Emailsikkerhed hos folketingspartierne

Hvordan står det egentlig til med emailsikkerheden hos vores folketingspartier ? Kan man stole på at en email der udgiver sig for at være afsendt af f.eks socialdemokraterne rent faktisk også er det ?
Det korte svar er desværre : NEJ.

Det lidt længere svar: Folketingspartierne gør intet effektivt for at forhindre deres maildomæner kan misbruges til udsendelse af falske emails, eneste undtagelse fra reglen er Liberal Alliance, hvis de lige fik etableret en DMARC record, ville de faktisk være rigtig godt kørende.
Herudover overholder flere af partierne ikke god skik og brug når det drejer sig om tilmelding til deres nyhedsbreve.

PartiSPFDKIMDMARCDobbelt Opt-in
SocialdemokraterneNejNejNej? [1]
Radikale venstreNejNejNejJa
KonservativeNej [2]NejNej? [3]
SFJaNejNejNej
Liberal AllianceJaJaNejJa
Dansk FolkepartiNejNejNejNej
VenstreNejNejNejNej
EnhedslistenNejNej [4]NejJa
Folketinget (@ft.dk)JaNejNejJa

[1] Det var ikke muligt at tilmelde sig socialdemokraternes nyhedsbrev, virkede ikke på testtidspunktet.
[2] SPF record er teknisk defekt.
[3] Manuel process, min anmodning er endnu ikke blevet behandlet.
[4] Der anvendes en 3. parts DKIM signatur på email. Ikke meget bevendt.

SPF – simpelt forklaret

Email og envelope Mange mennesker har hørt om SPF i forbindelse med emailsikkerhed, knap så mange mennesker er rent faktisk istand til at forklare lige præcis hvad det er man sikrer med SPF.
Her kommer et forsøg på at forklare tingene så Hr og Fru Danmark også kan være med.

En email ligner et brev mere end man lige umiddelbart skulle tro, den består ligesom et almindeligt brev af 2 dele, en konvolut (envelope) og selve brevet. Der er dog også en ganske væsentlig forskel, når der er tale om en email er konvolutten skjult med mindre man direkte beder om at få den vist, det er der ikke særligt mange der gør idet en email konvolut er en omgang pænt forvirrende tekniske data at kigge på, og det er lige præcis det IT kriminelle lever højt på når de udsender email som skal frarøve os personlige oplysninger og penge. (Phishing)

Ved hjælp af SPF kan man sikre sig at ingen uautoriserede anvender ens email konvolutter..

Hvis du nu sidder og tænker .. Jamen det er da ikke noget der hjælper os almindelige brugere.. Så kan jeg kun give dig 100% ret.

Desværre er SPF typisk den eneste emailsikkerhed man anvender her i Danmark, på trods af der findes langt mere sikre løsninger.

MobilePay fra Danske Bank

Mobilepay fra Danske BankDanske Bank har netop forleden offentliggjort deres bud på mobile betalinger. Herfra skal der lyde hurraråb, højlydt klappen, samt respekt for personerne der har udtænkt og implementeret den app.

Der er ganske enkelt tale om supergodt arbejde, så med lidt dygtig markedsføring, lidt afstandstagen fra Geyrgribben (også over tid) og lidt held kunne MobilePay nemt gå hen og blive standarden for mobile betalinger her i Danmark.
Misforstå mig ikke, der er ikke tale om en kåring af en vinder af mobile betalinger i Danmark, der er ingen tvivl om MobilePay nok skal blive udfordret af de andre bankers fællesløsning Swipp

Men, det er under alle omstændigheder et godt bud vi her ser fra Danske Bank, og ikke at forglemme, de er først på markedet med noget der rent faktisk virker.

