NemID overholder ikke den centrale mail-RFC

Jeg så en interessant lille historie i går. En dansker (Jon Clausen) modtager en phishing-mail svarende til
denne.

Illustration: Privatfoto

Det skal man naturligvis ALDRIG gøre. Det er fup og svindel!

Da Jon fik mailen tænkte han sig lidt mere om. Han ville sende dem videre til NemID sammen med de tilhørende log entries fra sin mailserver.
Klog tanke, og enhver god system-administrator kender RFC 2142, som beskriver at denne type rapporter om misbrug sendes til abuse@DOMAIN - i dette tilfælde abuse@nemid.nu:

For well known names that are not related to specific protocols, only the organization's top level domain name are required to be valid. For example, if an Internet service provider's domain name is COMPANY.COM, then the ABUSE@COMPANY.COM address must be valid and supported...

Jon prøvede (og jeg har efterprøvet) at sende, men mail-serveren kender ikke abuse@

Meddelelsen kunne ikke leveres til følgende modtagere og distributionslister: abuse@nemid.nu Modtagerens e-mail-adresse blev ikke fundet i e-mail-systemet hos modtageren. Microsoft Exchange forsøger ikke at levere meddelelsen igen. Kontroller e-mail-adressen, og forsøg at sende meddelelsen igen, eller oplys systemadministratoren om følgende fejlbeskrivelse. Sendt af Microsoft Exchange Server 2007

Ikke imponerende! Jon prøvede endda backup-planen, at sende samme rapport til postmaster@nemid.nu (RFC-2142 og RFC-822).
Samme resultat, postmaster@nemid.nu er heller ikke sat op.

Skal vi være imponerede? Not so much...

/pto

Kommentarer (46)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Mogensen

Man risikere jo at modtage relevante mails som man skal forholde sig til.

Og i dette tilfælde er det vist en irrelevant mail.
abuse@nemid.nu er under alle omstændigheder det forkerte sted at sende den mail hen. Det har intet at gøre med "Inappropriate public behaviour" fra "the organization's Internet service" (dvs. Nets).

Der er derimod sikkert en ISP i Rusland et sted, der burde læse sin abuse mail.

  • 7
  • 1
Henrik Schack

Og i dette tilfælde er det vist en irrelevant mail.
abuse@nemid.nu er under alle omstændigheder det forkerte sted at sende den mail hen.

Hvad ville du så mene det korrekte ville være at gøre?

Hvis der stod From: <et eller andet>@nemid.nu i emailen ville det da ikke være helt skævnt at sende den til NemID folkene, så kunne de jo tage det som endnu en opfordring til at misbrugssikre deres domænenavn :-)

  • 3
  • 0
Peter Mogensen

Hvad ville du så mene det korrekte ville være at gøre?

Der er da ingen tvivl om at Nets sikkert gerne vil vide at der foregår en Phising kampagne - hvis de ikke ved det i forvejen. Hvis man læser lidt aviser, så ville man nok opdage det ved de godt.
Nu har NemID godtnok ikke nogen officiel kontakt for den her slags (ihvertfald ikke en, der er nem at finde), men hvis man virkelig gerne ville, så kunne man jo bare bruge formularen på deres hjemmeside til at kontakte support på.

I øvrigt så ser det meget ud til - at dømme efter antallet af mails og deres vidt forskellige afsendere (dvs. IP-numre jeg har modtaget fra) - at det her er individuelle maskiner rundt om i verden, der sender det. Du kan selvfølgelig skrive til abuse@ hos diverse ukrainske ISP'er, men det vil jo nok være en dråbe i havet.

For mig at se er abuse@ beregnet til at henvende sig om misbrug, der faktisk stammer fra det net man henvender sig til.

  • 1
  • 1
Finn Aarup Nielsen
  • 7
  • 1
Christian Nobel
  • 2
  • 0
Helge Svendsen

Problemet med RFC mail koni er, at spam næsten har fået dem slået ihjel. Hvis man orker kan man jo opsætte disse på eget domæne, og få syn for sagen. Jeg har opgivet i hvert fald.

  • 2
  • 0
Jacob Rasmussen

Fra den pågældende RFC: "Most
organizations do not need to support the full set of mailbox names
defined here, since not every organization will implement the all of
the associated services. However, if a given service is offerred,
then the associated mailbox name(es) must be supported, resulting in
delivery to a recipient appropriate for the referenced service or
role."

