Center for Systemforvaltning og Sikkerhed Digitaliseringsstyrelsen

Nets har slet ikke svaret på men mail :))) Jeg sendte den til fem modtagere hos Nets + DIGST d. 29 marts…

Wow. Jeg tilføjer det til listen af grunde til at Nets er komplet ligeglade med sikkerhed og/eller inkompetente. Det er en ret lang liste, efterhånden.

Det er jo ikke raket-videnskab at sætte DMARC op.

Nej det burde det da ikke være for en håndfuld "it-sikkerhedsfolk"

Det er lige lykkedes mig at lokke et svar ud af Nets… Kom nu bare i gang!

Hej

Vi mener, at det er oplagt at benytte DMARC teknologien og p.t. er vi ved at vurdere, hvorledes vi kan implementere teknologien i relation til NemID.

Med venlig hilsen [navn] Press Officer, Group Communication Nets A/S

Der skal to til at danse tango, og hvis Hr. og Fru Jensens mail ikke laver DMARC check (eller rettere den bagvedliggende mailserver, som siger Hr. og Fru Jensen hat), så kan der stadig sendes bondefangermails.

Ikke at det undskylder Nets, men selv hvis de implementerer DMARC, så er der stadig mulighed for phishing, typosquatting mv.

Jeg plæderer ikke for at man skal lade stå til, men man skal heller ikke bilde folk ind at hvis Nets implementerer DMARC, så forsvinder problemet med et trylleslag.

Jeg plæderer ikke for at man skal lade stå til, men man skal heller ikke bilde folk ind at hvis Nets implementerer DMARC, så forsvinder problemet med et trylleslag.

Problemet forsvinder ikke nej. Det det vil hjælpe meget.

Google, TDC, Microsoft, Yahoo, UnoEuro og mange flere tjekker DMARC inbound. Jeg vil skyde på at DMARC vil hjælpe over 50% af danskerne.

Jeg plæderer ikke for at man skal lade stå til, men man skal heller ikke bilde folk ind at hvis Nets implementerer DMARC, så forsvinder problemet med et trylleslag.

Iøvrigt er det heller ikke kun NETS som burde implementere DMARC, hele den offentlige sektor og alle større firmaer burde bestemt også få det implementeret. Det ville i den grad gøre Danmark mindre attraktivt for kriminelle hvis ikke der var frit valg på alle hylder.

Så vidt jeg kan se på dmarc.org har denne "lidt af vejen" løsningen eksisteret siden 2007-8 i en eller anden form, med andre ord er der gået ca 8 år med tågesnak før Nets måske får fingeren ud, og der er mange andre vigtige aktører på nettet der skulle have en kugle for panden fordi de har sovet i timen, med grimme konsekvenser for mange mennesker ! Er det med DMARC også muligt at mindske spam ?

Er det med DMARC også muligt at mindske spam ?

I den grad. I en periode på under en uge, blev der afsendt over 700 spam mails fra et af mine domæner, der blev rejected. Hvor mange der reelt er afsendt ved jeg jo ikke.

Er det med DMARC også muligt at mindske spam ?

DMARC kan forhindre enhver form for misbrug af dit domæne, om der er tale som phishing eller almindelig spam gør ikke nogen forskel. DMARC blev oprindeligt præsenteret som en sikkerhedsløsning, men er bestemt også interessant for marketingsfolk og andre som bekymrer sig om deliverability af email. Har du mange legitime emails du skal have leveret godt og trygt i folks inbox kommer du ikke udenom at tage stilling til brugen af DMARC. https://support.google.com/mail/answer/81126?hl=en#authentication

Tak til Emil og Henrik !

Håber at Nets og alle de andre får fingrene ud og kommer igang med DMARC, forstod jeg dmarc.org korrekt, er der ingen indkøbs udgifter ved anskaffelse af DMARC ? Formoder at der må være opsætning og løbende opdaterings udgifter ved implementering af DMARC ? Er aldeles sikker på at jeg personligt ikke vil have noget at bruge det til, modtager/sender mindre end 10 mails dagligt og har ikke hørt om misbrug af min mail adr

Afvise alt mail uden, men en besked til afsender, om at der mangler noget væsenligt.

Når man så ikke får regninger og ligende :-) Og rykkes så må man jo først høre om de sender med DMARC, da alt andet forsvinder i Spamfilter, for det kan det lige så godt være. Som nogen mennersker der afsender SMS, og regner med at de når frem til modtageren altid.

... til at løse problemet med phishing mails.

Det ville forudsætte: 1. At modtagerens emailklient viser selve mailadressen, hvilket ikke altid er tilfældet. 2. At modtageren præcist kender relationen mellem afsender-domæne og afsenderens egentlige identitet.

Fupmagere har rig mulighed for at vælge domænenavne, der blot "kunne tænkes" at have den reelle ejer, som fupmageren vil få modtagerens tanker henledt på. Dels ved stave-varianter og dels med god hjælp fra ICANN, der med sine mere end tusind ny TLD'er gør det umuligt for selv større virksomheder at beskytte deres navn.

Samtidigt er det mit indtryk at de mest "seriøse" fupmagere har mere flair for at sætte mailservere op (herunder med DMARC) end de fleste normale kommercielle virksomheder.

Hvordan skulle "fru Jensen" umiddelbart kunne vurdere om nemid.com "kunne tænkes" at være et legalt afsenderdomæne, mens f.eks. nets.com måske ikke var det? Også hvis vi antog, at disse 2 domæner begge benyttede DMARC. Og hvordan skulle hun umiddelbart kunne vide om en mail fra nemid.dk var fra Nets/Digst eller fra en anden virksomhed, der tilbyder en service med samme navn.

Jeg tror derfor at en robust løsning på problematikken tillige vil indebære en egentlig verifikation af hvilken virksomhed (eller fupmager), der kontrollerer afsenderdomænet. Kombineret med noget i retning af den ny draft IEFT standard "SMTP Strict Transport Security". Så "fru Jensen" umiddelbart kan se om det er NETS A/S i Danmark med 500+ medarbejdere og 5+ GDKK omsætning eller NETS et eller andet sted i Stillehavet uden dokumentation, der har sendt hende en mail.

Jeg tror derfor at en robust løsning på problematikken tillige vil indebære en egentlig verifikation af hvilken virksomhed (eller fupmager), der kontrollerer afsenderdomænet.

Som jeg har skrevet tidligere: https://www.version2.dk/comment/333592#comment-333592

Hvis det kunne lade sig gennemføre (teknisk overmåde simpelt, svært pga. overgangen), så kunne der råt og brutalt lukkes for dem der sendte spam og phishing, for intet validt domæne ingen post.