Jeg er imidlertid nok ikke den eneste som er begejstret for MobilPay, når de IT kriminelle får øje på app’en vil de helt sikkert også sidde og klappe i hænderne over udsigten til en masse lettjente penge.
Det er slet ikke svært at forestille sig Phishing email i stil med:

Der gik noget galt i forbindelse med din sidste Mobilepay transaktion, 
vi kunne ikke hæve penge fra dit betalingskort, bekræft venligst dine
kortoplysninger her .........

Slot på ros, nu er det tid til lidt ris.

Danske Bank kunne gøre danskerne en stor sikkerheds tjeneste ved at sende deres IT/Sikkerhedsfolk afsted på kursus for at lære lidt om nutidig email sikkerhed.

Lad mig uddybe.

Noget tyder på Danske Bank har tænkt sig at anvende domænenavnet mobilepay.dk til markedsføring af MobilePay, domænet hoster ihvertfald ligenu en redirect til MobilePay siden på Danske Banks almindelige hjemmeside.
Under alle omstændigheder er det ikke helt virkelighedsfjernt at forbinde domænenavnet mobilepay.dk med mobilbetalingsproduktet MobilePay.

Emailsikkerheden på mobilepay.dk ser ligenu således ud:
Ingen SPF record.
Ingen DMARC record.
Domænenavnet mobilepay.dk står med andre ord til fri afbenyttelse for alle der måtte have lyst til at misbruge det til Phishing.

At emailsikkerheden på danskebank.dk også trænger til et serviceeftersyn er gamle nyheder så det vil jeg undlade at grave i.

Der er ikke noget at gøre, jeg bliver nødt til at uddele en dobbelt facepalm til Danske Banks Sikkerhedsfolk, en enkelt facepalm kan ganske enkelt ikke udtrykke det.

Double facepalm

Opdatering 04/07/2013: Danske Bank ser ud til at være igang med at implementere DMARC, de har ihvertfald nu en DMARC record på danskebank.dk domænet.
Opdatering 09/11/2013: Danske Bank har nu en DMARC reject policy på mobilepay.dk domænet.

DMARC rapportering og overvågning

Min første tanke da jeg hørte om DMARC var noget i stil med “Uha, reject af emails, hvad nu hvis jeg glemmer noget i min opsætning, det kan jo gå helt galt”
Det viste sig imidlertid at være en helt unødvendig bekymring, har man først fået SPF & DKIM op at køre kan DMARC implementeres 100% risikofrit.

DMARC sættes op til at operere med en af 3 mulige policyer.

None/Monitor
Med denne policy overvåger man blot hvad der kunne ske hvis man havde valgt Quarantine eller Reject.
Det er typisk denne policy man starter med.

Quarantine
Med denne policy sendes email som ikke er DMARC kompatibel direkte i SPAMmappen.

Reject
Med denne policy afvises email som ikke er DMARC kompatibel.
Denne policy anvendes når man er i fuld drift.

Selve overvågningen sker ved at man fra alle de mailudbydere som uderstøtter dette modtager emails indeholdende information om DMARC tilstanden på de emails der er modtaget med ens domæne som afsender.
Man vil typisk modtage rapporter fra Google, Yahoo, AOL, LinkedIn og måske et par Russiske og Asiatiske mailudbydere. Microsoft skulle også forestille at udsende rapporter, men gør det ihvertfald ikke lige pt.
De rapporter man modtager er nogle sværtlæselige XML filer, heldigvis findes der flere gratis tjenester på nettet som kan tage sig af selve databehandlingen, og præsentere ens data så man rent faktisk kan få noget brugbart ud af dem. 🙂

DMARC databehandling.
Overvejer du at gå igang med DMARC bør du tage et kig på dmarcanalyzer.com og dmarcian.com, begge tjenester er som nævnt gratis, og har hver deres styrker.
Bemærk, selvom der er tale om gratistjenester kan de sagtens anvendes til databehandling for større virksomheder uden problemer.

