mac.com, me.com og icloud.com

De Apple ejede email domæner mac.com, me.com og icloud.com har nu en DMARC quarantine politik.
Du kan derfor ikke længere anvende din Internet udbyders SMTP server til at afsende den slags email, men skal i stedet for anvende Apples SMTP servere.
Her finder du Apples SMTP indstillinger
Bruger du en email adresse på et af de ovennævnte domæner f.eks. som afsender adresse hos MailChimp eller en anden email service provider, skal du skifte til et andet domæne.

SPF record tips

SPF record tips & tricks

SPF standarden beskriver den simpleste form for email authentication der eksisterer.
SPF har været i brug siden ca. år 2005.
Enhver domæneejer bør kende til og anvende SPF, sådan lidt i stil med alle der færdes i trafikken skal kende færdselsloven og overholde den.
Men, hvor det i trafikken er forbudt ved lov at udsætte sig selv eller andre for fare, så forholder det sig helt anderledes på Internettet, her er der nærmest ingen regler for hvor usikkert  man kan slippe afsted med at opføre sig.

Mange domæner anvender ikke SPF.
Andre har problemer med implementeringen, og ender med  en konfiguration som ikke virker.

Jeg har kigget på rigtig mange SPF records gennem årene, og i forhold til de defekte SPF records, er der en sær form for system i rodet, det er de samme fejl man ser igen og igen.

Copy/Paste

Det er meningen der skal tænkes lidt over hvad man fylder i sin SPF record, en del vælger en Google søgning istedet, finder en ældgammel artikel om SPF records og kopierer noget derfra.
SPF records som starter med “v=spf1 a mx ptr” er der for det meste ikke tænkt meget over, de kan typisk godt tåle en kritisk gennemgang.
F.eks bør man ikke anvende ptr udtrykket i en SPF record.

Copy/Paste fra Microsoft Word

Lad være med at kopiere fra Word/Excel direkte ind i et DNS webinterface, det kan give nogle besynderlige resultater.
F.eks:

v=spf1 ip4:194.255.119.0/26 ip4:213.150.59.247/32 include:spf.comendosystems.com\226\128\147all

som nok i stedet for skulle have været:

v=spf1 ip4:194.255.119.0/26 ip4:213.150.59.247/32 include:spf.comendosystems.com -all

Kilde: Folketingets domæne ft.dk 14/7/2018

MX udtryk + G-Suite/Office365

Anvender du G-Suite eller Office365 til email, skal du have “include:_spf.google.com” eller “include:spf.protection.outlook.com” i din SPF record, et “mx” udtryk er fuldkommen overflødigt og bidrager kun til at øge antallet af DNS opslag som kræves for at evaluere din SPF record.
Der er en grænse på max 10, så det er en dårlig ide med overflødige udtryk.

Blind tillid til email service providers

Email service providers (3. parter) lever af at sende email, så det ville være naturligt at tro de har fuldkommen styr på samtlige email standarder incl. SPF.
De har de imidlertid ikke, faktisk kan jeg kun komme i tanke om en enkelt email service provider som formår at beskrive SPF rigtigt i sin dokumentation.
Hovedparten af alle email service providers kan ikke kende forskel på SenderId og SPF, og det til trods der er en ganske væsentlig forskel på hvordan de virker.
Som udgangspunkt, kan du regne med at email service providers beder dig lave ændringer i din SPF record som ikke har noget med SPF at gøre. Og ja, jeg ved det lyder helt skørt, men det bliver det ikke mindre rigtigt af.
Her kan du læse mere om SenderId vs. SPF.

Manglende oprydning

Indtil 2012 kunne man med rette være lidt bange for at rydde op/slette noget i en SPF record, man arbejdede lidt i blinde og kunne nemt komme til at slette noget som stadig var i brug.
Sørger man for at implementere DMARC har man ikke den slags problemer, så fortæller ens DMARC rapporter helt tydeligt hvad der er i brug.

Parkerede domæner

Mange firmaer ejer en stor samling domæner. Det kan dreje sig om lookalike domæner, produktnavne, gamle produktnavne, fremtidige produktnavne osv.
Ved at have domænerne registreret, men intaktive, beskytter man sig f.eks mod typosquatting.
De fleste firmaer glemmer desværre at beskytte domænerne mod email misbrug.
For et lookalike domænes vedkommende betyder det man nærmest giver de kriminelle en hjælpende hånd når de beslutter sig for at rette et phishing angreb mod firmaets kunder.
Her kan du læse om hvordan du beskytter et parkeret domæne

Mere end en SPF record

SPF standarden dikterer at man kun have en SPF record pr. domæne/subdomæne, så når man ønsker at tilføje noget, skal det tilføjes til den allerede eksisterende SPF record.

