Henrik Schacks blog

Danske Bank har netop forleden offentliggjort deres bud på mobile betalinger. Herfra skal der lyde hurraråb, højlydt klappen, samt respekt for personerne der har udtænkt og implementeret den app.

Der er ganske enkelt tale om supergodt arbejde, så med lidt dygtig markedsføring, lidt afstandstagen fra Geyrgribben (også over tid) og lidt held kunne MobilePay nemt gå hen og blive standarden for mobile betalinger her i Danmark.
Misforstå mig ikke, der er ikke tale om en kåring af en vinder af mobile betalinger i Danmark, der er ingen tvivl om MobilePay nok skal blive udfordret af de andre bankers fællesløsning Swipp

Men, det er under alle omstændigheder et godt bud vi her ser fra Danske Bank, og ikke at forglemme, de er først på markedet med noget der rent faktisk virker.

Jeg er imidlertid nok ikke den eneste som er begejstret for MobilPay, når de IT kriminelle får øje på app’en vil de helt sikkert også sidde og klappe i hænderne over udsigten til en masse lettjente penge.
Det er slet ikke svært at forestille sig Phishing email i stil med:

Der gik noget galt i forbindelse med din sidste Mobilepay transaktion, 
vi kunne ikke hæve penge fra dit betalingskort, bekræft venligst dine
kortoplysninger her .........

Slot på ros, nu er det tid til lidt ris.

Danske Bank kunne gøre danskerne en stor sikkerheds tjeneste ved at sende deres IT/Sikkerhedsfolk afsted på kursus for at lære lidt om nutidig email sikkerhed.

Lad mig uddybe.

Noget tyder på Danske Bank har tænkt sig at anvende domænenavnet mobilepay.dk til markedsføring af MobilePay, domænet hoster ihvertfald ligenu en redirect til MobilePay siden på Danske Banks almindelige hjemmeside.
Under alle omstændigheder er det ikke helt virkelighedsfjernt at forbinde domænenavnet mobilepay.dk med mobilbetalingsproduktet MobilePay.

Emailsikkerheden på mobilepay.dk ser ligenu således ud:
Ingen SPF record.
Ingen DMARC record.
Domænenavnet mobilepay.dk står med andre ord til fri afbenyttelse for alle der måtte have lyst til at misbruge det til Phishing.

At emailsikkerheden på danskebank.dk også trænger til et serviceeftersyn er gamle nyheder så det vil jeg undlade at grave i.

Der er ikke noget at gøre, jeg bliver nødt til at uddele en dobbelt facepalm til Danske Banks Sikkerhedsfolk, en enkelt facepalm kan ganske enkelt ikke udtrykke det.

M3AAWG har produceret en stribe DMARC træningsvideoer, som varmt kan anbefales.

Min første tanke da jeg hørte om DMARC var noget i stil med “Uha, reject af emails, hvad nu hvis jeg glemmer noget i min opsætning, det kan jo gå helt galt”
Det viste sig imidlertid at være en helt unødvendig bekymring, har man først fået SPF & DKIM op at køre kan DMARC implementeres 100% risikofrit.

DMARC sættes op til at operere med en af 3 mulige policyer.

None/Monitor
Med denne policy overvåger man blot hvad der kunne ske hvis man havde valgt Quarantine eller Reject.
Det er typisk denne policy man starter med.

Quarantine
Med denne policy sendes email som ikke er DMARC kompatibel direkte i SPAMmappen.

Reject
Med denne policy afvises email som ikke er DMARC kompatibel.
Denne policy anvendes når man er i fuld drift.

Selve overvågningen sker ved at man fra alle de mailudbydere som uderstøtter dette modtager emails indeholdende information om DMARC tilstanden på de emails der er modtaget med ens domæne som afsender.
Man vil typisk modtage rapporter fra Google, Yahoo, AOL, LinkedIn og måske et par Russiske og Asiatiske mailudbydere. Microsoft skulle også forestille at udsende rapporter, men gør det ihvertfald ikke lige pt.
De rapporter man modtager er nogle sværtlæselige XML filer, heldigvis findes der flere gratis tjenester på nettet som kan tage sig af selve databehandlingen, og præsentere ens data så man rent faktisk kan få noget brugbart ud af dem.

DMARC databehandling.
Overvejer du at gå igang med DMARC bør du tage et kig på dmarcanalyzer.com og dmarcian.com, begge tjenester er som nævnt gratis, og har hver deres styrker.
Bemærk, selvom der er tale om gratistjenester kan de sagtens anvendes til databehandling for større virksomheder uden problemer.

Her er et par screenshots som viser data fra schack.dk domænet over nogle måneder.

dmarcanalyzer.com grafisk-overblik

dmarcanalyzer.com detaljer

Er du ejer af nogle parkerede domæmer, altså domæner som du aldrig har fået tid til at gøre noget ved siden du i sin tid købte dem ?
Hvis ja, så kunne du gøre resten af verden en tjeneste ved at sikre uvedkommende idet mindste heller ikke kan bruge dem f.eks i forbindelse med udsendelse af SPAM.

