BIMI up Scotty

<a href="http://arc-spec.org/">http://arc-spec.org/</a&gt;

Hvordan kan de dog undlade at køre det site på HTTPS???!?

Det bliver let historien om EV-certifikater om igen. Før i tiden var disse nødvendige for at få en “grøn hængelås”, men i dag har de ikke længere megen relevans.

Det vil givetvis nedbringe mængden af fusk, at logoer skal være registreret som varemærke, og at SVG-filen skal verificeres af en certifikatudsteder, alene fordi det er dyrt og besværligt. Men dette vil også afholde mange legitime brugere fra at adoptere standarden, især mindre virksomheder.

Det er måske ikke nødvendigvis dårligt ud fra et sikkerhedsmæssigt perspektiv. Store virksomheder er trods alt mere udsatte for phishing end små. Men omvendt er det ikke særlig “demokratisk”, at kun store virksomheder optræder med et fint logo, mens mindre virksomheder optræder uprofessionelt med et grimt standardikon, og at adgangsbilletten til det fine selskab er at betale en dummebøde til en certifikatudsteder.

Mon ikke at kravet om certificering med tiden bliver udfaset til fordel for heuristikker baseret på opsamlet adfært, a la spamreputation. Eksempel: En mailudbyder først viser et logo, når der er modtaget minimum X mails til mindst Y brugere over mindst Z måneder, hvor højst P procent af disse mails er blevet markeret på spam. Det burde være til at implementere for mailudbydere med blot et moderat antal kunder.

ARC er en løsning på absolut ingenting. Det har 0% penetration og der er ingen tegn på at det ændrer sig. ARC er en måde alligevel at tillade "spoofede" mails selvom DMARC siger man ikke må. Det har ingen chance for at virke.

Og ja, man er nødt til at lave en DMARC-record for at kunne regne med at ens mail når frem i vore dage. Det er helt fint, det er rimeligt nemt at sætte DKIM og SPF op. Man skal bare huske at sætte p=none så ens mail ikke ender i spamfoldere eller bliver smidt væk.

Heldigvis er der ingen risiko for at p=reject bliver populært. Der er alt for mange som benytter mail-forwarding til at det holder. Jeg satte for en måneds tid siden p=reject på mit domæne, men det fik jeg hurtigt lært at lade være med, efter at jeg fik rapporterne ind om hvem jeg ikke længere kunne sende til.

(Mailforwarding til Office 365 var en af de helt store syndere. Så kunne jeg ikke kommunikere med visse webshops.)

Jeg tror det skib er sejlet for længe siden - i forhold til at begrænse DMARC til transaktions domæner og da det pt. er bedste sikring mod spoofing, så er det et værktøj vi er nød til at sprede ud - indtil vi har noget bedre at tilbyde i værktøjskassen.

ARC løser problemet i forhold til mailinglister og det fungerer rigtigt fint. Det kan du læse mere om her: http://arc-spec.org/ - at der så er nogen der er så fjollede, så de nøjes med at sætte SPF og DMARC op og glemmer DKIM i stakken og derved får forwards til at fejle, det må de selv rode med.

Mener du seriøst at det kun er Yahoo!/AOL e-mail addresser der bliver misbrugt? Det er en illusion jeg gerne vil bringe dig ud af - alle de andre store udbydere har præcis samme problem. Så længe en service er gratis, er der nogen der vil misbruge den.

DMARC kan ikke stå alene - men effektiv det er den. Google anbefaler bla. DMARC for bedre deliverability i forhold til nyhedsbreve (https://support.google.com/mail/answer/81126?hl=en#authentication), så de ikke ender i spam-folderen.

D. 1. juli skulle staten være færdig med at implementere de tekniske minimumkrav for statslige myndigheder i Danmark der bl.a. inkluderer DMARC - meeeeen der er vist et par stykker der ikke helt er nået i mål endnu...(ref. https://dmarc.dk/).

Som du skriver lyder det jo meget fint - hvis man kun bruger webmail.

Ordentlig udbredelse af DMARC vil derimod være en super god ting (ja, mailinglists er en udfordring, men kan løses) - undrer mig lidt at det ikke er lykkedes at få noget fokus på det når div. firmaer er røget i CEO-fraud. Der hører man desværre kun hvor "dygtige" de har været med backups, selvom rigtig mange af tilfældene kunne have været forhindret med DMARC.

... og please - drop den der elendige "quarantine" policy :-) none eller reject, intet andet.

DMARC er til brug for transaktions-domæner som ikke bruges til almindelig person-til-person mail.

Se f.eks. https://mailarchive.ietf.org/arch/msg/dmarc/GNN4iO5FxpaxhlAEoZ8iI0arE4U/

"Nogen" har så besluttet at aktivere DMARC for almindelige domæner også. Det betyder så at deres brugere ikke kan sende mails til mailinglister eller gennem mail-forward.

Heldigvis er "nogen" stort set begrænset til Yahoo/AOL. De havde ikke styr på deres serversikkerhed, og derfor bliver deres mailadresser i stor stil misbrugt. Omkostningerne ved at håndtere indbruddene forsøger de så at vælte over på alle os andre ved at sætte en DMARC-politik. De andre store mail-udbydere bruger stort set ikke DMARC.

Gmail mv. ignorerer også p=quarantine eller p=reject hvis de har andre grunde til at tro at mailen er legitim. Dvs. en DMARC-politik er ikke specielt effektiv i praksis.