Spammer har misbrugt politi.dk som afsender af falske e-mails

Jeg havde håbet på lidt mere, DS er blevet gjort opmærksom på eksistensen af DMARC mange gange de sidste 5 år, har endda haft et møde med dem om DMARC.

Digitaliseringsstyrelsens

Digitaliseringsstyrelsens kampagne site sikkerpaanettet.dk har også en konfiguration der tillader misbrug på samme måde som politi.dk stadig gør

Jeg har arbejdet med DMARC siden 2012, og har efterhånden implementeret det et par steder.

Jeg søger en eller anden ekspert/virksomhed som har styr på at sætte det her op. Er der nogen bud på hvem man kan henvende sig til?

Det virker som om at det offentlige ligefrem bevidst undlader at gøre noget, for så at have syndere/kriminelle at kunne pege på fremadrettet !

Det at politiet lade det være urørt, er vel også at sikre sig at man ikke bliver arbejdsløs, EVER !

Nu har de så en undskyldning mere i den gigantiske skuffe af undskyldninger for ikke at kunne gøre noget ved ret meget ! Europol besværligheder ! For politikkere i folketinget kunne ikke nøjes med en afstemning alene om Europol, men ville, koste hvad det ville, have alle rets forbeholdene fjernet med et enkelt kryds, hvilket fik den modsatte effekt heldigvis !

Et af de største problemer i dette er at langt størstedelen af vores medmennesker IKKE tænker sig om IKKE ser sig for IKKE er snusfornuftige eller indeholder common sense ! Desværre er det så flertallet, som har hovedet under armen, som "skal" beskyttes mod dem selv og de mulige udgifter de måske kan påføre samfundet ! Halleluja for laveste fællesnævner, og at det ikke er strafbart at opføre sig som en tåbe ! Jeg kan ikke udstå al den overvågning vi har i dag, inkl al den ulovlige samme som politiet nægter at håndhæve, for de kunne jo få brug for den !

Det triste ved hele den her historie er at politiet tilsyneladende ikke har tænkt sig at gøre noget ved sagen.</p>
<p>politi.dk domænet står stadig til fri afbenyttelse for hele verden.

Det er desværre nok korrekt. Det er ikke utænkeligt at der en exchange administrator eller 2 med "nej-hatten" på og påstår at Exchange jo slet ikke understøtter DKIM signering - og "så kan det hele jo være lige meget".

Pssst: https://github.com/Pro/dkim-exchange

Det triste ved hele den her historie er at politiet tilsyneladende ikke har tænkt sig at gøre noget ved sagen.

politi.dk domænet står stadig til fri afbenyttelse for hele verden.

Greylisting er også yderst effektivt.

Ja greylisting virker. Hos mig var det blot lidt FOR effektivt.

Der var visse mails der først landede i modtagerens bakke efter 10 timer!

Hvilket er ikke godt, når mailen kom fra a-kasse eller banker.

Alle officielle breve bør have ID.

Uanset, hvor banal en henvendelse en afsender måtte mene at det er, så er det en uskik, ikke at skrive afsender på. Jeg har selv været i den situation at modtage et åbenlyst fejlsendt brev fra kommunen. Underskriften var xx kommune. Man vil da gerne hjælpe, men skal man sende besked til samtlige ansatte i kommunen, eller hvad havde de tænkt sig ? I det pågældende tilfælde opgav jeg at rette fejlen, og "justerede" bare opfattelsen af kommunens ansatte.

Dmarc m.m. svarer til at alle i politiet har et politiskilt.

Du vælger selv om du vil kontrollere om den, der vil ransage din lejlighed har et politiskilt.

Vi kræver at politiet udstyrer deres breve med politiskilt.

Du vælger selv om du vil vise ID, jeg vælger så selv om jeg vil købe dine 50kg kobber.

Alle officielle breve bør have ID.

