Teleudbydernes emailsikkerhed

Telefon Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere.

Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem.

Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.

Generelt er emailsikkerhed og teleudbydere diamentrale modsætninger, man ser samme lave sikkerhedsniveau som hos bundskraberne fra SKAT, NETS og NemID.
SKAT, NETS og NemID kan man dog på sin vis forstå, de er præcis så fuldkommen ligeglade med brugerne som man nu engang kan tillade sig at være når man er en monopolvirksomhed, teleudbyderne derimod, er trods alt rigtige virksomheder der skal leve af kunderne, så her havde jeg håbet på lidt mere.

Eneste lyspunkt i min mini-undersøgelse er TDC familien, hvor man dog trods alt er gået igang med at sikre kunderne imod phishing.

Alt i alt: Næste gang du modtager en phishing email der udgiver sig for at komme fra en teleudbyder, så kan du roligt brokke dig højlydt til den pågældende teleudbyder, du modtager primært disse emails fordi de intet gør for at forhindre det.

TeleudbyderSPFDKIMDMARC
3Ja [1]?Nej
ACNNej?Nej
BiBobJaNejNej
CBBJa?Nej
CallMeJa [1]?Nej
DLG TeleNej?Nej
FullrateJa [1]?Ja [4]
JustfoneNej [2]NejNej
NettalkJa?Nej
OK MobilNej?Nej
OisterNej [2]?Nej
One MobileNej?Nej
TDCJaJa [3]Ja [4]
TelenorNej [2]?Nej
TeliaJa [1]?Nej
TelmoreJa?Ja [4]
Universal TelecomNej?Nej
ViptelNej?Nej
WaooNej [2]?Nej
YouseeJaJa [3]Ja [4]

? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] OK, men med advarsler.
[2] Teknisk defekt, syntaxfejl eller for mange DNS opslag.
[3] Noget, men ikke alt email DKIM signes.
[4] Monitor mode, dvs ikke nogen egentlig beskyttelse, kun overvågning.

Oversigten over teleudbydere er hentet fra : http://www.telemarkedet.dk/telefoni/udbydere

3 kommentarer til “Teleudbydernes emailsikkerhed

  1. jØRN gULDEBRG siger:

    Hej Henrik
    jeg har en udfordring med DAMRC og NDR.
    En NDR har som bekendt et tomt from feldt., så disse mail bliver opfattet som non DMARc compliant.

    da hverken DKIM eller eller SPF kan verificeres.
    Har du et forslag til hvordan disse mange NDR ikke giver domanet en dårlig senderscore?
    /Jørn

    • Henrik Schack siger:

      Hej Jørn
      Det ville være lidt unfair hvis i og jeres senderscore skulle bebrejdes at folk sender email til adresser som ikke eksisterer på @danskebank.dk domænet.

      Jeg tror dog godt jeres NDR/Bounces kan gøres DMARC compliant, jeg har testet lidt.

      En bounce fra jeres server kan f.eks se sådan her ud :

      Return-Path: <>
      X-Original-To: henj@atlanticocean.schack.dk
      Delivered-To: henj@atlanticocean.schack.dk
      Received: from N50422.danskebank.com (n50422.danskebank.com [212.93.39.120])
      by atlanticocean.schack.dk (Postfix) with ESMTP id 92EC8262A2A
      for ; Sat, 15 Nov 2014 21:15:27 +0000 (UTC)
      Authentication-Results: N50422.danskebank.com
      header.from=henj@atlanticocean.schack.dk; domainkeys=neutral (no sig)
      Subject: DELIVERY FAILURE: User henrikschacktester (henrikschacktester@danskebank.dk) not
      listed in Domino Directory
      To: henj@atlanticocean.schack.dk (Henrik Schack)
      Date: Sat, 15 Nov 2014 21:15:26 +0000 (UTC)
      From: Postmaster@danskebank.dk

      Når der ikke eksisterer en Return-Path (Return-Path: <>) laves der fallback til HELO navnet, som i dette tilfælde er n50422.danskebank.com, dette hostnavn har i sørget for at lave en SPF record på, så emailen giver en PASS i forhold til SPF.
      Der hvor det går galt er lidt længere nede i emailen hvor der står
      From: Postmaster@danskebank.dk
      Da danskebank.dk er forskellig fra danskebank.com fejler bouncen DMARC SPF alignment, og da der heller ikke er en DKIM signatur på er det et totalt fail hvad angår DMARC alignment.

      Et supersimpelt fix der ville gøre jeres NDR email DMARC compliant ville være at rette postmaster@danskebank.dk til postmaster@danskebank.com

      Mvh
      Henrik Schack

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *