DMARC nyt #8 - Ting tager tid hos NETS

DMARC, Sikkerhed, Teknik

nets_chaising_tail Phishing har altid været et problem for NETS, og problemet er bestemt ikke blevet mindre med tiden.
Jeg blev derfor helt glad på NETS vegne i starten af 2012 da DMARC blev en realitet.
Hold da fast tænkte jeg, det må være præcis hvad NETS og andre firmaer har gået og håbet på skulle ske, de er garanteret allerede igang med at implementere det.
Der skete imidlertid ikke noget, NETS oprettede ikke nogen DMARC record i DNS, ja selv deres kluntede og defekte SPF konfiguration var som den altid havde været.
Kunne NETS have overset nyheden om DMARC ? Det er godt nok lidt svært at forestille sig om et firma hvor sikkerhed bør have højeste prioritet.
13/8/2013 skrev jeg en email til NETS og forklarede lidt om hvad DMARC er og hvordan det ville kunne hjælpe dem af med en stor del af deres phishing problem.
En uges tid senere fik jeg svar
<br></br>Kære Henrik Schack<br></br>Mange tak for din henvendelse angående den phishing mail, som du har modtaget og dine forslag til hvordan Nets kan imødegå nogle af de udfordringer, som vi har med de mange phishing mails, der udgiver sig at være fra Nets.<br></br>Det er en problematik, som vi er meget opmærksomme på, og som vi i øjeblikket arbejder på at finde en løsning på.<br></br>Endnu en gang tak for din henvendelse.

Mvh
xxxxxxxxxx
xxxxxxxxxxxx, IT Security
Nets Norway AS

Det lød jo umiddelbart meget godt, der er styr på sagerne, Danmark kan snart se frem til en reduktion i mængden af NETS phishing email.
Over 2, næsten 3 år er gået siden den opmuntrende besked fra NETS, lad os tage et kig på hvad det ser ud til IT sikkerhedsafdelingen har bedrevet siden da i forhold til at komme phishing problemet til livs.

NETS_hard_at_work
Ingenting har de foretaget sig , for nu at sige tingene uden omsvøb, NETS phishing trives stadig i bedste velgående.
Graver man lidt dybere i teknikken vil man se:

  • NETS har stadig ikke en DMARC DNS record, ikke engang en med en monitor policy som kunne indikere de arbejder på sagen.
  • NETS har fortaget talrige opdateringer af deres SPF record gennem årene, de har dog på intet tidspunkt haft en fungerende SPF record, den har altid indeholdt alvorlige fejl [1]
  • NETS Office 365 konfiguration er ikke lavet med email sikkerhed i tankerne, der anvendes Microsoft default DKIM signaturer istedet for nets.eu DKIM signaturer.

[1] Udover elementære syntaxfejl, vidner indholdet i NETS SPF recorden om at man slet ikke har forstået hvordan SPF teknologien egentlig virker. SPF drejer sig ikke om RFC 5322.From headeren, men derimod om RFC 5321.From headeren.

Det er svært at drage en retfærdig konklusion udfra ovenstående idet jeg aldrig har arbejdet i NETS, men set “udefra” ser det ud som om man enten ikke prioriterer at få gjort noget ved phishing problemerne, eller alternativt ganske enkelt ikke kan finde hoved og hale i teknikken som skal anvendes til det.