Trustpilot email

TrustpilotTrustpilot tilbyder en smart service hvor de på vegne af virksomheder udsender email indeholdende en opfordring til at lave et review af den pågældende virksomhed.
For at højne troværdigheden af de udsendte emails, anvendes en af den pågældende virksomheds emailadresser som afsender.

Så langt, så godt .. Men..

Når nu email er en vigtig del af ens forretning så synes jeg man burde sætte sig lidt ind i hvordan email egentlig fungerer, specielt de sikkerhedsmæssige udfordringer bør man have helt styr på når man sender email på vegne af andre.

Umiddelbart ser email sikkerhed imidlertid ikke ud til at være det man bruger flest kræfter på hos Trustpilot. Rent teknologimæssigt halter man ca. 10 år bagefter, faktisk er man er ikke nået længere end til SPF hos Trustpilot.
En ting er at man halter bagefter, en anden ting er hvordan så forholder sig til de teknologier man rent faktisk har kendskab til, og det er her det bliver rigtig kritisk.
I Trustpilots SPF implementerings guide er den foretrukne tilgang til SPF at man ganske enkelt sletter sin SPF record !
Nej du behøver ikke at kigge efter, dette indlæg er ikke skrevet 1. April.

Uddrag af Trustpilot SPF opsætningsvejledning: (Screenshot her)

Tekniske instruktioner
Hvordan tilpasser jeg mine indstillinger?
Du kan vælge at gøre ét af følgende:
1. Slet din SPF record
De fleste domæner har ikke nogen SPF record. Det betyder, at de tillader en hvilken som helst tredjepart at sende e-mails ud på deres vegne. Det kan være, du anvender et tredjeparts-værktøj, der kræver en specifik SPF record, så vær forsigtig, før du fjerner den.
2. Tilføj trustpilotservice.com
Ved at tilføje trustpilotservice.com i din SPF record, giver du udtrykkeligt tilladelse til, at vi sender e-mails på dine vegne. Nedenfor finder du et eksempel på, hvordan du kan tilføje trustpilotservice.com til din SPF record.

Variant 2 er knap så slem, her er ikke på samme måde som i variant 1 tale om man direkte kompromiterer sin egen sikkerhed, men til gengæld afslører denne variant at Trustpilot slet ikke har sat sig ind i hvordan SPF egentlig virker.

Sikkerhedsfirmaers emailsikkerhed

Phishing-hook Oprindeligt troede jeg det her skulle have været verdens korteste indlæg, noget i stil med : Alt OK, intet at sætte en finger på.
Der findes vel ikke et sikkerhedsfirma som vil risikere ydmygelsen ved at kunderne bliver forsøgt phishet med email fra sikkerhedsfirmaets eget domænenavn ?

Ak, jeg blev klogere :-(

Firmaer som lever af at være på forkant med udviklingen når det drejer sig om sikkerhed, har tilsyneladende ikke noget problem med at halte flere år bagefter udviklingen når det drejer sig om deres egen sikkerhed. Lad os håbe der ikke er andre områder hvor det også kniber med at holde sig opdateret.

Jeg skal huske at fremhæve et enkelt firma i min miniundersøgelse, Android/iOS Antivirus firmaet Lookout har helt styr på deres egen emailsikkerhed.

Navn
SPF
DKIM
DMARC
AVGNej [1]?Nej
AvastJa?Nej
AviraJa?Nej
BitdefenderNej?Nej
BullguardJa?Nej
DK CERTNej [1]NejNej
CSISJa?Ja [2]
Dr. WEBNej?Nej
ESETJa?Nej
FortConsultNejNejNej
F-SecureJaNejNej
GDataNej?Nej
IntegoJa?Nej
Kaspersky LabJa?Nej
LookoutJaJaJa
McAfeeJa?Nej
NormanJa?Nej
NortonJa?Nej
Panda SecurityNej [1]?Nej
TrendmicroJa?Nej

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] SPF record er teknisk defekt.
[2] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.

DMARC nyt #2

DK-Hostmaster har taget et supergodt initiativ og arrangeret en workshop om emailsikkerhed og DMARC.
Så kunne du tænke dig at forebygge phishing, istedet for at lave endeløs symptombehandling og brandslukning, så skynd dig at melde dig til hos DK-Hostmaster.
DK-Hostmaster henter Tim Draegen til Danmark i dagens anledning, Tim har været i Danmark tidligere i forbindelse med Internetdagen 2013, hvor han havde et virkelig spændende indlæg om DMARC.
Tim ved alt der er værd at vide om DMARC, jeg har ihvertfald aldrig kunnet stille ham et spørgsmål han ikke kunne svare på.

