DMARC nyt #2

DK-Hostmaster har taget et supergodt initiativ og arrangeret en workshop om emailsikkerhed og DMARC.
Så kunne du tænke dig at forebygge phishing, istedet for at lave endeløs symptombehandling og brandslukning, så skynd dig at melde dig til hos DK-Hostmaster.
DK-Hostmaster henter Tim Draegen til Danmark i dagens anledning, Tim har været i Danmark tidligere i forbindelse med Internetdagen 2013, hvor han havde et virkelig spændende indlæg om DMARC.
Tim ved alt der er værd at vide om DMARC, jeg har ihvertfald aldrig kunnet stille ham et spørgsmål han ikke kunne svare på.

DMARC nyt #1

Google har skrevet lidt om email authentication (SPF/DKIM/DMARC).
Der er iøvrigt også en opfordring fra Google til os allesammen om at vi sørger for vores parkerede/ubenyttede domæner ikke kan misbruges. Se eventuelt et af mine gamle indlæg om DMARC implementering på et parkeret domæne

TDC er på vej med DMARC

DK-Hostmaster arbejder også på en DMARC implementering

SKAT, Nets, E-boks og bankerne sover stadig tornerosesøvn.

Hvad en SPF record ikke kan bruges til

SPF record Det er åbenbart en særdeles udbredt og sejlivet misforståelse at man ene og alene ved hjælp af en SPF record på et domænenavn kan forhindre phishing.
Jeg har tit set den slags snak på både Computerworld.dk og Version2.dk, og endda personlig overhørt snak om emnet her for et par dage siden.

Det må være tid til en forklaring og en demonstration.
Lad os bruge et domænenavn de kriminelle er helt vilde med at phishe, og hvor de garanteret også har rimelig stor success, fordi vi alle i forvejen også modtager legitime emails derfra.

Skat.dk er ekstremt populært at phishe, jeg tvivler på der findes danskere med en emailadresse som ikke på et eller andet tidspunkt har modtaget en skat.dk phishing email.

skat.dk’s SPF record ser således ud :

"v=spf1 ip4:92.43.124.143 ip4:92.43.124.218 ip4:195.85.251.156 
ip4:147.29.109.227 ip4:85.119.135.105 ip4:85.119.135.96 
ip4:147.29.27.196 ip4:194.239.239.148 ip4:194.239.239.150 -all"

Nu er jeg ikke ansat hos skat.dk så istedet for at bruge deres mailservere låner jeg lige en på arbejde, den har ipadressen 213.174.68.98, og er altså ikke i skat.dk SPF recorden.

Man kan afsende en phishing email med en enkelt linje PHP kode som f.eks:

mail("henrik.schack@outlook.com", "Du skal have 3232,75 kroner tilbage i skat", 
"Standard phishing email","From: info@skat.dk","-fnoreply@crime.schack.dk");

Emailen der havner hos Outlook.com ser sådan her ud:
skat.dk phishing email
Den email vil de fleste almindelige mennesker nok se som en ægte info@skat.dk email, lad os tage et kig på mailheaderen som fortæller om emailen har bestået et SPF tjek, den ser sådan her ud:

Authentication-Results: hotmail.com; spf=pass (sender IP is 213.174.68.98)

Hvordan kan det nu lade sig gøre ?
Det kan det fordi, SPF INGEN relation har til hvad der står i From: feltet i en email, SPF beskriver hvilke ipadresser der må anvende det pågældende domænenavn som Envelope sender, Envelope senderen er bare ikke noget helt almindelige brugere ser når de læser en email, idet den er skjult.
I eksemplet herover anvendte jeg noreply@crime.schack.dk som Envelope Sender adresse, altså en emailadresse på et domæne hvor jeg selv kunne oprette en SPF record som ville resultere i at min phishing email ville kunne klare et SPF tjek.

Så burde det være slået fast at SPF ikke kan anvendes til at forhindre phishing, og at alle i hele verden frit kan afsende falske skat.dk emails.

