Rapport peger på central årsag til mail-phishing: Kun hvert femte domæne er sikret med DMARC

Mailsikkerheden halter stadig hos virksomheder og organisationer verden over.

Sådan lyder konklusionen i en rapport fra it-sikkerheds- og analysevirksomheden 250ok. Rapporten har undersøgt, om domæner fra den offentlige sektor i USA og fra virksomheder verden over er beskyttet med DMARC.

Kort fortalt er DMARC en teknologi, der gør det muligt for en mailserver at lave standardiseret håndtering af fup-mails, der giver sig ud for at være sendt fra en tilsyneladende legitim afsenderadresse. Værktøjet kan på den måde begrænse phishing-mails og CEO-svindel, der ellers ser ud til at komme fra et troværdigt domæne

I alt er 21.075 domæner blevet analyseret, og konklusionen er klar. Omkring 79,7 procent af domænerne – hvilket svarer til næsten fire ud af fem – benytter sig slet ikke af løsningen.

»Ved en gennemgang af alle domænerne i datasættet, ser vi, at der typisk er en betydelig andel af domer, som slet ikke har nogen form for DMARC-opsætning,« lyder det i rapporten.

Derudover havde over ti procent af de undersøgte domæner implementeret, men ikke aktiveret DMARC, så den stopper de ondsindede mails, imens kun omkring 6 procent havde en decideret 'reject'-opsætning.

Effektivt værktøj

DMARC står for Domain-based Message Authentication, Reporting & Conformance, og det er et værktøj, der sætter en politik for to andre protokoller, SPF og DKIM (se faktaboks).

DMARC giver administratoren for en mail-server redskaber til at sætte et filter, der kan hjælpe med at afsløre, hvis der tikker en mail ind, som ser ud til at komme fra en troværdig afsenderadresse, men som i virkeligheden er et phishing-angreb.

Siden 2012 har det været muligt at implementere DMARC, der er frit tilgængelig for alle, og løsningen er effektiv.

Hos Nets oplevede man et heftigt fald i phishing-forsøg, efter at DMARC blev implementeret i virksomheden, og Danske Bank har tidligere oplyst til Version2, at virksomheden kører DMARC på flere tusind domæner, og at det har stoppet tæt på fire millioner forsøg på mail-misbrug af bankens domæner siden april 2017.

Stadig mange uden DMARC

Alligevel har det i flere år haltet med at benytte sig af løsningen i den offentlige og den private sektor. Både på globalt plan og herhjemme har løsningen manglet på kritiske domæner.

Version2 og søstermediet Ingeniøren beskrev op til folketingsvalget, hvordan flere af folketingets partier var åbne for angreb med fup-mails mod folkestyret.

Sponseret indhold

Genskab din infrastruktur med automation og immutable backup

It-sikkerhed

En optælling fra foråret viste, at fem ud af ni partier i Folketinget slet ikke benytte teknologien, mens tre partier havde implementeret, men ikke aktiveret DMARC, så den stopper de ondsindede mails.

Og også hos Forsvarets Efterretningstjeneste (FE) og hos efterretningstjenestens underafdeling ved navn Center for Cybersikkerhed (CFCS) har der været mangler på denne front.

Version2 har tidligere beskrevet, hvordan der manglede implementering af DMARC til phishing-beskyttelse på flere domæner hos både FE og CFCS. Det på trods af, at Center for Cybersikkerhed, selv havde anbefalet DMARC siden 2017.

Langsom, men stigende tilslutning

Rapporten fra 250ok er blot en ud af mange undersøgelser i løbet af de seneste år, der viser en manglende tilslutning til DMARC-løsningen.

Alligevel er der små, men positive skridt i den rigtige retning. Rapporten peger nemlig på, at man flere steder er i gang med at tage teknologien til sig. Verden over er der stigninger i antallet af implementeringer, men denne modningsproces går stadig meget langsomt, påpeger rapporten.

Og det kan da også være en fordel for både virksomheder og organisationer at implementere DMARC. Ifølge mediet ZDNet har en undersøgelse fra FBI i USA konkluderet, at amerikanske virksomheder oplevede tab i omegnen af 8-9 milliarder dollars på grund af mail-svindel.