Vi må jo så konstatere, at Nets / Danid ikke har valgt at understøtte servicen 'abuse'. De er altså ikke interesseret i relevant information, om misbrug fra deres domæner / services.

  • 0
  • 2
Klaus Slott

Problemet med RFC mail koni er, at spam næsten har fået dem slået ihjel. Hvis man orker kan man jo opsætte disse på eget domæne, og få syn for sagen. Jeg har opgivet i hvert fald.


Det lyder lidt som en dårlig undskyldning. Er det ikke et problem dit spam filter burde klare? På mailservere jeg driver (> 1000 brugere) er alle de almindelige spam, abuse, postmaster osv. åben. Det kan tælles på en hånd hvor meget spam der kommer den vej.

Jeg kan måske give dig ret så langt, at man ikke bør spam filtrere abuse da det kan vanskeliggøre når folk vil ind-rapportere spam.

  • 1
  • 0
Klaus Slott

Så skal du vel kigge det meste igennem alligevel?


Jeg forstår ikke "det meste". Ja, en af os skal kikke de op til 8 - 10 breve vi modtager på postmaster, abuse m.m. igennem hver dag. Heraf kan nogen stykker være spam. Vi spam filtrere også abuse, og det er (som antydet i forrige indlæg) måske ikke helt efter RFC'ns. Vi ser ikke spam igennem, det nægter vi at modtage.

Af og til kommer der også reelle henvendelser til postmaster, man skylder sine brugere at passe disse.

  • 2
  • 0
Henrik Kramshøj Blogger

Man kunne jo
1) google "nemid rapporter phishing"
2) Klikke på øverste link
3) Sende en mail til den email-adresse der står dér.


Det koster tid - punktum.

Hvis man som NemID gerne vil have at vide når der er phishing skal man gøre det nemt at anmelde, og det er netop hvad abuse@ postmaster@ webmaster@domain www@domain osv er til.

Det koster mig meget få tasteklik at trykke ny-mail, tastetastetaste send
- i modsætning til at besøge søgemaskiner og hjemmesider med en masse flash/javascript knald for at finde en måde at indtaste samme oplysninger.

Så hvis JEG skal bruge EKSTRA tid for at rapportere, det kan du stikke langt op, men er det nemt - vupti feedback til dig for dine sites osv. Det er ikke NemID der gør os en tjeneste, det er faktisk os der sender til abuse@ der frivilligt gør noget ekstra for at være gode borgere på internet.

DERFOR er det en god ide at der er kommet nogle standardadresser, og de er altså ikke efter min opfattelse ødelagt af spam endnu - og vi har abuse@ for ret mange adresser efterhånden. Organisationer som ikke kan finde ud af at lave en abuse@ hører måske slet ikke hjemme på internet?

  • 13
  • 1
Casper Jensen

@Henrik Kramshøj og @Peter Toft

Det her synes jeg er at gå i liiidt for små sko. Jeg tror vi alle der arbejder med IT er enige om at Nemid er en lorte løsning.

Men nu er den her, og vi må leve med den.

Som IT folk i DK synes jeg faktisk, vi især har en særlig pligt til at værnne om vores lands IT mæssige infrastruktur. På den måde biddrager vi til at resten af DK får så god en serivce fra fx. nemid som muligt, til trods for hvad vi må synes om den.

Jeg siger ikke vi skal leve med tingene som de er, slet ikke. Jeg siger bare at vi må arbejde med de systmer vi har, mens vi på den anden side laver lobby, på hver vores måde, for at få det ændret. Noget jeg synes Henrik Kramshøj og Peter Toft begge har været gode til via version2 f.eks.

Jeg synes det er ærgeligt at høre en Sikkerheds mand fra en ISP udbyder lægge armene over kors og sige han ikke gider leger med fordi Nemid ikke tolker RFC på ligefod med ham.

off topic

Jeg skal lige indskyde her, Henrik, at jeg faktisk ikke har undersøgt hvad du laver. Jeg har læst en del af dine indlæg med stor interesse og har respect for hvad du ved om IT og sikkerhed, hvilket er det indtryk jeg har fået, at du arbejder med.

back on topic

Betyd det Henrik Kramshøj at næste gang, hvis den kommer, at du falder over noget ingen andre har set, der truer danske borgere i at bruge nemid, så vil du ikke rapportere det fordi nemid ikke har en abuse@ mail adresse? For hvis du sidder og arbejder med, hvad jeg tror du arbejder med, så er det sku ikke godt for alle os andre...