DigitalOcean status

For en måneds tid siden flyttede jeg min blog fra Hostgator til en lille VPS løsning hos DigitalOcean. Jeg var utilfreds med den dårligere og dårligere performance jeg havde på mit webhotel hos Hostgator.

Nu er jeg glad igen, Googles crawler stats viser tydeligt det var den helt rigtig beslutning at flytte væk fra Hostgator 🙂

Performance hos Hostgator:
Google crawl speed

Performance hos DigitalOcean:

Google crawl speed - DigitalOcean

Spam Nej Tak

Spam Nej Tak Spam er kommet for at blive, email markedsføring er og bliver en pokkers effektiv og billig måde at sælge sine produkter på.
Men det kan gøres bedre. Hvis man nu effektiviserede spam en lille smule, f.eks. ved at lade være med at sende skidtet til personer der som udgangspunkt ikke gider have tilsendt materiale de ikke selv har bedt om, så ville der lige pludselig ikke længere være tale om spam, men nok nærmere noget i stil med meget aggresiv email markedsføring.
Aggresiv email markedsføring vil være langt mindre tilbøjelig til at ende i spammappen hos modtagerne, og burde derfor resultere i langt højere klik og konverteringsrater end rendyrket spam gør.

Det må da være det man kalder en rigtig win-win situation: Færre personer som føler sig generet af spam, samtidig med at der tjenes flere penge på de personer som gerne vil modtage den slags email.

For at ovenstående kan lade sig gøre har vi brug for en emailudgave af ‘Reklamer Nej Tak’ skiltet, sådan en sag har jeg brugt nogle aftener på at bygge. Sitet kom til at hedde spamnejtak.dk.
Er du en flittig bruger af “Rapporter Spam” knappen i dit emailprogram, så kig forbi og tilmeld din emailadresse, måske ender vi så med at blive nok nej-sigere til at firmaer vil vælge at respektere vores fravalg.

 

 

 

Typosquatting, Phishing og DMARC

cyber-attack-ahead

Og hvad har typosquatting, phishing og DMARC så lige med hinanden at gøre ? Hm ja, det er jo et spørgsmål jeg ville ønske store firmaer og brands kunne finde ud af at stille sig selv, specielt hvis de arbejder med penge eller vigtige personlige informationer.

Det lader imidlertid ikke til at være tilfældet her i Danmark, så nu vil jeg være en flink mand og give en hjælpende hånd 🙂
Vi skal bruge et eksempel, Danskebank er et godt eksempel, de har som danmarks største bank ansvaret for en masse danskeres penge, så det ville da ikke være nogen dårlig ide hvis sikkerheden hos Danskebank hele vejen igennem var perfekt.

Hos Danskebank har man gjort en del for sikre sig selv og kunderne imod typosquatting, man har indkøbt ret mange domæner som mere eller mindre ligner danskebank.dk navnet, herunder kan man se nogle af de domæner Danskebank synes ligner deres eget domæne så meget at man har valgt at redirecte trafik fra dem videre til det rigtige danskebank.dk domæne.

  • banskebank.dk
  • dabskebank.dk
  • damskebank.dk
  • dandkebank.dk
  • danksebank.dk
  • dankskebank.dk
  • dansekebank.dk
  • danskbank.dk
  • danskebandk.dk
  • danskebanknet.dk
  • danskebanks.dk
  • danskebannk.dk
  • danskedank.dk
  • danskemobilbank.dk
  • danskenbank.dk
  • danskenet-bank.dk
  • dansknetbank.dk
  • dansksebank.dk
  • dendanskebank.dk

Så er alt vel godt ? Nej faktisk tværtimod, det kan godt være Danskebank giver danskere med taste/læse vanskeligheder en hjælpende hånd med ikke at komme ud i noget skidt, men på samme tid giver Danskebank en hel arm til kriminelle som måtte have lyst til at misbruge domænerne til phishing. Samtlige ovenstående domæner er helt ubeskyttede mod email misbrug.

