Teknik

IBM Verse - no go

Jeg har lige fået mig en IBM Verse email konto, efter at have været på venteliste i en evighed. Det er en vældig flot løsning hvor mail, kalender, kontakter og filer er tæt integrerede. Desværre er det også en hamrende usikker løsning hvor der tilsyneladende slet ikke er tænkt email authentication ind, IBM Verse accepterer som man kan se herunder uden videre spoofede Paypal emails, på trods af paypal.com DMARC reject policy’en.

Transport Layer Security (TLS)

Så fik jeg endelig taget mig sammen til at enable TLS på min blog. Da jeg alligevel var igang med at rode, skiftede jeg også til en DigitalOcean droplet med IPv6 enabled.

Teleudbydernes emailsikkerhed

Så blev det tid til at tage et kig på emailsikkerheden hos de danske teleudbydere. Phishing emails fra teleudbydere er der nok ikke mange danskere der ikke har oplevet på egen krop, det er et særdeles reelt og evigt tilbagevendende problem. Umiddelbart skulle man tro virksomheder der er så teknologitunge som teleudbydere nu engang er, må være blandt frontløberne når det drejer sig om ny sikkerheds teknologi. Efter at have taget et kig på sagerne må jeg nok istedet konstatere at de bare er tunge og håbløst bagefter.

Rejsebureau phishing

I sidste uge blev det rejsebranchens tur til at se sig selv og deres kunder udnyttet i forbindelse med en phishing kampagne udført af IT kriminelle. Det bliver nu rigtig spændende om vi skal se samme slatne laden stå til holdning til phishing problemet hos rejsebranchen, som vi kun allerede alt for godt kender fra Nets, SKAT, NemID, bankerne og teleudbyderne. Der er måske mere motivation at hente i rejsebranchen, email kommunikation er trods alt et vigtig markedsføringsmedie hos de fleste rejsebureauer, så en generel mistro til email fra rejsebureauer kunne nok vise sig at blive dyr i længden for dem.

Trustpilot email

Trustpilot tilbyder en smart service hvor de på vegne af virksomheder udsender email indeholdende en opfordring til at lave et review af den pågældende virksomhed. For at højne troværdigheden af de udsendte emails, anvendes en af den pågældende virksomheds emailadresser som afsender. Så langt, så godt .. Men.. Når nu email er en vigtig del af ens forretning så synes jeg man burde sætte sig lidt ind i hvordan email egentlig fungerer, specielt de sikkerhedsmæssige udfordringer bør man have helt styr på når man sender email på vegne af andre.

Sikkerhedsfirmaers emailsikkerhed

Oprindeligt troede jeg det her skulle have været verdens korteste indlæg, noget i stil med : Alt OK, intet at sætte en finger på. Der findes vel ikke et sikkerhedsfirma som vil risikere ydmygelsen ved at kunderne bliver forsøgt phishet med email fra sikkerhedsfirmaets eget domænenavn ? Ak, jeg blev klogere 🙁 Firmaer som lever af at være på forkant med udviklingen når det drejer sig om sikkerhed, har tilsyneladende ikke noget problem med at halte flere år bagefter udviklingen når det drejer sig om deres egen sikkerhed.

DMARC nyt #1

Google har skrevet lidt om email authentication (SPF/DKIM/DMARC). Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne TDC er på vej med DMARC DK-Hostmaster arbejder også på en DMARC implementering SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.

Hvad en SPF record ikke kan bruges til

Det er åbenbart en særdeles udbredt og sejlivet misforståelse at man ene og alene ved hjælp af en SPF record på et domænenavn kan forhindre phishing. Jeg har tit set den slags snak på både Computerworld.dk og Version2.dk, og endda personlig overhørt snak om emnet her for et par dage siden. Det må være tid til en forklaring og en demonstration. Lad os bruge et domænenavn de kriminelle er helt vilde med at phishe, og hvor de garanteret også har rimelig stor success, fordi vi alle i forvejen også modtager legitime emails derfra.

DigitalOcean status

For en måneds tid siden flyttede jeg min blog fra Hostgator til en lille VPS løsning hos DigitalOcean. Jeg var utilfreds med den dårligere og dårligere performance jeg havde på mit webhotel hos Hostgator. Nu er jeg glad igen, Googles crawler stats viser tydeligt det var den helt rigtig beslutning at flytte væk fra Hostgator 🙂 Performance hos Hostgator: Performance hos DigitalOcean:

Spam Nej Tak

Spam er kommet for at blive, email markedsføring er og bliver en pokkers effektiv og billig måde at sælge sine produkter på. Men det kan gøres bedre. Hvis man nu effektiviserede spam en lille smule, f.eks. ved at lade være med at sende skidtet til personer der som udgangspunkt ikke gider have tilsendt materiale de ikke selv har bedt om, så ville der lige pludselig ikke længere være tale om spam, men nok nærmere noget i stil med meget aggresiv email markedsføring.