Det er forholdsvis simpelt, jeg bruger lige schack.dk domænet til demonstration.

1) Opret en SPF record som ikke tillader nogen af afsende email.

schack.dk. 86400 IN TXT “v=spf1 -all”

2) Opret en DMARC record med reject policy

_dmarc.schack.dk. 86400 IN TXT “v=DMARC1\; p=reject\;”

DMARC recorden betyder oversat til normalt dansk at alle emails fra schack.dk domænet SKAL kunne passere et SPF & DKIM check, og er dette ikke tilfældet skal modtageren bare “afvise dem i døren”

Jeg har i mange år interesseret mig for lidt for SPAM som en naturlig følge af at have stået for driften af et par mailserver nogle år.
Jeg har rodet med Whitelisting, Blacklisting, Greylisting, DNSBL og ikke mindst SpamAssassin / Amavis

Jeg plejer at inddele SPAM i 2 typer:

Der er den slags SPAM som Magnus Kjøller sender ud, her er der tale om email der sendes ud til en masse emailadresser indsamlet på mere eller mindre lovlig vis, f.eks via Facebook, denne type SPAM er lidt speciel idet man gerne vil have det til at se ud som det er et respektabelt firma der står for udsendelsen, og derfor ikke gør noget for at skjule hvem afsenderen er. Den slags SPAM er rigtig svær at slippe af med. Man har sjældent særligt meget held med at afmelde sig disse firmaers mailinglister.

Så er der resten, lægemiddelspam, Phishing, Casinospam, Rolex ure osv, her gør man hvad man kan for at skjule hvem den egentlige afsender er, den slags SPAM afsendes næsten aldrig fra afsenderens eget maildomæne, man misbruger istedet mere eller mindre tilfældige personer og firmaers domænenavne til at afsende email med falsk afsender.

Sidstnævnte slags SPAM kan vi gøre noget ved, ja, jeg skrev VI, det kræver nemlig en fællesindsats af alle der ejer et eller flere domænenavne.
Der skal udvises lidt ansvarlighed, i bund og grund er det ikke så meget anderledes end færdselsloven, der påbyder dig at låse din bil når du går fra den så ikke alle og enhver kan tage og bruge den.

Det er et par teknologier som i teorien kan anvendes til at gøre det ret besværligt for fremmede at misbruge dit domænenavn til SPAM udsendelse.

SPF
SPF går kort fortalt ud på at du ved hjælp af en simpel TXT record i DNS fortæller verden hvilke mailservere der må udsende email med dit domæne som afsender.

DKIM
DKIM er en digital signatur på nogle udvalgte mailheaders, bla. afsenderadressen. Ejeren af et domæne styrer ved hjælp af DNS hvem der kan udstede disse signaturer.

Fælles for SPF & DKIM er imidlertid at det er meget få mailservere ude i verden som “tør” afvise en email pga. en forkert DKIM signatur eller fordi emailen er afsendt fra en mailserver som ikke optræder i SPF recorden, alt i alt har vi altså et par smarte teknologier som ikke i praksis virker helt efter hensigten.

DMARC
I starten af 2011 satte nogle af de helt store spillere på mailområdet sig så sammen for at finde på noget smartere, og resultatet blev DMARC
DMARC er en kombination af SPF & DKIM, som lukker de huller/svagheder SPF & DKIM har hver for sig. Og næsten vigtigst, hvis et domæne hævder at udsende DMARC kompatibel email så afvises email rent faktisk hvis det ikke er tilfældet.

Alt i alt er teknikken der nu til at gøre en seriøs indsats for at mindske mængden af SPAM & Phishing.

Læs mere om DMARC

  Jeg fik for nylig min første BitCoin, og nu bor den i et program der hedder Bitcoin Wallet på min telefon

   Sådan, nu kan min blog også være med til World IPv6 day d. 8 Juni 2011.
   Fra og med idag er både http://henrik.schack.dk/ og http://adblock.schack.dk/,
   min Adblock liste tilgængelige over IPv6.

Stor tak til TDC Hosting for at gøre det teknisk muligt.

I de gode gamle Internet dage, altså for 2-3 år siden, var Spam næsten altid noget der kom fra udenlandske afsendere, ikke sådan at forstå at den slags ikke stadig eksisterer, jeg får skam dagligt bunker af Spam vedrørende Viagra, Cialis og hvad det nu ellers altsammen hedder og ikke mindst masser af Spam fra giftelystne unge kvinder fra de baltiske lande. Den slags fanges iøvrigt ganske automatisk af Googles fremragende Anti-Spam system så jeg ser det ikke med mindre jeg giver mig til at rode i min Spam mappe.
Dansk Spam derimod, har været et sjældent syn, når man altså lige ser bort fra de par “uheld” der sker for danske firmaer engang imellem.
Men for et par måneder siden begyndte jeg pludselig at modtage dansk Spam, altså email skrevet på dansk og afsendt fra danske mailservere, ja du kender det måske selv, det drejer sig om email med emnelinjer som :

Vi sender dit nye TV med posten
Spis kvit og frit på Michelin-restaurant
Vi sender dit gavekort med posten
osv.