Jeg går ud fra der må være tale om en forglemmelse fra Danskebanks side, idet det er ganske simpelt at sikre domænerne, det kræver blot 2 DNS records pr domæne.

En SPF record med indholdet : “v=spf1 -all”
og en DMARC record med indholdet : “v=DMARC1; p=reject;”

Flyttedag for min blog

Flyttemænd For næsten 6 år siden flyttede jeg min blog til Hostgator.com, det var ikke en pludselig indskydelse, jeg havde læst et utal af reviews af både Hostgator og mange andre shared hosting udbydere  samt studeret Hostgators supportforum indgående.
Jeg blev bestemt ikke skuffet da jeg flyttede ind, performance var rigtig god, og supporten var helt enestående god, jeg kunne skrive på alle tidspunkter af døgnet og fik et kompetent svar, typisk indenfor en halv times tid.
Hostgator var helt klart et firma som satte en ære i at have rigtig glade og tilfredse kunder.

Årene gik, og jeg havde egentlig aldrig noget at klage over, serveren mine ting lå på gennemgik mange software opgraderinger, men de blev altid udført på professionel vis og uden nævneværdig nedetid for os kunder.

Men som man siger, lykke varer sjældent evigt, for Hostgator (og mig) stoppede den da de her tidligere på året blev solgt til Endurance International Group (EIG).

Først skulle jeg flyttes over på en ny kraftigere server, den slags operationer varsler man naturligvis kunderne om, det prøvede Hostgator også på, men da det tilsyneladende er ud over det nye personales evner at vedligeholde en SPF record på et domæne, fandt jeg først den besked i min SPAM mappe  i sidste sekund.
Da jeg høfligt ville gøre Hostgator opmærksom på deres SPF record problemer stiftede jeg for første gang bekendtskab med deres nye supportorganisation. Hvor man før i tiden altid blev hjulpet af virkelig kompetente folk, er Hostgator nu skiftet til det man kalder “Multi-tiered technical support“, det betyder i praksis at hvis man skal bruge kompetent support er det nu en flere dage lang process at kæmpe sig frem til en level 3 supporter, og vejen dertil stiller meget høje krav til ens tålmodighed og humør.

Nå, men det lykkedes da til sidst at blive flyttet over på den her nye meget kraftigere server, og så burde alt jo være godt… Det føltes dog ikke helt godt, min blog virkede lidt træg i det, og alle administrative operationer gik mærkbart langsommere. Efter en måneds tid tog jeg et kig i Google Webmaster Tools, og kunne konstatere at Google er helt enig i at tingene ikke kører så godt som de har gjort. Serverskiftet skete 1. Juli, hvilket man tydeligt ser i form af langt dårligere performance på grafen herunder.

Google crawl speed

Efter at have dobbelttjekket hele opsætningen af min WordPress installation, kontaktede jeg så Hostgator support med henblik på at få gjort noget ved den forringede performance. Det blev en meget lang og 100% nyttesløs dialog. Hostgator er bare ikke længere den gode webhost  de var engang. 🙁

Jeg har nu flyttet min blog m.m. over på en VPS  løsning hos DigitalOcean.

Google Apps DMARC implementering

Google Apps
Nu har jeg efterhånden et par gange hjulpet folk med at implementere DMARC på en Google Apps hostet mailløsning, så det må være på tide at få skrevet det ned.
Du kan bruge denne vejledning uden at komme galt afsted hvis du afsender alt dit domænes email gennem Googles servere, dvs ikke noget med at en enkelt bruger eller en enkelt webserver på domænet lige bruger noget andet end Googles SMTP servere til udgående email.
Tip en ven/Send til en ven, som findes på en del hjemmesider kan hvis de er lavet forkert (og de er de fleste af dem) godt give problemer med email som ikke kommer frem til dig.