  • 1
  • 8
Klaus Slott

Det her synes jeg er at gå i liiidt for små sko. Jeg tror vi alle der arbejder med IT er enige om at Nemid er en lorte løsning.

Jeg synes det er ærgerligt at det er blevet til et spørgsmål om NemID bashing. Jeg har tidligere forsøgt at rapportere spam til mindst en anden større dansk bank (husker desværre ikke hvilke) og konstateret at de ikke modtog post på abuse.

Det drejer sig populært sagt om at internettet er bygget på RFC'r, men at "nettet" er rummeligt og eftergivende. Hvis nogen kun gider at overholde de dele der passer dem, så må de også finde sig i at vi andre ikke har tid til at tage dem alvorligt. De kan ikke forvente at at vi skal jagte rundt på deres hjemmesider, igennem tåbelige anvisninger på "at du må aldrig svare på en.." for at finde ud af hvor man rapporterer misbrug af deres Navn/Domæne.

Som situationen er nu, går bankerne (og NemID) glip af kvalificerede henvendelser, fordi abuse overvejende vil blive anvendt af professionelle, mens webformularer bliver brugt af Hr. og Fru. Kunde.

  • 1
  • 0
Casper Jensen

@Christian Nobel,

konstruktivt indspark? Hvordan skal jeg gøre det taget artiklens natur i betragtning?

mit konstruktive indspark er at jeg synes det er at gå i små sko. Det er fint blevet forklaret længere oppe hvad @abuse skal bruges til. Længere er den ikke..

At Henrik så blande sig med det synspunkt synes jeg er kritisabelt.

mit konstruktive indspark til det var, at opfordre ALLE der har med IT at gøre, at hjælpe til med hvor de kan, for at beskytte Nemid, DK og des borgere mod IT trussler. Henrik arbejder for en ISP. Om nogen har han nok blandt de første der stødder på nye trusler mod Nemid og DK generelt. Hvis sådan en person ikke vil indrapportere blot fordi de ikke gør det på hans måde, det synes jeg er skræmmende.

Så jeg synes egentlig det jeg kom med var meget konstruktivt.

I min optik bærer ISPerne et stor ansvar for DK's IT sikkerhed og derfor kan de med rette bliv offer for kritik. Ligesom vores politikere kan stå for skud for hvad de arbejder med. Ligesom jeg kan stå for skud for det jeg arbejder med. At kalde min kritik for et person angreb synes jeg er lige groft nok.

Har jo ikke talt ned til manden på nogen måde, blot løftet en bekymring.

Faktisk har jeg understreget at jeg respektere ham for det han laver hvilket kun gør hans indlæg mere ærgerligt for mig at læse.

Men hvad så med mig? Hvad har jeg gjort?

Mit bidrag for størrer IT sikkerhed i DK, har lige været at snakker med min lokale Biograf om, at det ikke er smart at have en SSID der er åbnet hvorpå deres servere også er.

Har jeg taget penge for det? til trods for jeg er konsulent? nej, det er mit bidrag og jeg gør det gerne igen og igen hvor jeg kommer. Og nej.. de har ikke nogen abuse@ heller, nu nå vi bruge den til alt åbenbart :P - ok det var lidt dril

Henrik Kramshøj, mit indlæg var på INGEN måde ment som et person angreb! Jeg skal beklage hvis du har taget det sådan.

  • 1
  • 1
Casper Jensen

@Klaus Slott

Nu har jeg arbejdet som it konsulent i 10 år og jeg viste ikke det her. Havde jeg skulle indrapoptere noget til nemid havde jeg gjort det med google metoden.

Måske vi skulle have en afstemning om hvor mange der faktisk viste det her om abuse@, men jeg frygter at mange ikke ville stemme ærligt nu når katten er ude af sækken.

  • 1
  • 0
Jørgen L. Sørensen

Måske vi skulle have en afstemning om hvor mange der faktisk viste det her om abuse@, men jeg frygter at mange ikke ville stemme ærligt nu når katten er ude af sækken.

