Spammer har misbrugt politi.dk som afsender af falske e-mails

Domænet politi.dk anvender ingen af de tekniske foranstaltninger, som kan forhindre spammere i at misbruge domænet til phishing.

En e-mail fra en adresse, der kommer fra internetdomænet politi.dk, kan i princippet være sendt af hvem som helst, der udgiver sig for at være fra det danske politi. Politiet benytter nemlig ingen af de tekniske foranstaltninger, der kan forhindre forfalskning af e-mailadresser.

Det er blevet udnyttet i en konkret phishing-kampagne, hvor en eksisterende e-mailadresse fra dansk politi er blevet sat på som afsender. Det har sikkerhedsfirmaet CSIS dokumenteret.

»E-mailen er spoofet, så den ser ud til at være sendt med politi.dk som afsender og som svaradresse,« siger sikkerhedskonsulent Peter Kruse fra CSIS til Version2.

Modtageren kan ikke umiddelbart se forskel på, om mailen rent faktisk er sendt fra politiet, eller om det er en spammer, der gemmer sig bag mailen.

Det har været et velkendt problem i mange år for e-mails, at det er muligt at forfalske afsenderadressen. Derfor er der også inden for det sidste årti dukket flere teknologier op, som gør det sværere at udgive sig for at være en anden via e-mail.

De to mest udbredte teknologier er SPF og DKIM, men for begge gælder det, at afsenderen skal implementere dem, før modtageren kan drage fordel af dem.

Dansk politi har foreløbig ikke implementeret nogen af disse, men det ligger i planerne, oplyser Rigspolitiet til Version2.

»Vi holder løbende øje med trusselsbilledet og vurderer teknologier og løsninger til iværksættelse. Dette bruger vi til at prioritere indsatsen i infrastrukturen, hvor modtræk til afsenderforfalskning af mails allerede er på vores liste over tiltag. Vi har dog hidtil kun haft et fåtal af afsenderforfalskninger fra vores maildomæne og ingen rapporteringer om kompromitterede data,« skriver Rigspolitiet i et e-mailsvar til Version2.

(Redaktionen er bevidst om det ironiske i et e-mailsvar i en sag om e-mail-spoofing)

Forfalskede emails sendes til ledere

Problemet med spoofing af en e-mailafsender er, at det er muligt at få en mail til at se ud som om den kommer fra en afsender, modtageren har tillid til.

I det konkrete tilfælde er den spoofede mail fra politi.dk en forholdsvis generisk spamkampagne, men den samme teknik kan bruges til målrettet phishing, der eksempelvis kendes som CEO-fraud.

Her bruges forfalskede mails til ledende personer i virksomheder, hvor det kan gælde om at betale en faktura eller overføre penge på ordre fra direktøren.

I disse tilfælde lukrerer svindlerne på den troværdighed og autoritet, der ligger i afsenderen, og noget tilsvarende kunne ske med forfalskede mails fra politi.dk.

Derfor undrer Peter Kruse fra CSIS sig over, at politiet ikke har implementeret de gængse metoder til at vanskeliggøre spoofing.

»Det er efterhånden noget, de fleste mellemstore og større virksomheder bruger i dag, og i betragtning af, hvor meget der står på spil, så er det lidt mærkeligt,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (45)
Jacques C. Hansen

I perioden 23-30 juni 2016, kan man ser at Politiet sendte millioner af spammails ud via 212.130.110.62.

Det er nok et større problem, at mails rent faktisk kom via Politiets mailserver og ikke var spoofet, end at de ikke bruger SPF og DKIM.

Rigspolitiet kan slå det op i Palantir, hvis CSC-hunden har spist log-filerne - eller nogen af angst for at miste jobbet har slettet dem. I andre kan gratis slå det op på f.eks. IBMs X-force og få det verificeret.

You can fool some of the people all of the time, and all of the people some of the time, but you can not fool all of the people all of the time.

Silas Hansen

Sidst jeg tjekkede, tog det ikke mange minutter at sætte SPF records op. Det kræver alene at man har kendskab til hvilke IP'er som skal have lov til at sende på vegne af domænet. Derudover kræver det ingen koordinering eller systemændringer hos øvrige parter, hvilket ofte er hvor sådanne processer kan gå i stå.