SPF

Først skal du have oprettet en SPF record, hvis du ikke allerede har sådan en på dit domæne. En vejledning i hvordan det gøres kan man finde på Googles hjælpeside om SPF records. Når du mener du har gjort det så husk at checke den ser rigtig ud ude i verden, det kan du f.eks gøre med dmarcian.com SPF Query værktøjet. Bare indtast dit domænenavn og tryk på survey knappen. Er du mere til kommandolinje kan du også bruge nslookup
nslookup -type=txt schack.dk
Server: 8.8.8.8
Non-authoritative answer:
schack.dk text = "v=spf1 include:_spf.google.com ~all"

DKIM

Så skal vi til den lidt sværere del, aktivering af DKIM signaturer på din udgående email fra Google.

Login i din Admin console for dit domæne hos Google

Vælg Google Apps

Vælg Gmail

Vælg Authenticate email

Kopier TXT record værdien ind i en teksteditor, det er den som starter med v=DKIM1…

Opret en ny TXT record i DNS for dit domæne, navnet skal være google._domainkey.domænenavn, f.eks google._domainkey.schack.dk

Test at TXT recorden er blevet oprettet korrekt, med nslookup gøres det sådan her for mit domæne:

nslookup -type=txt google._domainkey.schack.dk
Server: 8.8.8.8
Non-authoritative answer:
google._domainkey.schack.dk text = "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC..."

Når din TXT record er blevet synlig ude i verden er du klar til at trykke på Start authentication knappen i din admin console hos Google. Dette skulle gerne resultere i at statusbeskeden på samme side skifter til Status:Authenticating email

DMARC

Nu hvor SPF og DKIM er kørende er forudsætninger for DMARC implementeringen på plads.
En vigtig feature ved DMARC er de rapporter mailudbydere rundt omkring i verden leverer med feedback, rapporterne leveres ikke i et læsevenligt format, så jeg vil anbefale du opretter en DMARC rapporteringskonto hos dmarcian.com, det er gratis så længe du afsender under 100000 emails om måneden.
Når du har oprettet en konto hos dmarcian.com får du en rapporteringsemailadresse, den har formen :

xxxxxxxx@ag.dmarcian.com

Så kan du endelige oprette den sidste DNS TXT record som sætter det hele igang. TXT recorden skal have navnet : _dmarc.domænenavn, f.eks _dmarc.schack.dk. Til at starte med vil jeg anbefale du anvender værdien:

"v=DMARC1; p=none; pct=100; aspf=s; adkim=s; rua=mailto:xxxxxxxx@ag.dmarcian.com;"

hvor xxxxxxxx@ag.dmarcian.com er den emailadresse du fik da du oprettede en konto hos dmarcian.com.

p=none betyder du kører i monitor mode, dvs mailudbyderne overvåger din email og leverer rapporter til din konto hos dmarcian.com, men gør derudover intet.
Rapporterne opdateres som standard en gang i døgnet, så i løbet af et par dage burde du have lidt data på din rapportkonto. Send eventuelt et par emails til dig selv for at være helt sikker 🙂
Når du har kørt i monitormode et stykke tid og er helt sikker på alt stadig virker som det skal kan du udskifte p=none med p=quarantine eller p=reject

Nyt look på min blog

henrik.schack.dk på smartphoneInspireret af Googles indlæg om hvor vigtigt det er at give smartphone brugere en god oplevelse på ens site, besluttede jeg mig for det var på tide at udskifte temaet på min blog. Mit gamle tema ikke var specielt smartphone venligt, og bliver heller ikke længere vedligeholdt.

Som nyt tema valgte jeg Ryan Hellyers tema Hellish Simplicity.

Ved samme lejlighed fik jeg også ryddet op i alle de HTML valideringsfejl der før var på min blog, det krævede dog udskiftning af et par plugins, samt et enkelt nyt.
Mange af de Facebook og Google+ plugins som findes leverer ikke valid HTML, men efter en hel del test lykkedes det mig dog at finde et par brugbare plugins.