Jeg ved at abuse og postmaster indgår i nogle RFC :-)

Om det så er nødvendigt med disse adresser vil jeg ikke blande mig i --- men synes det er beskæmmende så mange firmaer der ikke har en rigtig mail-adresse på deres forside (eller alle sider).

Jeg er af den type der godt vil gøre et firma opmærksom på en fejl (i informationen på siden, eller ikke-virkende side), men jeg vil ikke afsætte tid til at søge rundt på deres site for at finde en eller anden kontaktformular som skal udfyldes med navn, adresse, telefonnummer, mail-adresse, fødselsdag, skostørrrelse osv.osv.. Altså betyder en manglende mail-adresse også manglende feed-back. Hvis der er en mail-adresse tager det kun et øjeblik at meddele dem et problem...

  • 0
  • 0
Casper Jensen

Det er så heller ikke tilfældet her... hvis du kigger på Bjarke Mortensen indlæg...

Men jeg er enig i at det ikke burde være nødvendigt at skulle registrer sig for at kunne reportere noget.. men det er nu ikke det centrale i det jeg prøver at sige

  • 0
  • 0
Claus Tjørndal

Da I selv tydeligt kan se dette er spoofed emails, så undre det mig lidt at I ikke vælger at benytte SPF check på jeres SMTP server, det ville da gøre livet en hel del nemmere, især fordi nemid.nu har valgt at benytte SPF / TXT record for at beskytte sit domain så godt som overhovedet muligt imod spoofing.

;; ANSWER SECTION:
nemid.nu. 300 IN TXT "v=spf1 ip4:62.243.75.175 ip4:62.243.75.217 ip4:87.48.155.66 ip4:87.51.32.0/24 ip4:78.41.65.4 ip4:87.51.33.97 ip4:87.51.33.98 ip4:87.48.159.132 ip4:87.48.159.133 ip4:193.88.12.224/31 include:spf.microsoftonline.com include:spf.protection.outlook.com ~all"

  • 0
  • 0
Henrik Schack
  • 1
  • 0
Henrik Kramshøj Blogger

Jeg synes det er ærgeligt at høre en Sikkerheds mand fra en ISP udbyder lægge armene over kors og sige han ikke gider leger med fordi Nemid ikke tolker RFC på ligefod med ham.
...
back on topic

Betyd det Henrik Kramshøj at næste gang, hvis den kommer, at du falder over noget ingen andre har set, der truer danske borgere i at bruge nemid, så vil du ikke rapportere det fordi nemid ikke har en abuse@ mail adresse? For hvis du sidder og arbejder med, hvad jeg tror du arbejder med, så er det sku ikke godt for alle os andre...

Lad mig straks understrege at mht. netop denne sag er jeg meget klar i spyttet, eller skal forsøge at være det.

Det er pålagt enhver organisation som kommer på internet af finde ud af hvordan de vil agere. Det er op til en selv at investere resourcer på at enten følge de (bløde RFC) regler - for der er ikke nogen politifolk. Det er således ikke NemID bashing når jeg taler FOR at bruge abuse@.

Hvis jeg står med en reel trussel mod en organisation så er det op til mig at vurdere hvordan jeg vil agere, specielt hvis jeg hverken er kunde, ej heller bruger produktet, men måske tilfældigt opdager noget skidt. I den situation føler jeg en velvilje til at reagere og rapportere, men skal jeg bruge flere resourcer end velviljen strækker til? Nej - det skal jeg ikke!

Du kan godt kalde det små sko, men min tid er lidt dyrbar med arbejde, mange interesser, forsøg på at løbe marathons, drift, vagtordninger, teenagesøn, venner, kone, bøger der skal læses, hackerprogrammer som Kali 1.0.7! der skal prøves osv. Så jeg sidder ikke med armene over kors, men kors hvor jeg ikke gider at skulle søge og bruge 10 gange så lang tid på at rapportere et bestemt sted fordi eksempelvis NemID finder på det!

Her skal nævnes at sindsygt mange ting på internet ikke er en gruppe der har VALGT det, men en fælles viden som er opsamlet over nu snart 30 år - der gør livet nemmere!