DMARC nyt #1

Google har skrevet lidt om email authentication (SPF/DKIM/DMARC).
Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne

TDC er på vej med DMARC

DK-Hostmaster arbejder også på en DMARC implementering

SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.

Hvad en SPF record ikke kan bruges til

SPF record Det er åbenbart en særdeles udbredt og sejlivet misforståelse at man ene og alene ved hjælp af en SPF record på et domænenavn kan forhindre phishing.
Jeg har tit set den slags snak på både Computerworld.dk og Version2.dk, og endda personlig overhørt snak om emnet her for et par dage siden.

Det må være tid til en forklaring og en demonstration.
Lad os bruge et domænenavn de kriminelle er helt vilde med at phishe, og hvor de garanteret også har rimelig stor success, fordi vi alle i forvejen også modtager legitime emails derfra.

Skat.dk er ekstremt populært at phishe, jeg tvivler på der findes danskere med en emailadresse som ikke på et eller andet tidspunkt har modtaget en skat.dk phishing email.

skat.dk’s SPF record ser således ud :

"v=spf1 ip4:92.43.124.143 ip4:92.43.124.218 ip4:195.85.251.156 
ip4:147.29.109.227 ip4:85.119.135.105 ip4:85.119.135.96 
ip4:147.29.27.196 ip4:194.239.239.148 ip4:194.239.239.150 -all"

Nu er jeg ikke ansat hos skat.dk så istedet for at bruge deres mailservere låner jeg lige en på arbejde, den har ipadressen 213.174.68.98, og er altså ikke i skat.dk SPF recorden.

Man kan afsende en phishing email med en enkelt linje PHP kode som f.eks:

mail("henrik.schack@outlook.com", "Du skal have 3232,75 kroner tilbage i skat", 
"Standard phishing email","From: info@skat.dk","-fnoreply@crime.schack.dk");

Emailen der havner hos Outlook.com ser sådan her ud:
skat.dk phishing email
Den email vil de fleste almindelige mennesker nok se som en ægte info@skat.dk email, lad os tage et kig på mailheaderen som fortæller om emailen har bestået et SPF tjek, den ser sådan her ud:

Authentication-Results: hotmail.com; spf=pass (sender IP is 213.174.68.98)

Hvordan kan det nu lade sig gøre ?
Det kan det fordi, SPF INGEN relation har til hvad der står i From: feltet i en email, SPF beskriver hvilke ipadresser der må anvende det pågældende domænenavn som Envelope sender, Envelope senderen er bare ikke noget helt almindelige brugere ser når de læser en email, idet den er skjult.
I eksemplet herover anvendte jeg noreply@crime.schack.dk som Envelope Sender adresse, altså en emailadresse på et domæne hvor jeg selv kunne oprette en SPF record som ville resultere i at min phishing email ville kunne klare et SPF tjek.

Så burde det være slået fast at SPF ikke kan anvendes til at forhindre phishing, og at alle i hele verden frit kan afsende falske skat.dk emails.

DigitalOcean status

For en måneds tid siden flyttede jeg min blog fra Hostgator til en lille VPS løsning hos DigitalOcean. Jeg var utilfreds med den dårligere og dårligere performance jeg havde på mit webhotel hos Hostgator.

Nu er jeg glad igen, Googles crawler stats viser tydeligt det var den helt rigtig beslutning at flytte væk fra Hostgator :-)

Performance hos Hostgator:
Google crawl speed

Performance hos DigitalOcean:

Google crawl speed - DigitalOcean

Spam Nej Tak

Spam Nej Tak Spam er kommet for at blive, email markedsføring er og bliver en pokkers effektiv og billig måde at sælge sine produkter på.
Men det kan gøres bedre. Hvis man nu effektiviserede spam en lille smule, f.eks. ved at lade være med at sende skidtet til personer der som udgangspunkt ikke gider have tilsendt materiale de ikke selv har bedt om, så ville der lige pludselig ikke længere være tale om spam, men nok nærmere noget i stil med meget aggresiv email markedsføring.
Aggresiv email markedsføring vil være langt mindre tilbøjelig til at ende i spammappen hos modtagerne, og burde derfor resultere i langt højere klik og konverteringsrater end rendyrket spam gør.

Det må da være det man kalder en rigtig win-win situation: Færre personer som føler sig generet af spam, samtidig med at der tjenes flere penge på de personer som gerne vil modtage den slags email.

For at ovenstående kan lade sig gøre har vi brug for en emailudgave af ‘Reklamer Nej Tak’ skiltet, sådan en sag har jeg brugt nogle aftener på at bygge. Sitet kom til at hedde spamnejtak.dk.
Er du en flittig bruger af “Rapporter Spam” knappen i dit emailprogram, så kig forbi og tilmeld din emailadresse, måske ender vi så med at blive nok nej-sigere til at firmaer vil vælge at respektere vores fravalg.