At de ikke har gjort det, lyder mest af alt som inkompetence eller dårlig ledelse.

Casper Olsen

Vi holder løbende øje med trusselsbilledet og vurderer teknologier og løsninger til iværksættelse. Dette bruger vi til at prioritere indsatsen i infrastrukturen, hvor modtræk til afsenderforfalskning af mails allerede er på vores liste over tiltag

Teknologierne er der, og det tager ca 5 min at opsætte en SPF record. Men trusselbilledet er åbenbart ikke stort nok til, at en tekniker lige får det gjort?

Men hvornår er trusselbilledet så højt nok til at man får det gjort? Kræver det at spammers/frauds kommer med gode velligne mails, som tilbyder folk at betale en bøde her og nu, eller blive smidt i fængsel i x måneder, for en eller anden forseelse?

Povl H. Pedersen

At moderne IT drift er, at man er klar til at pisse på serverne hvis der går ild i dem.

Gammeldags drift, med folk der vidste noget, og havde ansvar for områder m.m. er noget der er sparet væk eller outsourcet uden reelt ansvar.

Jeg er helt sikker på, at politiet ikke kan finde en person der har ansvaret for at sikre at noget sådant er sat op. Det har man ikke i moderne minimalistisk drift.

Udover SPF, så er der også DKIM som nævnt, og selvfølgelig er der nu også kommet DMARC til. DMARC giver sikkerhed mod af den synlige afsender i mailen ikke er falsk.

SPF validerer kun SMTP MAIL FROM: og ikke RFC822.From feltet.

Det er trivielt at sætte det hele op, specielt hvis man bruger cloud mail som eksempelvis O365 eller GMail.

En yderligere fordel ved DMARC er, at der er en række store udbydere der tilbyder rapportering, såman kan se i hvilket omfang der sendes falske mails, og hvorfra.

På mit private domæne har jeg det hele sat til (via gmail), og den seneste uge er der blevet rejectet 420 mails med mit domæne som falsk afsender. Primært med oprindelse i Indien, men Asien/Sydamerike lidt mere bredt. Men det kræver at man enten selv analyserer logs, eller bruger en service som dmarcian-eu.com (gratis for low volume domæner som mit private)

Udover "bare" at sætte DNS records op, så skal man have styr på hvem der sender på vegne af virksomheden. Det kan være HR bruger et system ude i byen til at sende mails, eller supporten. I så tilfælde skal man enten have underleverandøren til at køre DKIM, eller man skal få dem til at bruge et subdomæne. De kan ikke sende fra (men godt have reply-to) det primære domæne, da en SPF recod højst må have 10 DNS opslag hele vejen ned igenem inkluderede records.

Alternativet til de 10 opslag er at man sætte noget script op der periodisk selv parser dem og indsætter IP adresser i stedet, iog laver fully resolved SPF records. Men så er vi langt langt ude over de driftskompetencer der normalt findes.

Det skal så lige nævnes, at nogle leverandører (eksempelvis Fortinet) ikke har været så gode til at læse standarder. Jf mailinglisten er det ca en uge siden de fik fixet deres DMARC implementering så p=none ikke blev fortolket som p=quarantine - Ved ikke om man overhovedet kan download bugfixen endnu.

For de fleste, specielt folk i marketing, HR m.m. så er alt dette sort snak. Så det kan være svært at få implementeret hurtigt, og specielt identificeret det der går ved siden af.

Men her kan netop DMARC reporting hjælpe med at identificere 3rd party providers.

Nej, jeg er ikke driftsmand, men sidder med IT Sikkerhed, og lidt mail viden, og har kørt med SPF i årevis, og nu også DKIM og DMARC p=quarantine.

Men hvis hackeren bruger typosquatting, sender en falsk mail fra pl123@polliti.dk i stedet for pl123@politi.dk, så virker filtreringen selvfølgelig ikke. Modtageren ser hvad de vil se, ikke hvad der står.

Lasse Mølgaard

Angående spammails fra politiet egne server:

Det er faktisk skræmmende, hvis deres server fungere som et åbent relay.