Der er flere måder den identificere en mail som spam:</p>
<p>IP adressen på afsender er havnet på en officiel blacklist.
SpamAssassin har givet mailen en meget høj spam score.
Mailen er ikke signeret og DMARC siger at alle mails skal være signeret, ellers skal de smides ud.
Mine brugere har blacklistet afsender (evt alt fra samme domæne).

Greylisting er også yderst effektivt.

Mails fra en ny afsender/modtager/ip- kombination får beskeden "har travlt, kom igen om to minutter" 95% af spam kommer fra zombier, der ikke kan/vil prøve igen. Efter to minutter har den kombination adgang; der er åbent i 60 dage efter seneste forsøg.

Men det bruger mit spamfilter allerede som en faktor, så jeg ser ingen grund til at centralisere det

Jeg er meget ked af det Tom, men jeg tror at du komplet har misset hvordan SPF, DKIM og DMARC fungerer.

Du skriver at dit spamfilter allerede i dag kan fange nok til at du ikke er generet af spam. Det er jo godt for dig - men jeg har svært ved at tro at dit spamfilter ville være så effektivt uden netop en eller flere af disse 3 teknikker, samt nogle af de centralicerede mekanismer som DNS-BL.

Der ud over er hverken SPF, DKIM eller DMARC centrale - de er tvært imod værktøjer som den enkelte domæne ejer kan anvende til at (hjælpe) beskytte sit eget domæne mod misbrug. Når først en domæne ejer har konfigureret mekanismerne, er det op til den enkelte modtager-administrator også at gøre brug af dem (anti-spam filtre). Det bliver ikke meget mere decentralt end det.

Kritikken i dette tilfælde går ikke på om modtagerne anvender disse mekanismer til at undgå at modtage falske e-mails fra politi, banken eller PostNord. Kritikken går på, at de store organisationer - ved ikke at have gjort noget som helst - aktivt har frataget alle på internettet muligheden for at vælge om de vil filtrere mail fra en falsk afsender eller ej.

Hvis du for alvor vil beskytte dit brand/navn er SPF/DKIM/DMARC naturligvis ikke nok. Det er også nødvendigt at kigge på f.eks. DNS-SEC og være mere aktiv ved bla. at blokere for typosquatting ved at registrere domæner som nemt kan misbruges - f.eks. ville det være oplagt for Politiet at registrere domænerne: p0liti.dk (kan skrives P0LITI.dk), polltl.dk (kan skrives POLlTI.dk) m.f. Det er stadig ingen garanteret sikkerhed, men det er en kraftig forøgelse af sikkerheden hos langt de fleste borgere/kunder.

Hvis politiet, banker eller posten skal have hjælp eller rådgivning til implementering af den basale SPF/DKIM/DMARC m.v. så er jeg sikker på at man hurtigt kan finde nogle kompetente i dette forum, som kan påtage sig en sådan konsulentopgave for et relativt beskedent beløb.

...i værste fald kan de ringe til mig... Sjovt nok kan de ikke sende mig en mail privat, hvis de ikke engang har en SPF-record...

Der sendes over 200 mia emails/dag, langt over halvdelen af dette er spam.
Så ja, jeg finder det helt rimeligt at give mailudbyderne nogle værktøjer der kan gøre deres opgave nemmere.

Selvom min mailserver håndtere kun en håndfuld domæner, så kan jeg se i loggen at den bliver bombarderet med spam cirka hvert andet sekund igennem hele døgnet.

Så mit filter kører en ret hård politik: Smid mailen ud, hvis den er 100% sikker på at indholdet er spam!

Der er flere måder den identificere en mail som spam:

• IP adressen på afsender er havnet på en officiel blacklist.
• SpamAssassin har givet mailen en meget høj spam score.
• Mailen er ikke signeret og DMARC siger at alle mails skal være signeret, ellers skal de smides ud.
• Mine brugere har blacklistet afsender (evt alt fra samme domæne).

Det er ikke mailudbyderne der afgør hvilke emails du modtager når man tager DMARC i brug, det er derimod domæneejerne som beder mailudbyderne afvise email de ikke vil lægge navn/domæne til. Insisterer man som dig på at modtage falske emails, så er Internettet jo heldigvis sådan indrettet at ingen forhindrer dig i at sætte din egen emailserver op som ikke understøtter DMARC validering.

DMARC giver ikke som du tror PET, CFCS og hvad de ellers hedder bedre arbejdsvilkår, tværtimod. En af CFCS's måder at få adgang til mistænkelige personers computere på er ved hjælp af phishing, det overværede jeg blive demonstreret på Kulturnatten sidste år hos CFCS. På grund af generel dårlig email sikkerhed i Danmark har CFCS nærmest frit valg på alle hylder, de kan udgive sig for at være din bank, dit telefonselskab, SKAT, NETS, E-Boks osv.

Email vs. gammeldags brevpost: Det koster praktisk talt intet at sende 1 million falske emails. Du kunne teoretisk set godt udføre phishing vha almindelig brevpost, men det ville koste 8 millioner kroner alene i porto at udsende en million falske papirbreve. Det er tilsyneladende hindring nok til at de kriminelle ikke gør det :-)

give mailudbyderne nogle værktøjer

Det værktøj du beder om, sikrer også PET og omegn langt bedre vilkår, med sølvpapirshat eller ej. Og uanset antal, mangler jeg fortsat en fornuftig forklaring på, at al den kontrol skal indføres, blot fordi det er teknisk muligt - men ikke på brevpost osv. osv.

I kunne så nøjes med at hjælpe vores små mailprogrammer til selv at markere post i faregrupper, hvor ID-kontrol blot er endnu en til remsen. Men det bruger mit spamfilter allerede som en faktor, så jeg ser ingen grund til at centralisere det. Overordet kontrol af vores kommunikation er der allerede rigeligt af.

Flot sammenligning! Du mener altså at en tilsvarende grænsekontrol ved hjemmecomputer og postkasser er en rimelig pris for at hindre en smule spam?

Der sendes over 200 mia emails/dag, langt over halvdelen af dette er spam. Så ja, jeg finder det helt rimeligt at give mailudbyderne nogle værktøjer der kan gøre deres opgave nemmere.

sikkerhed for at du er den du siger du er, hvorfor du bliver bedt om at vise dit pas

Den slags dokumentfalsk ER allerede strafbart i begge verdener. Min undren går på lysten til at tilføje en teknisk løsning, blot fordi dette er muligt. Netop fordi ingen ville turde kræve et tilsvarende sandhedsfilter uden for det virtuelle rum.

I det virkelige liv er det strafbart at udgive sig for at være politimand - hvorfor skal det så være ok i den virtuelle verden?

Hvad er argumentet for at øget kontrol og overvågning er helt OK i "den virtuelle verden", men ikke i "det virkelige liv". Bør frimærker fremover kun kunne købes efter ansøgning, og alle postkort verificeres med NemID, før afsendelse og modtagelse er tilladt?

Men der er i det hele taget ikke kun politiet jeg er efter mine kommentarer.

Det gælder alle myndigheder, institutioner, banker med flere, hvor det er vigtigt man kender afsender.

Så jo - en færdselslov er nok ikke helt ved siden af.

Vi skal have noget der ligner færdselsloven til Internettet, så ville Politiets sløseri med sikkerheden ganske enkelt være ulovlig.

Fra §28 stk 4. .... Føreren skal endvidere træffe foranstaltninger for at sikre, at køretøjet ikke uberettiget kan benyttes af andre. Påbudt anordning til tyverisikring skal være sat i funktion.....

Jeg vil sige: "Ja der ER et problem!"

For politiets vedkommende vil jeg have garanti for at, HVIS jeg får en mail, hvor afsenderadressen er fra *@politi.dk, så ER mailen fra politiet.

I det virkelige liv er det strafbart at udgive sig for at være politimand - hvorfor skal det så være ok i den virtuelle verden?

SPF fortæller hvilken server har lov til at sende mails fra et domæne.

DKIM fortæller at mailen rent faktisk kommer fra et givent domæne. Det gør via kryptografisk signatur.

DMARC fortælle os vores mailserver skal gøre, hvis blot en af de ovennævnte regler er ikke overholdt.

DMARC kan blandt andet fortælle om mailen skal slettes og/eller rapporteres til en bestemt email adresse.

Det fylder 3 records i DNS serveren. Så hvad er problemet? DNS i sig selv kan også beskyttes via DNSSEC.

Det er fortsat muligt at sende et brev med forkerte afsender. Det er fortsat muligt at sige forkert navn i en telefon. Det er fortsat muligt at præsentere sig under falsk navn, og med falske visitkort. Og ja, det er fortsat muligt at sende en email med forkert afsender.

Sidstnævnte adskiller sig primært ved pris og udbredelsesmulighed, men der ud over kan jeg ikke på nogen måde se email som et akut problem på dette område, før de førstnævnte muligheder omhyggeligt med tung lovgivning og teknologi er gjort umulige. Bortset fra, at folk korrekt nok vil indvende, at sådanne metoder indebærer voldsom overvågning og kontrol.

Mine egne emails sendes altid med "falske" afsendere, da jeg frit skifter mellem en passende række vanity adresser, der ikke er parkeret på mail-domænet. Ligesom jeg skifter mellem at være en forretningsadresse og privatafsender på mine breve.

IT-sovs løsningen lader til at være, at vore email-klienter skal tvinges til at afvise vanity adresser, som ikke har en dokumenteret lovlig forbindelse til det angivne afsendernavn. Men hvis problemet blot er mail fra myndigheder som politiet, hedder løsningen som altid lidt kritisk sans - samt Digital Post, der allerede er indført.

At der kan udvikles en besværlig IT-løsning på et nærmest opdigtet problem betyder sjældent at det er en god ide at tvinge den igennem.

Hvad skal vi sige ... 100 Millioner og Fem år? Så skal vi nok få knaldet nogle spammere!

Det kräver nok lige en ekstra licens ... Samt et treårigt projektforlöb for at identificere behov og omkostninger på det niveau som kräves for at Finansministeriet kan godkende bevillingen, samt en roll-out på minimum 6 måneder med brugerträning og certificering.

Savner en god analogi til overflødig cost-benifit analyse. Måske indkøb af sprinklervæske til deres vognpark vs ingen sprinklervæsker?

Bilerne brænder nok ikke sammen hvis sprinklerne er defekte, men der skal sættes mere tid af til at rengøre ruderne.

Rigspolitiet kan slå det op i Palantir,

Hvad skal vi sige ... 100 Millioner og Fem år? Så skal vi nok få knaldet nogle spammere!

Jeg gjorde Politiet opmærksom på deres manglende email sikkerhed tilbage i juni måned, det valgte de også ikke at gøre noget ved som man kan se :-(

Ja Henrik vi var jo på foredraget sammen :-) Og alle var synligt chokerede over den manglende sikkerhed vi fandt på de forskellige vigtige domæner.....

Det komiske er faktisk at jeg har haft skrevet det til dem for en del tid siden (Det var efter jeg havde været til foredrag hos DK-Hostmaster om DMARC, som Tim Draegen afholdte).</p>
<p>Desværre kan jeg ikke finde de e-mails jeg sendte til dem....</p>
<p>På foredraget testede vi en del domæner for SPF, DKIM og DMARC.
Der var rigtigt mange kritiske domæner der ikke havde det implementeret, f.eks. nemid.nu, danid.dk osv. (Det har de så nu...)