DERFOR skal en organisation som arbejder med sikkerhed, og tager det alvorligt på alle måder optimere så det bliver nemmest muligt for ALLE at rapportere. Specielt når det i praksis tager 5 min at oprette en abuse@ så er der FOR FANDEN, sorry, ingenting der taler for at vi overhovedet diskuterer det!

Gør det som koster lidt og giver fordele, vurder det som tager længere tid, og det koster ingenting at lave en email adresse.

PS ingen forsøg på personangreb, beklager hvis det er opfattet således - selv NemID folkene er formentlig flinke, de skal blot komme op på dupperne :-D

  • 1
  • 0
Henrik Kramshøj Blogger

Nu har jeg arbejdet som it konsulent i 10 år og jeg viste ikke det her. Havde jeg skulle indrapoptere noget til nemid havde jeg gjort det med google metoden.

Det er for så vidt også ok, til en vis grad. Du er kun nået til at være bruger på internet, og vi taler ikke imod at fjerne formularen på hjemmesiden.

Hvis du til gengæld er Mr Cho fra en ISP i asien, eller Mr Juan fra Sydamerika som skal rapportere noget til NemID.nu på internet, tror du så helst de vil rapportere via en ukendt formular som de skal prøve at finde eller en standardmetode?

BTW en pudsig ting jeg nys opdagede er at nemid.nu pt. peger på

nemid.nu has address 209.200.152.225

og whois for dette er Prolexic - som er en kendt anti-DDoS leverandør:

NetRange:       209.200.128.0 - 209.200.191.255  
CIDR:           209.200.128.0/18  
OriginAS:  
NetName:        PROLEXIC  
NetHandle:      NET-209-200-128-0-1  
Parent:         NET-209-0-0-0-0  
NetType:        Direct Allocation  
Comment:        http://www.prolexic.com / NOC hours are 24/7  
...  
OrgAbuseHandle: ABUSE3056-ARIN  
OrgAbuseName:   Abuse  
OrgAbusePhone:  +1-866-800-0366  
OrgAbuseEmail:  abuse@prolexic.com  
OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE3056-ARIN

så om ikke andet kan man da nu skrive til abuse@prolexic.com ;-)

  • 0
  • 0
Henrik Schack

og så nævner den side endda ikke engang at der benyttes softfail, hvilket gør at det er meningsløst overhovedet at bruge den...


Soft eller hardfail det gør ikke rigtig nogen forskel når der er tale som spoofede emails (forfalsket From:), SPF beskytter MAIL FROM adressen/domænet, og altså ikke den From: adresse de almindelige brugere ser i deres mailklient.

Hvis du vil have kontrol over hvad fremmede skriver i From: feltet er der pt. kun den mulighed at implementere DMARC

  • 0
  • 0
Martin Jensen

Okay, jeg er altså nødt til at komme på banen her. RFC 2142 er IKKE en standard. Den er "proposed standard", altså nogen har foreslået den og den er oppe til debat. Abuse er desuden meget dårligt defineret i denne, da rfc'en er fra 1997 og ikke tidssvarende længere.
I al den tid jeg har kendt til abuse mail og også stadig som jeg læser den, så er den til at anmelde misbrug fra ip netværket defineret i RIPE og ikke til spam/phishing.

  • 0
  • 0
Martin Jensen

Follow up>
...Derfor synes jeg også lidt lige som Casper, at dette mere er at sparke på et system der allerede ligger ned. Ja, jeg hader også nemid, og ser frem til et bedre system. Men måske man burde forholde sig mere til de overordnede arkitekturmæssige problemer, i stedet for at gå op i, hvad jeg vil kalde petitesser.

  • 0
  • 0
Jens Jönsson

SPF recorden på nemid.nu kan ikke rigtig bruges til noget, den er helt defekt : https://dmarcian.com/spf-survey/nemid.nu
Derudover kan SPF ikke rigtig bruges til så meget i sammenhæng med spoofede emails.
DMARC er hvad NemID burde implementere.

Jeg har flere gange påpeget dette for NemID. De er fløjtende ligeglade.

Og for lige at slå det helt fast, så virker NemID's SPF record >IKKE<. Den vil blive ignoreret!

Jeg kan tydeligt se det i det SPAM filter jeg administrere. Det melder fint at det ikke kan tolke SPF recorden pga. fejl opsætning.