Må jeg anbefale deres mail administrator, som MINIMUM sætte sig ind i hvordan man SASL autentifikation over TLS fungere?

Ud over man kan kræve gyldigt brugernavn og password på afsender, kan man også kræve gyldigt klient certifikat.

Torben Mogensen Blogger

Sendmail programmet har decideret en option, hvor man kan angive den adresse, der står som afsender, så det er ekstremt nemt at udgive sig for en anden, hvis man bruger kommandolinjen i stedet for en mailklient. Og selv mailklienter kan sættes til at angive en anden afsenderadresse.

Hvis man undersøger headeren i den modtagne post, kan man i reglen se, hvilken server brevet er sendt fra. Men det gør de færreste brugere -- de fleste kender ikke engang muligheden.

Jens Jönsson

Teknologierne er der, og det tager ca 5 min at opsætte en SPF record. Men trusselbilledet er åbenbart ikke stort nok til, at en tekniker lige får det gjort?

Men hvornår er trusselbilledet så højt nok til at man får det gjort? Kræver det at spammers/frauds kommer med gode velligne mails, som tilbyder folk at betale en bøde her og nu, eller blive smidt i fængsel i x måneder, for en eller anden forseelse?

Det komiske er faktisk at jeg har haft skrevet det til dem for en del tid siden (Det var efter jeg havde været til foredrag hos DK-Hostmaster om DMARC, som Tim Draegen afholdte).

Desværre kan jeg ikke finde de e-mails jeg sendte til dem....

På foredraget testede vi en del domæner for SPF, DKIM og DMARC.
Der var rigtigt mange kritiske domæner der ikke havde det implementeret, f.eks. nemid.nu, danid.dk osv. (Det har de så nu...)

Henrik Schack
Frithiof Jensen

Rigspolitiet kan slå det op i Palantir,


Det kräver nok lige en ekstra licens ... Samt et treårigt projektforlöb for at identificere behov og omkostninger på det niveau som kräves for at Finansministeriet kan godkende bevillingen, samt en roll-out på minimum 6 måneder med brugerträning og certificering.

Hvad skal vi sige ... 100 Millioner og Fem år? Så skal vi nok få knaldet nogle spammere!

Lasse Mølgaard

Det kräver nok lige en ekstra licens ... Samt et treårigt projektforlöb for at identificere behov og omkostninger på det niveau som kräves for at Finansministeriet kan godkende bevillingen, samt en roll-out på minimum 6 måneder med brugerträning og certificering.

Savner en god analogi til overflødig cost-benifit analyse. Måske indkøb af sprinklervæske til deres vognpark vs ingen sprinklervæsker?

Bilerne brænder nok ikke sammen hvis sprinklerne er defekte, men der skal sættes mere tid af til at rengøre ruderne.

Tom Paamand

Det er fortsat muligt at sende et brev med forkerte afsender. Det er fortsat muligt at sige forkert navn i en telefon. Det er fortsat muligt at præsentere sig under falsk navn, og med falske visitkort. Og ja, det er fortsat muligt at sende en email med forkert afsender.

Sidstnævnte adskiller sig primært ved pris og udbredelsesmulighed, men der ud over kan jeg ikke på nogen måde se email som et akut problem på dette område, før de førstnævnte muligheder omhyggeligt med tung lovgivning og teknologi er gjort umulige. Bortset fra, at folk korrekt nok vil indvende, at sådanne metoder indebærer voldsom overvågning og kontrol.

Mine egne emails sendes altid med "falske" afsendere, da jeg frit skifter mellem en passende række vanity adresser, der ikke er parkeret på mail-domænet. Ligesom jeg skifter mellem at være en forretningsadresse og privatafsender på mine breve.

IT-sovs løsningen lader til at være, at vore email-klienter skal tvinges til at afvise vanity adresser, som ikke har en dokumenteret lovlig forbindelse til det angivne afsendernavn. Men hvis problemet blot er mail fra myndigheder som politiet, hedder løsningen som altid lidt kritisk sans - samt Digital Post, der allerede er indført.