Test dine ændringer

Der findes masser af gratis værktøjer som på sekunder kan fortælle dig om du har lavet fatale fejl i din SPF record.
Personligt anvender jeg altid Dmarcians SPF Survey

Spørg hvis du er i tvivl

Internettet er, ud over at være arbejdsplads for kriminelle, distributionskanal for fakenews plus en masse andet skidt, også stedet hvor du kan finde flinke og hjælpsomme mennesker som gerne giver en hånd når du sidder og bøvler med et teknisk problem.

Læsestof om SPF:

Hjælper du kriminelle?

Donating to crime

Nej, du hjælper nok ikke de kriminelle med fuldt overlæg, men dårlig email sikkerhed kombineret med et par andre uhensigtsmæssigheder, kan gøre at du alligevel hjælper dem, eller ihvertfald gør deres arbejde betydeligt nemmere.

DMARC
Har du ikke implementeret DMARC på dit domæne, gør du det ekstremt nemt for kriminelle at sende forfalskede og særdeles vellignende emails med dit eget domæne som afsender.
En SPF record er i forhold til phishing værdiløs.
Din lokale ekspert som hårdnakket påstår en SPF record er løsningen på falske emails, ja ham må du bede om at læse SPF standarden lidt mere grundigt, der er noget helt grundlæggende han har misforstået.

Referencer
Er du et af de firmaer som skilter med dine B2B kunder og samarbejdspartere på din hjemmeside, har du givet de kriminelle endnu en hjælpende hånd. Med den information ved de også hvem de kan rette et spear phishing angreb imod.

Medarbejderoversigt
Er du derudover også et af de firmaer som har en medarbejderoversigt liggende på din hjemmeside, med titler, navne og emailadresser, så ved de kriminelle også præcis hvilken falsk identitet de skal antage.

Alt i alt er det ikke så svært utilsigtet nærmest at opfordre til kriminalitet. Der er ikke rigtig nogen lov som forbyder ovenstående scenarie, men er du glad for, eller måske ligefrem afhængig af dine kunder, vil jeg anbefale ikke at udsætte dem for fare som i sidste ende vil pege tilbage på dig.

 

 

SPF er ikke SenderID

You are using it wrong
I Januar måned oprettede jeg status.dmarc.dk, hvor man kan se email sikkerheds status for en række udvalgte domæner.
At firmaer over en bred kam ikke bekymrer sig om email sikkerhed er ikke den store nyhed.
Men det er en smule skræmmende at se hvor store problemer der er med at implementere SPF korrekt, vi taler om en over 10 år gammel standard som i nogle tilfælde end ikke store velrenomerede IT firmaer magter at implementere korrekt.

Hvordan kan så mange mislykkes med at implementere noget så forholdsvis simpelt som SPF?

Lad os starte med at se på hvad SPF egentlig er. SPF standarden er defineret i RFC7208.
Indrømmet det er bestemt ikke læselet læsning, men når man bare igennem introduktionen vil man forstå at SPF beskytter MAIL FROM domænet mod uautoriseret brug.

Næste ting vi skal have slået fast: MAIL FROM domænet er ikke det domæne du kan se som en del af afsender emailadressen i din email klient. 1
MAIL FROM adressen/domænet kan du se hvis du kigger i de rå headers der hører til en email.
Her er et eksempel på en MAIL FROM emailadresse i en email fra Proshop. 2

3fc.c.507834095.j3786771-20809254@proshop.anpdm.com

MAIL FROM domænet er i dette tilfælde

proshop.anpdm.com

Det vil sige SPF recorden som var gældende da jeg modtog denne email skal man kigge efter på ovenstående domæne,  og ganske rigtigt, der finder man en SPF record som whitelister APSIS email infrastrukturen.
Hvorfor i alverden inkluderer Proshop så APSIS SPF recorden i roden af proshop.dk domænet?
Ja det er et godt spørgsmål. men det har ihvertfald ikke noget med SPF at gøre.
Der er flere mulige forklaringer.

  • Email service provideren aner ikke hvordan SPF virker, det tror jeg nu ikke er tilfældet når vi taler om APSIS, men jeg har talt med mange hvor det var forklaringen.
  • Man forsøger at understøtte den forældede SenderID standard, på en særdeles uelegant og kluntet måde.

Lad os kigge lidt nærmere på SenderID. M3AAWG som er en sammenslutning af firmaer der modtager tæt på alle de emails du sender, skriver meget diplomatisk:

SenderID deprecation
SenderID is a deprecated standard that was intended as an alternative to SPF. SenderID was
officially deprecated with the publication of RFC7208 in 2015, and is no longer considered when
authenticating email. SenderID records can be identified by their v=spf2.0 prefix.
A record that starts with this prefix should not be used and any such record should be deleted.

Kender man lidt til SenderID syntax og fallback til SPF syntax når en SenderID record ikke eksisterer kunne man lave denne lidt mindre diplomatiske oversættelse:

SenderID er død, stendød, hold op med at understøtte det. Skal du død og pine understøtte SenderID, så hav i det mindste anstændighed nok i livet til at anvende den korrekte SenderID syntax, så du ikke samtidig gør skade på eksisterende SPF records. :-)

Lad os komme igang med at få ryddet op efter SenderID, uhyggeligt mange SPF records indeholder include statements som ikke burde være der. Overflødige include statements er den altoverskyggende største årsag til defekte SPF records.

 

1 SPF er dermed i praksis virkningsløs som beskyttelse mod phishing.
2 Jeg har intet imod hverken Proshop eller APSIS, jeg brugte ganske enkelt det seneste nyhedsbrev jeg har modtaget som eksempel.

Kilder:
M3AAWG Best Practices for Managing SPF Records.
SPF vs. SenderID

Dinero – Det sikre valg

Dinero logo

Regnskabsprogrammet Dinero har taget DMARC i brug, vel at mærke en fuld implementering med en reject policy.
I praksis betyder det at Dinero nu beskytter både sig selv, kunderne og kundernes kunder mod falske emails.

Står du og mangler et godt regnskabsprogram?
Vil du gerne beskytte dine kunder mod falske emails?
Så er det helt klart Dinero du skal vælge.

Det er ikke lykkedes at finde andre udbydere af regnskabsprogrammer med en tilsvarende god email sikkerhed.

Hvor lang tid tager det at implementere DMARC ?

Det er meget forskelligt fra firma til firma, implementeringstiden afhænger af en del faktorer.
Det hurtigste jeg selv har implementeret for et firma tog 2 timer, den længste implementeringstid jeg har hørt om er omkring 4 år.

 

 

Et par ting der kan forlænge projektet:

  • Jo mere kompleks den eksisterende email løsning er, jo længere tid tager det at blive DMARC compliant.
  • Eksterne email leverandører som enten ikke kan eller vil sende DMARC compliant email kan forlænge projektet, f.eks hvis bliver nødt til at skifte til en anden leverandør.
  • Usamarbejdsvillige DNS og email ansvarlige personer, ja det lyder helt forkert, men der findes en del personale rundt omkring, som synes email og DNS skal fungere som det gjorde i slutningen af sidste årtusinde.

Et konkret eksempel:
Google Apps email + MailChimp nyhedsbrev + WordPress blog, i alt 2 timer.

 

Er Microsoft Sender ID dødt ?

Er Microsoft Sender ID dødt, halvlevende eller lever det i bedste velgående ? Det er faktisk ikke et helt nemt spørgsmål.

Lad os starte med lidt historie.

Sender ID og SPF er egentlig nogle eksperimenter som startede tilbage i April 2006, de er beskrevet i RFC 4406, RFC 4407 og RFC 4408.

Sender ID viste sig at være skruet lidt forkert sammen, så følger man standarden slavisk, og samtidig anvender 3. parts afsendere,  kan det resultere i en del problemer, læs eventuelt mere om  Sender ID problemer

Seks år efter Sender ID og SPF eksperimenterne startede, forsøgte man at komme frem til nogle konklusioner i RFC 6686, baseret på en masse indsamlede data.
Det er lidt svært  at se nogle egentlig konklusioner, udover at mange anvender SPF og ikke så mange anvender Sender ID.
En egentlig konklusion skal man nok finde i RFC 4408bis, her kan man se at SPF er tæt på at blive en officiel Internet standard, et lignende dokument kan man ikke finde for Sender ID.

Så for at vende tilbage til det oprindelige spørgsmål om hvorvidt Sender ID er dødt, så må svaret blive: Måske ikke helt, men det for længst blevet overhalet  af DMARC som kan alt Sender ID kan plus meget mere.