  • 0
  • 0
Jens Jönsson

Det samme vedr. SPF er i øvrigt gældende for nets.eu.

Og hvad værre er, de har ikke engang gidet at publicere en SPF record for nets.dk
Sjovt for domænet er ellers konfigureret med en SMTP server der svarer....

  • 0
  • 0
Henrik Schack

Jeg har flere gange påpeget dette for NemID. De er fløjtende ligeglade.


Ja det har jeg også prøvet, men det er spild af tid.
Enten er de bedøvende ligeglade med om deres domæner misbruges, eller også har de ganske enkelt ikke evnerne til at fixe det .....

Nu vi snakker defekt SPF, Danmarksrekorden i defekt SPF tror jeg tilfalder Nykredit
https://dmarcian.com/spf-survey/nykredit.dk

  • 0
  • 0
Esben Madsen

Soft eller hardfail det gør ikke rigtig nogen forskel når der er tale som spoofede emails (forfalsket From:), SPF beskytter MAIL FROM adressen/domænet, og altså ikke den From: adresse de almindelige brugere ser i deres mailklient.

helt enig, men softfail gør at hele spf-linjen er ubrugelig til andet end test og ikke engang beskytter mod MAIL FROM spoofing (det siger standarden nemlig: "The SPF record has designated the host as NOT being allowed to send but is in transition: accept but mark")... rigtig meget spam spoofer begge to, og derfor har SPF en effekt, selvom den ikke er nær så effektiv som DMARC... den største effekt jeg ser på min egen server (personlig mail og et par mindre foreninger) er at indgående spam der ryger forbi de første par postfix-barrierer ofte forsøger at bruge modtagerdomænet i MAIL FROM og derfor bliver blokket af SPF-checket... generelt har jeg 1-5% mail på en dag der faktisk bliver modtaget af mailserveren - SPF i sig selv står vist for ca 5-10% af afvisningerne...

  • 0
  • 0
Henrik Schack
  • 0
  • 0
Esben Madsen

ah ja, det er rigtigt (har ikke fået sat mig så godt ind i dmarc endnu desværre)... men så længe der kun er SPF (som ved nemid), så kan vi vel godt blive enige om at softfail i bedste fald ikke gør forskel og i værste fald giver falsk sikkerhed?

  • 0
  • 0
Esben Madsen

ah ja, det er rigtigt (har ikke fået sat mig så godt ind i dmarc endnu desværre)... men så længe der kun er SPF (som ved nemid), så kan vi vel godt blive enige om at softfail i bedste fald ikke gør forskel og i værste fald giver falsk sikkerhed?

  • 0
  • 0
Klaus Slott

Lige prøvet abuse@danskebank.dk, med samme resultat. Foreløbig har jeg modtaget 2 variationer af disse, spændende at se hvor længe det fortsætter:


Your message

Subject: Fwd: Danske bank (Opdatering af din netbank konto)

was not delivered to:

W19993/EJBY/DDB%DANSKESMTP@danskebank.dk

because:

User W19993/EJBY/DDB (W19993/EJBY/DDB@dk2.danskenet.net) not listed in Domino Directory

Reporting-MTA: dns;w19993.dk2.danskenet.net

Original-Recipient: rfc822;abuse@danskebank.dk
Final-Recipient: rfc822;W19993/EJBY/DDB%DANSKESMTP@danskebank.dk
Action: failed
Status: 5.1.1
Diagnostic-Code: X-Notes; User W19993/EJBY/DDB (W19993/EJBY/DDB@dk2.danskenet.net) not listed in Domino Directory

  • 0
  • 0
Finn Aarup Nielsen

Her er proceduren for at rapportere phishing email til NemID:

  1. Gå til Google.com

  2. Søg på "nemid phishing abuse peter toft"

  3. Klik på det første link

  4. Læs kommentarerne og find relevant email-adresse (phishing-dk@nets.eu)

  5. Forward phishing emailen med fuld header til denne email-adresse

Hvis ikke dette duer kan man i nødstilfælde forsøge at navigere rundt på nemid.dk, nets.nu. borger.nu og www.digitaliseringstyrelsen.dk eller hvad de nu allesammen hedder.

  • 0
  • 0
Log ind eller Opret konto for at kommentere