At der kan udvikles en besværlig IT-løsning på et nærmest opdigtet problem betyder sjældent at det er en god ide at tvinge den igennem.

Lasse Mølgaard

Jeg vil sige: "Ja der ER et problem!"

For politiets vedkommende vil jeg have garanti for at, HVIS jeg får en mail, hvor afsenderadressen er fra *@politi.dk, så ER mailen fra politiet.

I det virkelige liv er det strafbart at udgive sig for at være politimand - hvorfor skal det så være ok i den virtuelle verden?

SPF fortæller hvilken server har lov til at sende mails fra et domæne.

DKIM fortæller at mailen rent faktisk kommer fra et givent domæne. Det gør via kryptografisk signatur.

DMARC fortælle os vores mailserver skal gøre, hvis blot en af de ovennævnte regler er ikke overholdt.

DMARC kan blandt andet fortælle om mailen skal slettes og/eller rapporteres til en bestemt email adresse.

Det fylder 3 records i DNS serveren. Så hvad er problemet? DNS i sig selv kan også beskyttes via DNSSEC.

Henrik Schack

Vi skal have noget der ligner færdselsloven til Internettet, så ville Politiets sløseri med sikkerheden ganske enkelt være ulovlig.

Fra §28 stk 4.
.... Føreren skal endvidere træffe foranstaltninger for at sikre, at køretøjet ikke uberettiget kan benyttes af andre. Påbudt anordning til tyverisikring skal være sat i funktion.....

Tom Paamand

I det virkelige liv er det strafbart at udgive sig for at være politimand - hvorfor skal det så være ok i den virtuelle verden?

Den slags dokumentfalsk ER allerede strafbart i begge verdener. Min undren går på lysten til at tilføje en teknisk løsning, blot fordi dette er muligt. Netop fordi ingen ville turde kræve et tilsvarende sandhedsfilter uden for det virtuelle rum.

Hvad er argumentet for at øget kontrol og overvågning er helt OK i "den virtuelle verden", men ikke i "det virkelige liv". Bør frimærker fremover kun kunne købes efter ansøgning, og alle postkort verificeres med NemID, før afsendelse og modtagelse er tilladt?

Henrik Schack

Den slags dokumentfalsk ER allerede strafbart i begge verdener. Min undren går på lysten til at tilføje en teknisk løsning, blot fordi dette er muligt. Netop fordi ingen ville turde kræve et tilsvarende sandhedsfilter uden for det virtuelle rum.


Et tilsvarende sandhedsfilter findes skam i den virkelige verden, det hedder identitetskontrol, det oplever du f.eks hvis du tager flyveren til et andet land. Modtagelandet vil gerne have sikkerhed for at du er den du siger du er, hvorfor du bliver bedt om at vise dit pas.

Henrik Schack

Flot sammenligning! Du mener altså at en tilsvarende grænsekontrol ved hjemmecomputer og postkasser er en rimelig pris for at hindre en smule spam?


Pak nu sølvpapirshatten væk for i aften du :-) Du vil jo misforstå alt.

Der sendes over 200 mia emails/dag, langt over halvdelen af dette er spam.
Så ja, jeg finder det helt rimeligt at give mailudbyderne nogle værktøjer der kan gøre deres opgave nemmere.

Tom Paamand

give mailudbyderne nogle værktøjer

Mailudbydere skal altså ikke afgøre, hvilke mails jeg må modtage - bitcher jeg gnavent videre. Det ordner jeg selv fint i dag. På trods af at min ældste mailadresse har været åbent på nettet siden 1996, er der maksimalt en håndfuld spam der slipper helt igennem.

Det værktøj du beder om, sikrer også PET og omegn langt bedre vilkår, med sølvpapirshat eller ej. Og uanset antal, mangler jeg fortsat en fornuftig forklaring på, at al den kontrol skal indføres, blot fordi det er teknisk muligt - men ikke på brevpost osv. osv.

I kunne så nøjes med at hjælpe vores små mailprogrammer til selv at markere post i faregrupper, hvor ID-kontrol blot er endnu en til remsen. Men det bruger mit spamfilter allerede som en faktor, så jeg ser ingen grund til at centralisere det. Overordet kontrol af vores kommunikation er der allerede rigeligt af.

