Sikkerhedsfirmaers emailsikkerhed
Oprindeligt troede jeg det her skulle have været verdens korteste indlæg, noget i stil med : Alt OK, intet at sætte en finger på.
Der findes vel ikke et sikkerhedsfirma som vil risikere ydmygelsen ved at kunderne bliver forsøgt phishet med email fra sikkerhedsfirmaets eget domænenavn ?
Ak, jeg blev klogere 🙁
Firmaer som lever af at være på forkant med udviklingen når det drejer sig om sikkerhed, har tilsyneladende ikke noget problem med at halte flere år bagefter udviklingen når det drejer sig om deres egen sikkerhed. Lad os håbe der ikke er andre områder hvor det også kniber med at holde sig opdateret.
Jeg skal huske at fremhæve et enkelt firma i min miniundersøgelse, Android/iOS Antivirus firmaet Lookout har helt styr på deres egen emailsikkerhed.
[table id=3 /]
? Jeg har ikke kunnet teste om firmaet DKIM signer deres email, det kræver firmaet sender en email til mig.
[1] SPF record er teknisk defekt.
[2] DMARC konfigureret i monitor mode, dvs ingen reel beskyttelse for brugerne.
2015-03-14: DK CERT har endelig, år efter min første henvendelse fået fixet deres invalide SPF record.
2015-06-11: AVG har endelig efter en hel del opfordringer på Twitter fået fixet deres SPF record.