TDC er på vej med phishing-beskyttelse - men ikke lige nu

Anti-phishing-teknologien DMARC har fået grønt lys hos TDC, både til e-mail-tjenesten og til de e-mails, koncernen selv sender ud. Men det tager noget tid, forklarer sikkerhedschef.

Phishing er en reel risiko, men der findes heldigvis en fiks teknologi, der relativt nemt kan stoppe en stor del af problemet. Desværre har mange ikke gjort sig den umage at tage den i brug.

Sådan lød et opråb om teknologien DMARC fra Henrik Kramshøj, der opfordrede blandt andet TDC til at få sat skub i udrulningen af DMARC, der vil sikre, at kun ægte TDC-mails kommer igennem mail-systemerne hos blandt andet Google.

Læs også: Opråb: Hvorfor bruger danske banker ikke nem og effektiv phishing-beskyttelse?

Men det er på vej, lover TDC’s tekniske sikkerhedschef Lars Højberg nu.

»TDC bakker op om DMARC. Vi understøtter det ikke i dag, men det ligger i vores planer, at vi skal understøtte det. Det har vi besluttet i løbet af efteråret,« siger han til Version2.

Princippet i DMARC-beskyttelsen er, at potentielle phishing-ofre har en offentlig liste over præcist hvilke servere, der bliver brugt til at sende mails ud. Dermed kan e-mail-udbydere så tjekke, om der er phishing-mails i omløb, der udgiver sig for at være fra et domæne, uden at være det, og så sortere dem fra.

Hvor de fleste firmaer og institutioner som for eksempel Skat kun sender egne e-mails ud, er TDC også en stor e-mail-udbyder i Danmark. Før det skal have nogen effekt, skal DMARC bruges både af dem, som sender en mail, og af mail-udbyderen. Og det er også meningen hos TDC, som dog ikke kan give ret klare meldinger om tidshorisonten. Det forventes at blive i løbet af 2014, lyder svaret.

Ved at rulle DMARC ud på TDC’s servere til udgående post, kan der blive skruet ned for de mange forsøg på phishing-angreb, TDC’s kunder i dag bliver udsat for.

»TDC-brandet bliver udsat for phishing-angreb stort set ugentligt, og sådan har det været i to et halvt år. Vi vil gerne besværliggøre muligheden for at misbruge vores brand,« siger Lars Højberg.

Men fordi TDC er en stor koncern, er der noget arbejde i at få DMARC rullet ud, forklarer han.

»Der er mange steder i TDC, der bliver sendt mails ud. Vi skal afdække hvorfra og hvilke servere, der bliver brugt, før vi kan implementere DMARC. Vi skal være sikre på, at det kommer hele vejen rundt. Ellers risikerer vi at helt legitime mails bliver afvist,« siger sikkerhedschefen.

Som en af danskernes store e-mail-udbydere, med 1,1 millioner konti, vil TDC også rulle DMARC ud på den anden side, altså der hvor selve arbejdet sker med at sortere falske e-mails fra.

»Vi ønsker, at vores kunder kan føle sig trygge, så selvom vi har et spamfilter, har vi også fokus på yderligere initiativer mod phishing-mails. Så vi forventer også at understøtte DMARC for indgående mails for vores kunder i løbet af 2014,« siger Lars Højberg.

Først skal opgavens prioriteres i forhold til andre opgaver, og så skal der komme en softwareopdatering til TDC’s e-mail-system, før DMARC kan blive taget i brug, forklarer han.

Hvorfor har I ikke taget DMARC i brug før?

»Der har været mange initiativer i branchen, også før DMARC. Vi har afventet, at teknologien og implementeringen skulle blive moden, inden vi ville beslutte os for at rulle ud. Og så skal der også være en bred accept i branchen af, at det er måden, man gør det på. Både sendere og modtagere af e-mails skal være med på det, før det har en effekt,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Schack

Hvilken danske virksomheder udover TDC og Yousee kigger på at i brugtage DMARC specifikationen?

DK-Hostmaster er igang, de kører pt. med en monitor policy, men alt ser ud til at være klart til næste trin.

mobilepay.dk kører med en reject policy.

danskebank.dk kører med en monitor policy, men kommer nok ikke videre lige med det samme, de signer stadig med Domainkeys istedet for DKIM.

SKAT, NETS og alle de øvrige banker osv de går tilsyneladende ikke så meget op i sikkerhed :-)

  • 1
  • 0
Log ind eller Opret konto for at kommentere