 

 

 

Typosquatting, Phishing og DMARC

cyber-attack-ahead

Og hvad har typosquatting, phishing og DMARC så lige med hinanden at gøre ? Hm ja, det er jo et spørgsmål jeg ville ønske store firmaer og brands kunne finde ud af at stille sig selv, specielt hvis de arbejder med penge eller vigtige personlige informationer.

Det lader imidlertid ikke til at være tilfældet her i Danmark, så nu vil jeg være en flink mand og give en hjælpende hånd :-)
Vi skal bruge et eksempel, Danskebank er et godt eksempel, de har som danmarks største bank ansvaret for en masse danskeres penge, så det ville da ikke være nogen dårlig ide hvis sikkerheden hos Danskebank hele vejen igennem var perfekt.

Hos Danskebank har man gjort en del for sikre sig selv og kunderne imod typosquatting, man har indkøbt ret mange domæner som mere eller mindre ligner danskebank.dk navnet, herunder kan man se nogle af de domæner Danskebank synes ligner deres eget domæne så meget at man har valgt at redirecte trafik fra dem videre til det rigtige danskebank.dk domæne.

  • banskebank.dk
  • dabskebank.dk
  • damskebank.dk
  • dandkebank.dk
  • danksebank.dk
  • dankskebank.dk
  • dansekebank.dk
  • danskbank.dk
  • danskebandk.dk
  • danskebanknet.dk
  • danskebanks.dk
  • danskebannk.dk
  • danskedank.dk
  • danskemobilbank.dk
  • danskenbank.dk
  • danskenet-bank.dk
  • dansknetbank.dk
  • dansksebank.dk
  • dendanskebank.dk

Så er alt vel godt ? Nej faktisk tværtimod, det kan godt være Danskebank giver danskere med taste/læse vanskeligheder en hjælpende hånd med ikke at komme ud i noget skidt, men på samme tid giver Danskebank en hel arm til kriminelle som måtte have lyst til at misbruge domænerne til phishing. Samtlige ovenstående domæner er helt ubeskyttede mod email misbrug.

Jeg går ud fra der må være tale om en forglemmelse fra Danskebanks side, idet det er ganske simpelt at sikre domænerne, det kræver blot 2 DNS records pr domæne.

En SPF record med indholdet : “v=spf1 -all”
og en DMARC record med indholdet : “v=DMARC1; p=reject;”

Flyttedag for min blog

Flyttemænd For næsten 6 år siden flyttede jeg min blog til Hostgator.com, det var ikke en pludselig indskydelse, jeg havde læst et utal af reviews af både Hostgator og mange andre shared hosting udbydere  samt studeret Hostgators supportforum indgående.
Jeg blev bestemt ikke skuffet da jeg flyttede ind, performance var rigtig god, og supporten var helt enestående god, jeg kunne skrive på alle tidspunkter af døgnet og fik et kompetent svar, typisk indenfor en halv times tid.
Hostgator var helt klart et firma som satte en ære i at have rigtig glade og tilfredse kunder.

Årene gik, og jeg havde egentlig aldrig noget at klage over, serveren mine ting lå på gennemgik mange software opgraderinger, men de blev altid udført på professionel vis og uden nævneværdig nedetid for os kunder.

Men som man siger, lykke varer sjældent evigt, for Hostgator (og mig) stoppede den da de her tidligere på året blev solgt til Endurance International Group (EIG).

Først skulle jeg flyttes over på en ny kraftigere server, den slags operationer varsler man naturligvis kunderne om, det prøvede Hostgator også på, men da det tilsyneladende er ud over det nye personales evner at vedligeholde en SPF record på et domæne, fandt jeg først den besked i min SPAM mappe  i sidste sekund.
Da jeg høfligt ville gøre Hostgator opmærksom på deres SPF record problemer stiftede jeg for første gang bekendtskab med deres nye supportorganisation. Hvor man før i tiden altid blev hjulpet af virkelig kompetente folk, er Hostgator nu skiftet til det man kalder “Multi-tiered technical support“, det betyder i praksis at hvis man skal bruge kompetent support er det nu en flere dage lang process at kæmpe sig frem til en level 3 supporter, og vejen dertil stiller meget høje krav til ens tålmodighed og humør.