Jeg kan anbefale Facebook Likes You! og Google +1 button automator.
Til at fjerne de valideringsfejl en kategoriliste widget kan give anvender jeg  WordPress Fix HTML5 Validation pluginet.

 

Bankernes emailsikkerhed

Creditcard Phishing
At bankerne i Danmark har en udfordring mht. Phishing er almindelig kendt, personligt modtager jeg regelmæssigt Phishing emails der skal forestille at komme fra min egen bank, men også fra banker hvor jeg slet ikke er kunde.
Problemet er så udbredt at nogle af bankerne har dele af deres hjemmeside dedikeret til at advare/hjælpe kunderne i forbindelse med Phishing.
Det er selvfølgelig èn måde at gribe problemet an på, lad den ubehagelig skade ske, og gå så ellers igang med at rydde op efter bedste evne.

Men lad os nu være ærlige, det er altså en lidt kluntet, for ikke at sige direkte dum måde at klare udfordringen på, faktisk er det stort set ligeså dumt, som at undgå graviditet ved hjælp af aborter og fortrydelsespiller frem for prævention 🙂

Nu sidder du måske og tænker: Jamen kan det nu passe, bankerne gør vel hvad de kan for at forhindre Phishing imod deres kunder ?
Lad mig slå fast med 7-tommer søm, bankerne i Danmark gør intet effektivt for at forhindre/forebygge Phishing imod deres kunder. Når det drejer sig om emailsikkerhed er de fleste danske banker teknisk set ca. 8-10 år bagud.

Løsning:
Bankerne skal implementere SPF og DKIM, derved får de mulighed for også at implementere DMARC. DMARC er nøglen til effektiv bekæmpelse af Phishing. Det er ikke en 100% sikker løsning, kundernes generelle IT kundskaber er stadig en faktor, men det er uendelig meget bedre end ingenting at gøre.

I tabellen herunder kan du måske finde din egen bank, og se hvor meget lidt de gør for at beskytte dig imod Phishing.

 

BankSPFDKIMDMARC
Alm Brand bankNej?Nej
AndelskassenNej?Nej
Arbejdernes LandsbankJaNejNej
Balling SparekassenNej?Nej
BanknordikNej?Nej
BasisbankNej [1]?Nej
BRF Kredit og bankJa [2]?Nej
Broager sparekasseNej?Nej
CarnegieJa?Nej
Danske BankJaJaJa [3]
Diba bankNej?Nej
Djurslands bankJa?Nej
Dragsholm sparekasseNej?Nej
Dronninglund sparekasseNej?Nej
Sparekassen FaaborgNej?Nej
FIH ErhvervsbankNej?Nej
FinansbankenNej?Nej
Frøs Herreds sparekasseNej?Nej
HandelsbankenJa?Nej
Jyske BankJa?Ja [3]
Lån & Spar bankNej?Nej
NordeaJa [2]?Nej
NykreditNej [1]NejJa 5
PaiiJaNejNej
Salling BankJa?Nej
Saxo PrivatbankNej?Nej
SydbankJaNejNej
Vestjysk BankNej?Nej
NetsNej [1]NejNej
BeeptifyJaJa[4]Nej
SwippJaNejNej

? Jeg har ikke kunnet teste om banken understøtter DKIM idet det kræver banken sender en email til mig.
[1] SPF record er teknisk defekt.
[2] Anvender SPF features som ikke alle mailudbydere understøtter.
[3] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.
[4] Anvender forkert DKIM signatur på vigtige emails (Password recovery osv.).
[5] Anvender reject policy på subdomæner, men ellers kun monitor policy se [3]

Danske Bank fortæller om Phishing
Nykredit fortæller om Phishing
Nordea fortæller om Phishing
Jyske Bank fortæller om Phishing