DKCERT anerkender eksistensen af DMARC

Henrik Larsen, chefen for DKCERT skriver ca. 1 gang om måneden en interessant klumme på Computerworld.dk. Klummen indeholder denne gang et sikkerhedsmæssigt tilbageblik på 2016 samt en del gode ideer til hvordan vi kan tackle sikkerheden bedre/smartere i 2017.
I denne sammenhæng nævnes DMARC, helt præcist skriver Henrik Larsen

For det andet kan man indføre metoder til at filtrere e-mails fra, hvis afsenderadressen er forfalsket. Her er en teknologi som DMARC (Domain-based Message Authentication, Reporting & Conformance) et glimrende våben – men det kræver grundige test, før man sætter det i drift.

Den sidste sætning bliver jeg nødt til at kommentere lidt på.
DMARC i sig selv er en særdeles gennemprøvet sikkerhedsstandard. DMARC har været anvendt i produktion i tæt på 5 år, primært i udlandet da vi er ikke så hurtige til at tage ny email sikkerheds teknologi til os her i Danmark.
DMARC er fra bunden af designet til at det skal kunne lade sig gøre at lave en fuldkommen risikofri udruldning, og det er ikke tomme løfter, gør man tingene rigtigt er det helt risikofrit.

Apple sjusker med email sikkerheden


I Danmark tager man generelt ikke email sikkerhed alvorligt, masser af kendte firmaer og organisationer lader blot stå til mens de kriminelle misbruger deres domæner til phishing og spam.
Heldigvis findes der også firmaer som passer godt på deres kunder ved at implementere DMARC.
For at DMARC skal have en effekt kræves der imidlertid at ens email udbyder, altså der hvor man har sin email adresse, også understøtter DMARC.
De fleste email udbydere understøtter DMARC idag, har du din emailadresse hos Google, Microsoft, TDC, UnoEuro eller One.com er du godt sikret.
Der mangler dog et kendt firma på listen over sikre email udbydere.
Apples kunde email adresser er fuldkommen ubeskyttede når det drejer sig om phishing, herover kan du se et eksempel på en falsk email jeg har sendt til min @icloud.com email adresse, en falsk @paypal.com email ville blive afvist af de førnævnte sikre email udbydere.

 

TDC/Yousee tænker kundesikkerhed


Som den første rigtig store danske virksomhed har TDC/Yousee taget anti-phishing standarden DMARC i brug.
I praksis betyder dette at det ikke længere er muligt for kriminelle at udsende særdeles vellignende falske TDC/Yousee emails.
Set med kundernes øjne er det blevet langt nemmere at afsløre en falsk TDC/Yousee email, det er nu nok at kigge på afsenderadressen, sprog og link analyser behøver man ikke længere at bekymre sig om.
Både kunder, samarbejdspartnere og TDC selv kommer til at nyde godt af dette kraftige løft i email sikkerheden.

Det er værd at bemærke at TDC/Yousee har lavet en særdeles flot og effektiv DMARC implementering, ud over hoveddomænerne tdc.dk og yousee.dk har man også valgt at beskytte alle andre nuværende og historiske brands samt typosquatting domæner.

Godt gået TDC/Yousee!

Hvor lang tid tager det at implementere DMARC ?

Det er meget forskelligt fra firma til firma, implementeringstiden afhænger af en del faktorer.
Det hurtigste jeg selv har implementeret for et firma tog 2 timer, den længste implementeringstid jeg har hørt om er omkring 4 år.

 

 

Et par ting der kan forlænge projektet:

  • Jo mere kompleks den eksisterende email løsning er, jo længere tid tager det at blive DMARC compliant.
  • Eksterne email leverandører som enten ikke kan eller vil sende DMARC compliant email kan forlænge projektet, f.eks hvis bliver nødt til at skifte til en anden leverandør.
  • Usamarbejdsvillige DNS og email ansvarlige personer, ja det lyder helt forkert, men der findes en del personale rundt omkring, som synes email og DNS skal fungere som det gjorde i slutningen af sidste årtusinde.

Et konkret eksempel:
Google Apps email + MailChimp nyhedsbrev + WordPress blog, i alt 2 timer.

 

Danske firmaer med en DMARC reject policy

Det er ikke nemt at finde danske firmaer som holder sig opdateret når det drejer sig om emailsikkerhed.
3 firmaer med en DMARC reject policy har jeg dog kunnet finde.

Banker, teleselskaber og diverse halv-offentlige instanser (NemID, E-Boks, Borger.dk m.m.) hænger stadig fast i fortiden, og er for de flestes bedkommende ikke kommet længere end til udfordringer med at implementere SPF korrekt.
Tilsyneladende kniber det gevaldigt med kompetencerne hos store IT leverandører som CSC, IBM, KMD og JN Data når det drejer sig om email og DNS.

Salesforce DKIM support

Salesforce har endelig efter at have ladet kunderne vente i 7 år fået implementeret mulighed for at DKIM signe med kundens domæne : Salesforce DKIM feature request
Indtil dette blev en mulighed har Salesforce effektivt forhindret deres kunder i at lave en ordentlig DMARC implementering, nu kan de da i det mindste lave en halv implementering, ja jeg går ikke ud fra Salesforce er begyndt at understøtte DMARC SPF alignment.

MailChimp

Email service provideren MailChimp har nu gjort det muligt for deres kunder at DKIM signe med en signatur fra kundens eget domæne, så er vi ved at være tæt på at MailChimp kan sende 100% DMARC compliant email, nu mangler kun en kundespecifik ReturnPath.

 

TDC Sikkerhedsnyt

TDCs kunde emailserverplatform er tilsyneladende begyndt at afvise email fra domæner med en DMARC reject policy som fejler.

Det må siges at være godt nyt for TDC kunder som nu kan se frem til at modtage færre phishing emails.

 

Maillog fra en lille test jeg har udført:

relay=fpo.mail.dk[80.160.76.237]:25, delay=1.3, delays=0.02/0/1.1/0.25, dsn=5.7.1, status=bounced 
(host fpo.mail.dk[80.160.76.237] said: 550 5.7.1 msg rejected per DMARC policy for joke.dk