Nå, men det lykkedes da til sidst at blive flyttet over på den her nye meget kraftigere server, og så burde alt jo være godt… Det føltes dog ikke helt godt, min blog virkede lidt træg i det, og alle administrative operationer gik mærkbart langsommere. Efter en måneds tid tog jeg et kig i Google Webmaster Tools, og kunne konstatere at Google er helt enig i at tingene ikke kører så godt som de har gjort. Serverskiftet skete 1. Juli, hvilket man tydeligt ser i form af langt dårligere performance på grafen herunder.

Google crawl speed

Efter at have dobbelttjekket hele opsætningen af min WordPress installation, kontaktede jeg så Hostgator support med henblik på at få gjort noget ved den forringede performance. Det blev en meget lang og 100% nyttesløs dialog. Hostgator er bare ikke længere den gode webhost  de var engang. :-(

Jeg har nu flyttet min blog m.m. over på en VPS  løsning hos DigitalOcean.

Google Apps DMARC implementering

Google Apps
Nu har jeg efterhånden et par gange hjulpet folk med at implementere DMARC på en Google Apps hostet mailløsning, så det må være på tide at få skrevet det ned.
Du kan bruge denne vejledning uden at komme galt afsted hvis du afsender alt dit domænes email gennem Googles servere, dvs ikke noget med at en enkelt bruger eller en enkelt webserver på domænet lige bruger noget andet end Googles SMTP servere til udgående email.
Tip en ven/Send til en ven, som findes på en del hjemmesider kan hvis de er lavet forkert (og de er de fleste af dem) godt give problemer med email som ikke kommer frem til dig.

SPF

Først skal du have oprettet en SPF record, hvis du ikke allerede har sådan en på dit domæne. En vejledning i hvordan det gøres kan man finde på Googles hjælpeside om SPF records. Når du mener du har gjort det så husk at checke den ser rigtig ud ude i verden, det kan du f.eks gøre med dmarcian.com SPF Query værktøjet. Bare indtast dit domænenavn og tryk på survey knappen. Er du mere til kommandolinje kan du også bruge nslookup
nslookup -type=txt schack.dk
Server: 8.8.8.8
Non-authoritative answer:
schack.dk text = "v=spf1 include:_spf.google.com ~all"

DKIM

Så skal vi til den lidt sværere del, aktivering af DKIM signaturer på din udgående email fra Google.

Login i din Admin console for dit domæne hos Google

Vælg Google Apps

Vælg Gmail

Vælg Authenticate email

Kopier TXT record værdien ind i en teksteditor, det er den som starter med v=DKIM1…

Opret en ny TXT record i DNS for dit domæne, navnet skal være google._domainkey.domænenavn, f.eks google._domainkey.schack.dk

Test at TXT recorden er blevet oprettet korrekt, med nslookup gøres det sådan her for mit domæne:

nslookup -type=txt google._domainkey.schack.dk
Server: 8.8.8.8
Non-authoritative answer:
google._domainkey.schack.dk text = "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC..."

Når din TXT record er blevet synlig ude i verden er du klar til at trykke på Start authentication knappen i din admin console hos Google. Dette skulle gerne resultere i at statusbeskeden på samme side skifter til Status:Authenticating email

DMARC

Nu hvor SPF og DKIM er kørende er forudsætninger for DMARC implementeringen på plads.
En vigtig feature ved DMARC er de rapporter mailudbydere rundt omkring i verden leverer med feedback, rapporterne leveres ikke i et læsevenligt format, så jeg vil anbefale du opretter en DMARC rapporteringskonto hos dmarcian.com, det er gratis så længe du afsender under 100000 emails om måneden.
Når du har oprettet en konto hos dmarcian.com får du en rapporteringsemailadresse, den har formen :

xxxxxxxx@ag.dmarcian.com

Så kan du endelige oprette den sidste DNS TXT record som sætter det hele igang. TXT recorden skal have navnet : _dmarc.domænenavn, f.eks _dmarc.schack.dk. Til at starte med vil jeg anbefale du anvender værdien:

"v=DMARC1; p=none; pct=100; aspf=s; adkim=s; rua=mailto:xxxxxxxx@ag.dmarcian.com;"

hvor xxxxxxxx@ag.dmarcian.com er den emailadresse du fik da du oprettede en konto hos dmarcian.com.

p=none betyder du kører i monitor mode, dvs mailudbyderne overvåger din email og leverer rapporter til din konto hos dmarcian.com, men gør derudover intet.
Rapporterne opdateres som standard en gang i døgnet, så i løbet af et par dage burde du have lidt data på din rapportkonto. Send eventuelt et par emails til dig selv for at være helt sikker :-)
Når du har kørt i monitormode et stykke tid og er helt sikker på alt stadig virker som det skal kan du udskifte p=none med p=quarantine eller p=reject