Her er et par screenshots som viser data fra schack.dk domænet over nogle måneder.

dmarcanalyzer.com grafisk-overblik

dmarcanalyzer.com grafisk-overblik

dmarcanalyzer.com detaljer

dmarcanalyzer.com detaljer

DMARC implementering på et parkeret domæne

Er du ejer af nogle parkerede domæmer, altså domæner som du aldrig har fået tid til at gøre noget ved siden du i sin tid købte dem ?
Hvis ja, så kunne du gøre resten af verden en tjeneste ved at sikre uvedkommende idet mindste heller ikke kan bruge dem f.eks i forbindelse med udsendelse af SPAM.

Det er forholdsvis simpelt, jeg bruger lige schack.dk domænet til demonstration.

1) Opret en SPF record som ikke tillader nogen at afsende email.

schack.dk. 86400 IN TXT “v=spf1 -all”

2) Opret en DMARC record med reject policy

_dmarc.schack.dk. 86400 IN TXT “v=DMARC1\; p=reject\;”

DMARC recorden betyder oversat til normalt dansk at alle emails fra schack.dk domænet SKAL kunne passere et SPF & DKIM check, og er dette ikke tilfældet skal modtageren bare “afvise dem i døren”

SPF, DKIM & DMARC Spambeskyttelse

Jeg har i mange år interesseret mig for lidt for SPAM som en naturlig følge af at have stået for driften af et par mailserver nogle år.
Jeg har rodet med Whitelisting, Blacklisting, Greylisting, DNSBL og ikke mindst SpamAssassin / Amavis

Jeg plejer at inddele SPAM i 2 typer:

Der er den slags SPAM som Magnus Kjøller sender ud, her er der tale om email der sendes ud til en masse emailadresser indsamlet på mere eller mindre lovlig vis, f.eks via Facebook, denne type SPAM er lidt speciel idet man gerne vil have det til at se ud som det er et respektabelt firma der står for udsendelsen, og derfor ikke gør noget for at skjule hvem afsenderen er. Den slags SPAM er rigtig svær at slippe af med. Man har sjældent særligt meget held med at afmelde sig disse firmaers mailinglister.

Så er der resten, lægemiddelspam, Phishing, Casinospam, Rolex ure osv, her gør man hvad man kan for at skjule hvem den egentlige afsender er, den slags SPAM afsendes næsten aldrig fra afsenderens eget maildomæne, man misbruger istedet mere eller mindre tilfældige personer og firmaers domænenavne til at afsende email med falsk afsender.

Sidstnævnte slags SPAM kan vi gøre noget ved, ja, jeg skrev VI, det kræver nemlig en fællesindsats af alle der ejer et eller flere domænenavne.
Der skal udvises lidt ansvarlighed, i bund og grund er det ikke så meget anderledes end færdselsloven, der påbyder dig at låse din bil når du går fra den så ikke alle og enhver kan tage og bruge den.

Det er et par teknologier som i teorien kan anvendes til at gøre det ret besværligt for fremmede at misbruge dit domænenavn til SPAM udsendelse.

SPF
SPF går kort fortalt ud på at du ved hjælp af en simpel TXT record i DNS fortæller verden hvilke mailservere der må udsende email med dit domæne som afsender.

DKIM
DKIM er en digital signatur på nogle udvalgte mailheaders, bla. afsenderadressen. Ejeren af et domæne styrer ved hjælp af DNS hvem der kan udstede disse signaturer.

Fælles for SPF & DKIM er imidlertid at det er meget få mailservere ude i verden som “tør” afvise en email pga. en forkert DKIM signatur eller fordi emailen er afsendt fra en mailserver som ikke optræder i SPF recorden, alt i alt har vi altså et par smarte teknologier som ikke i praksis virker helt efter hensigten.

DMARC
I starten af 2011 satte nogle af de helt store spillere på mailområdet sig så sammen for at finde på noget smartere, og resultatet blev DMARC
DMARC er en kombination af SPF & DKIM, som lukker de huller/svagheder SPF & DKIM har hver for sig. Og næsten vigtigst, hvis et domæne hævder at udsende DMARC kompatibel email så afvises email rent faktisk hvis det ikke er tilfældet.