Teknologierne er der, og det tager ca 5 min at opsætte en SPF record. Men trusselbilledet er åbenbart ikke stort nok til, at en tekniker lige får det gjort?</p>
<p>Men hvornår er trusselbilledet så højt nok til at man får det gjort? Kræver det at spammers/frauds kommer med gode velligne mails, som tilbyder folk at betale en bøde her og nu, eller blive smidt i fængsel i x måneder, for en eller anden forseelse?

Det komiske er faktisk at jeg har haft skrevet det til dem for en del tid siden (Det var efter jeg havde været til foredrag hos DK-Hostmaster om DMARC, som Tim Draegen afholdte).

Desværre kan jeg ikke finde de e-mails jeg sendte til dem....

På foredraget testede vi en del domæner for SPF, DKIM og DMARC. Der var rigtigt mange kritiske domæner der ikke havde det implementeret, f.eks. nemid.nu, danid.dk osv. (Det har de så nu...)

Men de har i det mindste en SPF record.

Men de har i det mindste en SPF record.

Slog for en god skyld politi.dk op og det er rigtigt at den eneste oplysning man for at vide er hvilken server, der håndtere mails til politiet, men det er også alt.

Pinligt.

Center for Cybersikkerhed kunne være et bud, de har heller ikke styr på email sikkerhed

https://www.dmarcian.com/dmarc-inspector/cfcs.dk

Det er rigtig at man kan fake afsender i sendmail, men kombinationen af SPF, DKIM og ikke mindst DMARC kan fortælle ikke alene hvem har lov til at sende mails fra et givet domæne, men også hvad der skal ske, hvis mailen ikke kommer fra en gyldig mailserver.

Sendmail programmet har decideret en option, hvor man kan angive den adresse, der står som afsender, så det er ekstremt nemt at udgive sig for en anden, hvis man bruger kommandolinjen i stedet for en mailklient. Og selv mailklienter kan sættes til at angive en anden afsenderadresse.

Hvis man undersøger headeren i den modtagne post, kan man i reglen se, hvilken server brevet er sendt fra. Men det gør de færreste brugere -- de fleste kender ikke engang muligheden.

Angående spammails fra politiet egne server:

Det er faktisk skræmmende, hvis deres server fungere som et åbent relay.

Må jeg anbefale deres mail administrator, som MINIMUM sætte sig ind i hvordan man SASL autentifikation over TLS fungere?

Ud over man kan kræve gyldigt brugernavn og password på afsender, kan man også kræve gyldigt klient certifikat.

Jo, men dmarc fungerer ikke uden at mindst en af de 2 andre er på plads.

Men de har det selv kørende: _dmarc.csis.dk. 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:btpv5zey@ag.dmarcian.com,mailto:dmarcreports@csis.dk; ruf=mailto:btpv5zey@fr.dmarcian.com"

At moderne IT drift er, at man er klar til at pisse på serverne hvis der går ild i dem.

Gammeldags drift, med folk der vidste noget, og havde ansvar for områder m.m. er noget der er sparet væk eller outsourcet uden reelt ansvar.

Jeg er helt sikker på, at politiet ikke kan finde en person der har ansvaret for at sikre at noget sådant er sat op. Det har man ikke i moderne minimalistisk drift.

Udover SPF, så er der også DKIM som nævnt, og selvfølgelig er der nu også kommet DMARC til. DMARC giver sikkerhed mod af den synlige afsender i mailen ikke er falsk.

SPF validerer kun SMTP MAIL FROM: og ikke RFC822.From feltet.

Det er trivielt at sætte det hele op, specielt hvis man bruger cloud mail som eksempelvis O365 eller GMail.

En yderligere fordel ved DMARC er, at der er en række store udbydere der tilbyder rapportering, såman kan se i hvilket omfang der sendes falske mails, og hvorfra.

På mit private domæne har jeg det hele sat til (via gmail), og den seneste uge er der blevet rejectet 420 mails med mit domæne som falsk afsender. Primært med oprindelse i Indien, men Asien/Sydamerike lidt mere bredt. Men det kræver at man enten selv analyserer logs, eller bruger en service som dmarcian-eu.com (gratis for low volume domæner som mit private)

Udover "bare" at sætte DNS records op, så skal man have styr på hvem der sender på vegne af virksomheden. Det kan være HR bruger et system ude i byen til at sende mails, eller supporten. I så tilfælde skal man enten have underleverandøren til at køre DKIM, eller man skal få dem til at bruge et subdomæne. De kan ikke sende fra (men godt have reply-to) det primære domæne, da en SPF recod højst må have 10 DNS opslag hele vejen ned igenem inkluderede records.

Alternativet til de 10 opslag er at man sætte noget script op der periodisk selv parser dem og indsætter IP adresser i stedet, iog laver fully resolved SPF records. Men så er vi langt langt ude over de driftskompetencer der normalt findes.

Det skal så lige nævnes, at nogle leverandører (eksempelvis Fortinet) ikke har været så gode til at læse standarder. Jf mailinglisten er det ca en uge siden de fik fixet deres DMARC implementering så p=none ikke blev fortolket som p=quarantine - Ved ikke om man overhovedet kan download bugfixen endnu.

For de fleste, specielt folk i marketing, HR m.m. så er alt dette sort snak. Så det kan være svært at få implementeret hurtigt, og specielt identificeret det der går ved siden af.

Men her kan netop DMARC reporting hjælpe med at identificere 3rd party providers.

Nej, jeg er ikke driftsmand, men sidder med IT Sikkerhed, og lidt mail viden, og har kørt med SPF i årevis, og nu også DKIM og DMARC p=quarantine.

Men hvis hackeren bruger typosquatting, sender en falsk mail fra pl123@polliti.dk i stedet for pl123@politi.dk, så virker filtreringen selvfølgelig ikke. Modtageren ser hvad de vil se, ikke hvad der står.

Jo det gør han bestemt, SPF & DKIM alene kan ikke forhindre den slags emails der nævnes her.

Glemmer CSIS/Peter Kruse ikke det vigtigste, DMARC?

Vi holder løbende øje med trusselsbilledet og vurderer teknologier og løsninger til iværksættelse. Dette bruger vi til at prioritere indsatsen i infrastrukturen, hvor modtræk til afsenderforfalskning af mails allerede er på vores liste over tiltag

Teknologierne er der, og det tager ca 5 min at opsætte en SPF record. Men trusselbilledet er åbenbart ikke stort nok til, at en tekniker lige får det gjort?

Men hvornår er trusselbilledet så højt nok til at man får det gjort? Kræver det at spammers/frauds kommer med gode velligne mails, som tilbyder folk at betale en bøde her og nu, eller blive smidt i fængsel i x måneder, for en eller anden forseelse?

Sidst jeg tjekkede, tog det ikke mange minutter at sætte SPF records op. Det kræver alene at man har kendskab til hvilke IP'er som skal have lov til at sende på vegne af domænet. Derudover kræver det ingen koordinering eller systemændringer hos øvrige parter, hvilket ofte er hvor sådanne processer kan gå i stå.

At de ikke har gjort det, lyder mest af alt som inkompetence eller dårlig ledelse.

Link ?

I perioden 23-30 juni 2016, kan man ser at Politiet sendte millioner af spammails ud via 212.130.110.62.

Det er nok et større problem, at mails rent faktisk kom via Politiets mailserver og ikke var spoofet, end at de ikke bruger SPF og DKIM.

Rigspolitiet kan slå det op i Palantir, hvis CSC-hunden har spist log-filerne - eller nogen af angst for at miste jobbet har slettet dem. I andre kan gratis slå det op på f.eks. IBMs X-force og få det verificeret.

You can fool some of the people all of the time, and all of the people some of the time, but you can not fool all of the people all of the time.