Henrik Schack

Det er ikke mailudbyderne der afgør hvilke emails du modtager når man tager DMARC i brug, det er derimod domæneejerne som beder mailudbyderne afvise email de ikke vil lægge navn/domæne til.
Insisterer man som dig på at modtage falske emails, så er Internettet jo heldigvis sådan indrettet at ingen forhindrer dig i at sætte din egen emailserver op som ikke understøtter DMARC validering.

DMARC giver ikke som du tror PET, CFCS og hvad de ellers hedder bedre arbejdsvilkår, tværtimod. En af CFCS's måder at få adgang til mistænkelige personers computere på er ved hjælp af phishing, det overværede jeg blive demonstreret på Kulturnatten sidste år hos CFCS. På grund af generel dårlig email sikkerhed i Danmark har CFCS nærmest frit valg på alle hylder, de kan udgive sig for at være din bank, dit telefonselskab, SKAT, NETS, E-Boks osv.

Email vs. gammeldags brevpost: Det koster praktisk talt intet at sende 1 million falske emails. Du kunne teoretisk set godt udføre phishing vha almindelig brevpost, men det ville koste 8 millioner kroner alene i porto at udsende en million falske papirbreve. Det er tilsyneladende hindring nok til at de kriminelle ikke gør det :-)

Lasse Mølgaard

Der sendes over 200 mia emails/dag, langt over halvdelen af dette er spam.
Så ja, jeg finder det helt rimeligt at give mailudbyderne nogle værktøjer der kan gøre deres opgave nemmere.

Selvom min mailserver håndtere kun en håndfuld domæner, så kan jeg se i loggen at den bliver bombarderet med spam cirka hvert andet sekund igennem hele døgnet.

Så mit filter kører en ret hård politik: Smid mailen ud, hvis den er 100% sikker på at indholdet er spam!

Der er flere måder den identificere en mail som spam:

  • IP adressen på afsender er havnet på en officiel blacklist.
  • SpamAssassin har givet mailen en meget høj spam score.
  • Mailen er ikke signeret og DMARC siger at alle mails skal være signeret, ellers skal de smides ud.
  • Mine brugere har blacklistet afsender (evt alt fra samme domæne).
Jon Linde

Men det bruger mit spamfilter allerede som en faktor, så jeg ser ingen grund til at centralisere det

Jeg er meget ked af det Tom, men jeg tror at du komplet har misset hvordan SPF, DKIM og DMARC fungerer.

Du skriver at dit spamfilter allerede i dag kan fange nok til at du ikke er generet af spam.
Det er jo godt for dig - men jeg har svært ved at tro at dit spamfilter ville være så effektivt uden netop en eller flere af disse 3 teknikker, samt nogle af de centralicerede mekanismer som DNS-BL.

Der ud over er hverken SPF, DKIM eller DMARC centrale - de er tvært imod værktøjer som den enkelte domæne ejer kan anvende til at (hjælpe) beskytte sit eget domæne mod misbrug.
Når først en domæne ejer har konfigureret mekanismerne, er det op til den enkelte modtager-administrator også at gøre brug af dem (anti-spam filtre).
Det bliver ikke meget mere decentralt end det.

Kritikken i dette tilfælde går ikke på om modtagerne anvender disse mekanismer til at undgå at modtage falske e-mails fra politi, banken eller PostNord.
Kritikken går på, at de store organisationer - ved ikke at have gjort noget som helst - aktivt har frataget alle på internettet muligheden for at vælge om de vil filtrere mail fra en falsk afsender eller ej.

Hvis du for alvor vil beskytte dit brand/navn er SPF/DKIM/DMARC naturligvis ikke nok.
Det er også nødvendigt at kigge på f.eks. DNS-SEC og være mere aktiv ved bla. at blokere for typosquatting ved at registrere domæner som nemt kan misbruges - f.eks. ville det være oplagt for Politiet at registrere domænerne:
p0liti.dk (kan skrives P0LITI.dk),
polltl.dk (kan skrives POLlTI.dk) m.f.
Det er stadig ingen garanteret sikkerhed, men det er en kraftig forøgelse af sikkerheden hos langt de fleste borgere/kunder.

