Det er en fejl at have to autoritative navneservere ved siden af hinanden, på den måde. Det er simpelthen for nemt at lave DDoS.
De mangler da også nogle IPv6-adresser på dem?
Det med payload size hos dnsviz har jeg også godt bemærket et par gange, men ikke fået undersøgt nærmere - nu slipper jeg så for det, så tak for indlægget :-)
Det er som at slå i en dyne at prøve at få myndighedernes opmærksomhed. Heldigvis giver vi ikke op så let :-)
Har I hørt kommunen, om der måske skulle være lidt kælder under det gamle posthus? https://www.ballerupbladet.dk/node/57937
Det ville være trist at se jer skulle forlade byen.
en forståelig, håndfast beskrivelse af hvordan man implementerer DMARC
Man opretter en DMARC-record med p=none, analyserer de modtagne data og gør alle valide mail-kilder DMARC-kompatible, hvorefter man retter til p=reject. That simple!
Problemet ligger i "gør alle valide mail-kilder...
Da jeg læste Wikipedia-artiklen gik det op for mig, at det har jeg da også siddet lavet kode til - enten i Basic på ungdomskolens ZX-81 eller måske lidt senere i Comal-80 på Commodore 64 eller Gymnasiets RC Piccolo/Piccoline (men jeg hælder mest til ZX-81). Det er nok den første konkrete programm...
Ligesom man kan teste DNSSEC-status for sit domæne på Verisigns testside, så kan man også teste DNSSEC Validation-status på ens resolver:
https://dnssec.vs.uni-due.de/
Mit bud er, at de fleste vil opleve, at DNS-resolveren på deres arbejde ikke laver DNSSEC-validering, mens den i privaten gør (h...
https://dnssec-debugger.verisignlabs.com/version2.dk
No DS records found for version2.dk in the dk zone
https://dnssec-debugger.verisignlabs.com/ing.dk
No DS records found for ing.dk in the dk zone
Det var vist noget med et problem hos DNS-udbyderen?
Er der nogen, der kan uddybe, hvad deres frygt er?
Irrationel? ;-)
"Hvis DNSSEC ikke er opsat præcist korrekt på domænet" - så er det vel Unoeuros problem og så må de stramme sig an? Hvis de har styr på RFC 7344, så skulle selv KSK rollover være autoatiseret og så kan jeg ikke se, hvad...
den indeholdt et link, der henviste til en specifik ip-adresse og ikke et domænenavn
Vi kan ikke forvente, at folk uden for IT-branchen skal vide, at et link til en IP-adresse er mistænkeligt og vi behøver ikke at forvente det, når en firewall med URL Filtering kan håndtere det.
De bliver jo så heller ikke sikret mod nets.dk phishing bare fordi man sætter en "v=spf1 -all" i roden af nets.dk domænet.
Nej, men vi er vel enige om, at det trods alt er en rimelig fjollet ting at undlade?
Mange og mange .. omkring 80% af verdens email adresser er beskyttet af inbound DMARC.
Jeg kan kun udtale mig ud fra mine egne erfaringer og de mailsystemer, typisk Cisco Ironport eller Proofpoint, som jeg ser. De er som udgangspunkt ikke sat op til at lave DMARC-kontrol out-of-the-box - det...
nets.dk domænet har en DMARC reject policy, dvs vi er beskyttet mod falske @nets.dk e-mails.
En SPF record er ikke nødvendig, men det ville være pænere, idet man så nemt kan konkludere at domænet ikke er i brug til e-mail.
Problemet er, at næsten alle mailservere tjekker for en SPF-record,...
Hvis man læser linket fra Dmarcian: "32 netblocks are authorized, 160.808 individual IPv4 addresses".
Der 32 netblokke ligger hos Frederikssunds to mail-udbydere, mailanyone.net og composite.net. Der er altså ikke tale om adresser på kommunens netværk eller adresser der kun anvendes...
Enig, timingen mellem regeringens nye lovforslag om tvungen adgang til virksomheders netværk og denne vurdering fra FE kan næppe være tilfældig. Læg dertil Erhvervsstyrelsens "Klik ikke her"-kampagne, så er enhver tvivl vist ryddet af bordet - "Medarbejderen er blevet den største...
Jeg synes måske FE-DDIS er lille smule for kække, når de bebrejder medarbejderne at falde for phishing. Samme FE-DDIS som i 390 dage har stået på DMARC dot DK's SPF Defektliste. Som hverken har implementeret DMARC eller DNSSEC, der ellers kunne yde medarbejderne beskyttelse mod phishingmails og c...
Det kræver jo ikke andet end en kompromiteret klient.
Idéen med DMARC er til gengæld at gøre det sværere at phishe de credentials der fører til en kompromitteret klient. Så havde DMARC været på plads var skaden måske ikke sket. Og man skal i hvert fald ikke fedte den af på medarbejderne(s awaren...
Det er selvfølgelig rigtig fint, men hvad så hvis klient-computeren befinder sig uden for netværkets sikre firewall? Man kan selvfølgelig kræve at al internet-trafik kun er muligt med VPN via firewallen.
Hvis en medarbejder har en bærbar og tager den med udenfor huset, så bør den kun kunne t...
Headeren i de mails, som vores læser har modtaget, viser, at det ondsindede indhold umiddelbart er sendt ud via kommunes mail-server.
Udover at der står afsender@frederikssund.dk i fra-feltet, så har alle mails også klaret et såkaldt SPF-tjek.
Som nogen ved, angiver en SPF-record de servere, de...
Det kan der vist ikke være noget juridisk i vejen for og Credentials Phishing Prevention findes i hvert fald i Palo Alto firewalls:
https://docs.paloaltonetworks.com/pan-os/8-0/pan-os-admin/threat-prevent...
Kommentarer
Re: Nice fix!
Den har jeg også set ...
Kælderplads i posthuset?
Re: Teknisk assistance til en DMARC noob
Det vækker minder ...
Resolver-check
Man skal forresten også huske at publicere sin DS record
Re: Unoeuro fraråder DNSSEC
URL Filtering
Re: Det er svært at trænge igennem.
Re: Det er svært at trænge igennem.
Re: Det er svært at trænge igennem.
Re: Ikke så overraskende
Re: Rent lobby-arbejde for forslag om lov om CFCS
De er ikke så lidt frække
Re: Konkurrence - Hvem får lavet det først ?
Re: Ikke så overraskende
Re: Tænkt scenario
Mail headers
Re: Tænkt scenario