Jeg har lige fået mig en IBM Verse email konto, efter at have været på venteliste i en evighed.
Det er en vældig flot løsning hvor mail, kalender, kontakter og filer er tæt integrerede.
Desværre er det også en hamrende usikker løsning hvor der tilsyneladende slet ikke er tænkt email authentication ind,
IBM Verse accepterer som man kan se herunder uden videre spoofede Paypal emails, på trods af paypal.com DMARC reject policy’en.
Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere.
Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem.
Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.
I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle.
Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne.
Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.
Oprindeligt troede jeg det her skulle have været verdens korteste indlæg, noget i stil med : Alt OK, intet at sætte en finger på.
Der findes vel ikke et sikkerhedsfirma som vil risikere ydmygelsen ved at kunderne bliver forsøgt phishet med email fra sikkerhedsfirmaets eget domænenavn ?
Ak, jeg blev klogere 🙁
Firmaer som lever af at være på forkant med udviklingen når det drejer sig om sikkerhed, har tilsyneladende ikke noget problem med at halte flere år bagefter udviklingen når det drejer sig om deres egen sikkerhed.
DK-Hostmaster har taget et supergodt initiativ og arrangeret en workshop om emailsikkerhed og DMARC.
Så kunne du tænke dig at forebygge phishing, istedet for at lave endeløs symptombehandling og brandslukning, så skynd dig at melde dig til hos DK-Hostmaster.
DK-Hostmaster henter Tim Draegen til Danmark i dagens anledning, Tim har været i Danmark tidligere i forbindelse med Internetdagen 2013, hvor han havde et virkelig spændende indlæg om DMARC.
Tim ved alt der er værd at vide om DMARC, jeg har ihvertfald aldrig kunnet stille ham et spørgsmål han ikke kunne svare på.
Google har skrevet lidt om email authentication (SPF/DKIM/DMARC).
Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne
TDC er på vej med DMARC
DK-Hostmaster arbejder også på en DMARC implementering
SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.
Og hvad har typosquatting, phishing og DMARC så lige med hinanden at gøre ? Hm ja, det er jo et spørgsmål jeg ville ønske store firmaer og brands kunne finde ud af at stille sig selv, specielt hvis de arbejder med penge eller vigtige personlige informationer.
Det lader imidlertid ikke til at være tilfældet her i Danmark, så nu vil jeg være en flink mand og give en hjælpende hånd 🙂
Nu har jeg efterhånden et par gange hjulpet folk med at implementere DMARC på en Google Apps hostet mailløsning, så det må være på tide at få skrevet det ned.
Du kan bruge denne vejledning uden at komme galt afsted hvis du afsender alt dit domænes email gennem Googles servere, dvs ikke noget med at en enkelt bruger eller en enkelt webserver på domænet lige bruger noget andet end Googles SMTP servere til udgående email.
At bankerne i Danmark har en udfordring mht. Phishing er almindelig kendt, personligt modtager jeg regelmæssigt Phishing emails der skal forestille at komme fra min egen bank, men også fra banker hvor jeg slet ikke er kunde.
Problemet er så udbredt at nogle af bankerne har dele af deres hjemmeside dedikeret til at advare/hjælpe kunderne i forbindelse med Phishing.
Det er selvfølgelig èn måde at gribe problemet an på, lad den ubehagelig skade ske, og gå så ellers igang med at rydde op efter bedste evne.
Hvordan står det egentlig til med emailsikkerheden hos vores folketingspartier ? Kan man stole på at en email der udgiver sig for at være afsendt af f.eks socialdemokraterne rent faktisk også er det ?
Det korte svar er desværre : NEJ.
Det lidt længere svar: Folketingspartierne gør intet effektivt for at forhindre deres maildomæner kan misbruges til udsendelse af falske emails, eneste undtagelse fra reglen er Liberal Alliance, hvis de lige fik etableret en DMARC record, ville de faktisk være rigtig godt kørende.