Trods nyligt phishing-misbrug: Stadig ingen DMARC-beskyttelse på officielt Nets-domæne

Hvis det kan tage det meste af 2år at implementere DMARC på et så vigtigt domæne, så kan jeg kun konkludere at det ikke er vigtigt for nogen hos Nets. Altså at det tilsyneladende er kundernes eget problem hvis de bliver snydt af en phishing email og taber penge.

Åbenbart ikke vigtigt

Det tror jeg er en meget rigtig konklusion :-)

"Vi havde gerne set, at den allerede var tilføjet, men i tilfældet nets.eu har det vist sig mere vanskeligt end forventet, blandt andet på grund af nogle eksterne afhængigheder"

Og kunne man ikke forestille sig, at man INDEN man valgte navneserverleverandør - eller outsourcing i det hele taget - sikrede sig en seriøs SLA for change management?

Hvorfor navneserverne skal ligge hos Verisign/Network Solutions i USA, må guderne vide.

Nu er jeg altid træt af at blive bragt i en situation hvor det kan lyde som om jeg forsvarer Nets og Verisign, men jeg ved ikke rigtigt hvorfra antagelsen om at manglen på DMARC har noget med dns udbyderen at gøre.

Det virker langt mere sandsynligt at NETS har svært ved at få tilføjet DKIM signering på alle udgående mailsendere, sikkert fordi de anvender en eller flere eksterne services der ikke understøtter det.

Og lige præcist når det gælder DNS servere har jeg ikke den store forståelse vedr. din kritik om at placere dataen i USA, eftersom alt data som udgangspunkt er offentligt og sikkert anycastet til alle verdens hjørner. Jeg ville aldrig selv foreslå verisign som leverandør af noget som helst, men det er nok den svageste kritik man kan komme med af det her system, hvad angår dns.

Lad os hellere fokusere på den reelle kritik man kan komme med, nemlig at man ikke har prioriteret det her tilstrækkeligt til at få fjernet de begrænsninger der er, så man kan få sikret sine kunder.

"dog forudsat, at modtagerens mailsystem også understøtter DMARC." og så længe man er nød til af tage det her forbehold, må det stadig være mere sikkert af betragte Fra feltet på en email på samme måde som man betragler afsender adressen på på et brev.

Nemlig som et sted hvor folk kan skriver lige præsis hvad de har lyst til, det betyder ikke af krypteret forbindelse til email server DMERC og andre udvidelser ikke er en dejligt ting, bare af det er ting du ikke kan være sikker på alle har, så for en sikekrheds skyld, er det bedst af forvente af de ikke har det

betragte Fra feltet på en email på samme måde som man betragler afsender adressen på på et brev

Du har ret, som situationen er i dag. Men kunne man ikke relativt simpelt få det til at blive lidt bedre. 1) Emailklienter skal ikke skjule afsenderadressen i mails, med mindre du specifikt konfigurerer det. Undtagelse kunne være afsendere i adressebogen 2) Markering af at adressen ikke kan verificeres, fx med rød farve. Hvis afsender har DMARC konfigureret, kan det vises med grøn. Det svarer nogenlunde til markering af https i browsere.

Det burde både gøre brugere list mere opmærksomme på at de ikke kan stole på afsenderadressen, og efterhånden som flere og flere domæner bliver grønne, vil det øge presset på resten.

2) Markering af at adressen ikke kan verificeres, fx med rød farve. Hvis afsender har DMARC konfigureret, kan det vises med grøn. Det svarer nogenlunde til markering af https i browsere.

Måske skulle man kombinere det med en eller anden form for reputation database, kriminelle kan skam godt finde ud af at implementere DMARC. Et nyregistreret lookalike domæne med DMARC konfigureret korrekt skulle helst ikke have farven grøn.