Alt i alt er teknikken der nu til at gøre en seriøs indsats for at mindske mængden af SPAM & Phishing.

Læs mere om DMARC

Dansk SPAM

Magnus Kjøller, SPAM boss hos CM Network A/SI de gode gamle Internet dage, altså for 2-3 år siden, var Spam næsten altid noget der kom fra udenlandske afsendere, ikke sådan at forstå at den slags ikke stadig eksisterer, jeg får skam dagligt bunker af Spam vedrørende Viagra, Cialis og hvad det nu ellers altsammen hedder og ikke mindst masser af Spam fra giftelystne unge kvinder fra de baltiske lande. Den slags fanges iøvrigt ganske automatisk af Googles fremragende Anti-Spam system så jeg ser det ikke med mindre jeg giver mig til at rode i min Spam mappe.
Dansk Spam derimod, har været et sjældent syn, når man altså lige ser bort fra de par “uheld” der sker for danske firmaer engang imellem.
Men for et par måneder siden begyndte jeg pludselig at modtage dansk Spam, altså email skrevet på dansk og afsendt fra danske mailservere, ja du kender det måske selv, det drejer sig om email med emnelinjer som :

Vi sender dit nye TV med posten
Spis kvit og frit på Michelin-restaurant
Vi sender dit gavekort med posten
osv.

Pudsigt nok blev intet af det fanget af Googles Anti-Spam system, så jeg blev lidt nysgerrig og begyndte at grave i hvor det kom fra.
Et par hurtige Whois opslag hos DK-Hostmaster og lidt granskning af mailheaders viste at kilden var den samme for alt det Spam jeg modtog.
Sådan rent teknisk set blev det hele afsendt fra mailservere der står hos den danske hostingudbyder Jay.net
I første omgang kontaktede jeg Jay.net og bad dem få deres kunde til at holde op med at sende Spam til mig, men efter en måneds tid måtte jeg konstatere at Jay.net’s moral er solidt forankret der hvor pengene er, trods en del brevveksling med deres abuse afdeling blev mængden af Spam jeg modtog fra deres servere ihvertfald ikke mindsket.
Så valgte jeg at gå direkte til kilden som er

CM Network A/S
Algade 44,2
9000 Aalborg
+4598116450
http://www.cmnetwork.dk/

Firmaet er nogle rigtige banditter, er man først havnet i deres emaildatabase misbruges ens emailadresse lystigt af en stor del af deres kunder på trods af man aldrig har tilmeldt sig hos dem.
Efter en telefonsamtale med CM Network, modtog jeg en kvitteringsemail der oplyste at jeg var blevet slettet fra følgende systemer:
filmposten.dk, megabilligt.dk, rabatten.dk,vindenmasse.dk, pointcard.dk, pointblog.dk og pointshop.dk

Andre kendte danske Spam firmaer: (listen vil blive udvidet, hvis jeg får kendskab til flere)

MikkelsenMedia ApS
Ørstedsgade 28C
5000 Odense C
+4566190600
http://www.mikkelsenmedia.dk/

 

Orville Media ApS 
Hovedvagtsgade 8. 2tv.
1103 København K 
https://dk.orvillemedia.com/

Orville Media ApS, er nogle slemme banditter, de sælger dine informationer incl. din emailadresse til højre og venstre.

EM Medier
Postboks 113
8000 Aarhus

 

PHD Denmark
Dortheavej 3, 2. Sal
2400 København NV
http://www.phdmedia.com/Denmark/ står blandt andet bag DER og Leasy spam kampagnerne.

Update 9/10/2013: Jeg har søsat et lille projekt, som måske, hvis der er opbakning kan gøre noget ved dansk spam, interesseret ? Så tag et kig på http://spamnejtak.dk