Hvis politiet, banker eller posten skal have hjælp eller rådgivning til implementering af den basale SPF/DKIM/DMARC m.v. så er jeg sikker på at man hurtigt kan finde nogle kompetente i dette forum, som kan påtage sig en sådan konsulentopgave for et relativt beskedent beløb.

...i værste fald kan de ringe til mig...
Sjovt nok kan de ikke sende mig en mail privat, hvis de ikke engang har en SPF-record...

Leif Neland

Der er flere måder den identificere en mail som spam:

IP adressen på afsender er havnet på en officiel blacklist.
SpamAssassin har givet mailen en meget høj spam score.
Mailen er ikke signeret og DMARC siger at alle mails skal være signeret, ellers skal de smides ud.
Mine brugere har blacklistet afsender (evt alt fra samme domæne).

Greylisting er også yderst effektivt.

Mails fra en ny afsender/modtager/ip- kombination får beskeden "har travlt, kom igen om to minutter"
95% af spam kommer fra zombier, der ikke kan/vil prøve igen.
Efter to minutter har den kombination adgang; der er åbent i 60 dage efter seneste forsøg.

Leif Neland

Dmarc m.m. svarer til at alle i politiet har et politiskilt.

Du vælger selv om du vil kontrollere om den, der vil ransage din lejlighed har et politiskilt.

Vi kræver at politiet udstyrer deres breve med politiskilt.

Du vælger selv om du vil vise ID, jeg vælger så selv om jeg vil købe dine 50kg kobber.

Alle officielle breve bør have ID.

Gert Madsen

Alle officielle breve bør have ID.


Enig. Og et afsendernavn bør der også være.

Uanset, hvor banal en henvendelse en afsender måtte mene at det er, så er det en uskik, ikke at skrive afsender på.
Jeg har selv været i den situation at modtage et åbenlyst fejlsendt brev fra kommunen. Underskriften var xx kommune.
Man vil da gerne hjælpe, men skal man sende besked til samtlige ansatte i kommunen, eller hvad havde de tænkt sig ?
I det pågældende tilfælde opgav jeg at rette fejlen, og "justerede" bare opfattelsen af kommunens ansatte.

Jon Linde

Det triste ved hele den her historie er at politiet tilsyneladende ikke har tænkt sig at gøre noget ved sagen.

politi.dk domænet står stadig til fri afbenyttelse for hele verden.

Det er desværre nok korrekt.
Det er ikke utænkeligt at der en exchange administrator eller 2 med "nej-hatten" på og påstår at Exchange jo slet ikke understøtter DKIM signering - og "så kan det hele jo være lige meget".

Pssst: https://github.com/Pro/dkim-exchange

Dave Pencroof

Et af de største problemer i dette er at langt størstedelen af vores medmennesker IKKE tænker sig om IKKE ser sig for IKKE er snusfornuftige eller indeholder common sense !
Desværre er det så flertallet, som har hovedet under armen, som "skal" beskyttes mod dem selv og de mulige udgifter de måske kan påføre samfundet !
Halleluja for laveste fællesnævner, og at det ikke er strafbart at opføre sig som en tåbe !
Jeg kan ikke udstå al den overvågning vi har i dag, inkl al den ulovlige samme som politiet nægter at håndhæve, for de kunne jo få brug for den !

Dave Pencroof

Det virker som om at det offentlige ligefrem bevidst undlader at gøre noget, for så at have syndere/kriminelle at kunne pege på fremadrettet !

Det at politiet lade det være urørt, er vel også at sikre sig at man ikke bliver arbejdsløs, EVER !

Nu har de så en undskyldning mere i den gigantiske skuffe af undskyldninger for ikke at kunne gøre noget ved ret meget !
Europol besværligheder !
For politikkere i folketinget kunne ikke nøjes med en afstemning alene om Europol, men ville, koste hvad det ville, have alle rets forbeholdene fjernet med et enkelt kryds, hvilket fik den modsatte effekt heldigvis !

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017