Pudsigt nok blev intet af det fanget af Googles Anti-Spam system, så jeg blev lidt nysgerrig og begyndte at grave i hvor det kom fra.
Et par hurtige Whois opslag hos DK-Hostmaster og lidt granskning af mailheaders viste at kilden var den samme for alt det Spam jeg modtog.
Sådan rent teknisk set blev det hele afsendt fra mailservere der står hos den danske hostingudbyder Jay.net
I første omgang kontaktede jeg Jay.net og bad dem få deres kunde til at holde op med at sende Spam til mig, men efter en måneds tid måtte jeg konstatere at Jay.net’s moral er solidt forankret der hvor pengene er, trods en del brevveksling med deres abuse afdeling blev mængden af Spam jeg modtog fra deres servere ihvertfald ikke mindsket.
Så valgte jeg at gå direkte til kilden som er

CM Network A/S
Algade 44,2
9000 Aalborg
+4598116450
http://www.cmnetwork.dk/

Firmaet er nogle rigtige banditter, er man først havnet i deres emaildatabase misbruges ens emailadresse lystigt af en stor del af deres kunder på trods af man aldrig har tilmeldt sig hos dem.
Efter en telefonsamtale med CM Network, modtog jeg en kvitteringsemail der oplyste at jeg var blevet slettet fra følgende systemer:
filmposten.dk, megabilligt.dk, rabatten.dk,vindenmasse.dk, pointcard.dk, pointblog.dk og pointshop.dk

Andre kendte danske Spam firmaer: (listen vil blive udvidet, hvis jeg får kendskab til flere)

MikkelsenMedia ApS
Ørstedsgade 28C
5000 Odense C
+4566190600
http://www.mikkelsenmedia.dk/

Orville Media ApS 
Hovedvagtsgade 8. 2tv.
1103 København K 
https://dk.orvillemedia.com/

Orville Media ApS, er nogle slemme banditter, de sælger dine informationer incl. din emailadresse til højre og venstre.

Google har i efterhånden en del år understøttet SPF antispam systemet på deres mailsystemer generelt. DomainKeys Identified Mail (DKIM) har derimod været forbeholdt deres egne maildomæner. Det er slut nu, siden 6. januar har det været muligt at enable DKIM antispam/antiphishing systemet på alle Google Apps hostede mailløsninger.

Så har du din mail hosted hos Google, og har du ikke allerede enabled DKIM, så skynd dig at gøre det nu, og gør dermed dig selv og resten af verden en tjeneste i kampen mod SPAM.

Læs mere om DKIM på Google Apps

Det er ved at være lang tid siden jeg har skrevet noget om min Adblock liste her på min blog, men det betyder nu ikke at den er død begravet og opgivet, tværtimod, den har netop for et par dage siden rundet 30000 brugere.

Eller sagt lidt anderledes, reklamer på Internettet er kommet for at blive — fjernet.

Udover at være blandt de indbyggede lister man kan vælge imellem når man installerer Adblock Plus til Firefox, så er den nu også tilgængelig som en indbygget valgmulighed i Adblock til Google Chrome browseren, det er den der er nævnt som “Danish filters”.

Ellers er det business as usual mht til opdatering af listen, jeg opdaterer den med hvad jeg selv finder, og hvad folk skriver til mig om. Ja man er faktisk meget velkommen til at sende mig en email på henrik snabela schack punktum dk hvis man falder over noget jeg har overset.

Det eneste decicerede nye tiltag på min Adblock liste, er at jeg er begyndt at blokere de behavioural marketing/targeting systemer flere og flere danske websites, kraftigt opfordret af de store mediebureauer, er begyndt at anvende.
Hvis du er på Facebook, kender du til behavioural targeting i forvejen, her bruger man det i stor stil til at vise relevant indhold for den enkelte bruger, den måde man anvender det på Facebook er efter min personlige mening egentlig OK, idet det hele foregår på Facebook.
MEN når et stort mediebureau får den slags teknologi mellem fingrene får piben en anden lyd, i de implementeringer jeg er faldet over, har man valgt at gemme den trackingcookie der kan identificere den enkelte bruger på et 3. parts domæne, og hermed bliver det så automatisk muligt at flytte informationer om brugernes adfærd og præferencer rundt på kryds og tværs mellem alle de sites der har systemet implementeret, og privatlivets fred kan du som bruger vinke farvel til.