Skip to main content

    Dette er ein artikkel som byggjar på "SPF, DKIM og DMARC, kva er det?", og me vil derfor anbefale deg å lese den før du les vidare.
    I førre artikkel om e-post-tryggleik snakka me om SPF, DKIM og DMARC og kva dei ulike mekanismane hjelper oss å gjere. I denne artikkelen vil me snakka meir om kor vanleg det er å ha desse funksjonane implementert, kva som er fordelane med å ha alt på stell og kva type angrep ein kan bli utsatt for om ein ikkje har det på plass.

    Under .no-domenet er det 832805 domene registrert per 2022. Blant desse er det 117773 som er registrert på enkeltpersonar og 715022 som er registrert på verksemder. Det er ein enorm angrepsflate for ein angripar. Dersom angripar finn eit domene som ikkje er sikra, kan vedkommande utnytta domenet sin tillitt til det fulle. Kva ville du synst dersom kundane dine, eller andre verksemder, mottok e-postar som var sendt under ditt domene?

     

    Omfang

    Ettersom SPF, DKIM og DMARC ikkje vert snakka så mykje om kan ein ofte lura på kor mange det faktisk er som har det implementert i si verksemd, og ikkje minst: kor mange er det som har det riktig implementert?

    Det er umogleg å sjekke alle dei 832805 domene som finst i Noreg. Ein ting er at det tek mykje tid, men også fordi ein kan ikkje laste ned ei liste over alle domene frå Norid. Det me kan gjere er å sjå på statistikk gjort av ulike aktørar. DMARC360 har utført testar som visar i kva omgang DMARC og SPF er implementert i norske bankar. Testane er gjennomførte på 29 bankar i Noreg. Blant dei har heile 25 satt opp SPF og 20 DMARC. Dette er tall som er å forventa av bankar, men om me ser på kor mange som har gjort det totalt, ser tala meir dystre ut.

    I følgje tall frå spf-all.com er det 80.8% av alle domene som ikkje har SPF konfigurert. Det vil sei at statistisk sett er det 672906 norske domene som ikkje har SPF på plass. Av dei 159898 .no domene som har SPF satt opp, er det kun 32% som har brukt den strengaste regelen, hardFail. Ein regel som er anbefalt å bruke på SPF. Utan denne kan domenet misbrukast i fleire tilfelle.

    Om me ser på tall for DMARC, er det 79,7% som ikkje har implementert DMARC i det heile. Det tilsvarar 663745 norske domene. Alle desse domene kan i teorien misbrukast. Utifrå eigen erfaring er det riktig å tru at mange av dei som har DMARC implementert, er det ganske mange som har feile innstillingar.

     

    Fordelar med å ha alt implementert riktig

    Det er mange fordelar med å ha SPF, DKIM og DMARC implementert riktig. Dei fleste av oss tenkjer nok mest på at dei tre funksjonane er mest for å gjere det vanskelegare for ein angripar å misbruka selskapet sitt domene, men det finst fleire! 

    Ein annan særs viktig grunn til å ha alt på stell er at det er mange mottakarar som ser på korleis avsendar har sett opp SPF, DKIM og DMARC. Dersom avsendar ikkje har implementert, eller har feil i oppsettet, vil e-posten bli markert som søppelpost og i nokon tilfelle avvist før den i det heile landar i mottakar sin innboks. Det vil sei at om ein ansatt i ditt selskap sender ein e-post til ein kunde, kan e-posten ikkje bli levert, sjølv om den er sendt med gode hensikter. Som ein kan forstå kan slike problem ende med eit dårleg rykte for ditt domene, og folk/verksemder kan bli mistenkelege til dine e-postar.

    Ved riktig oppsett er det også enkelt for IT å finne ut om nokon misbrukar ditt domene ved utsending av e-post. Det finst funksjonar i DMARC som gjere at ein kan få gode rapportar på kvar e-postar blir sendt, frå kva system e-postane blir sendt og om e-postane bryt reglar satt opp i SPF, DKIM eller DMARC. Desse rapportane kan bli sendt inn til system som er laga for å analysera innhaldet og gjere dei meir visuelle. Det å prøve seg på å lese rapportane manuelt er ei tidkrevjande og utfordrande oppgåva. Basert på informasjonen frå rapportane kan IT gjere tiltak for å hindre at domenet blir misbrukt ytterlegare eller fikse problem som gjort av ansatte ved eige verksemd.

    Kva om eg ikkje har alt implementert riktig?

    SPF, DKIM og DMARC er tett knytt saman, og det er fleire gode grunnar til det. Kvar for seg har dei alle svakhetar som kan misbrukast av ein angripar om dei ikkje er satt opp riktig, eller om ein ikkje har implementert dei i utgangspunktet.

    Lat oss sjå nærare på kvar av dei tre funksjonane og kva svakhetar dei har. Me nyttar oss av same enkle døme som blei brukt i førre artikkel.

    SPF

    SPF har fleire ulemper ein angripar kan misbruka og det finst måtar ein kan feilkonfigurera SPF på . Me tek for oss kvar av ulempene under.

    Vidaresending av e-postar

    Sjå for deg vedkommande som kom syklande med den dyra klokka frå Dyrklokke AS i Oslo. For å kunne levere denne klokka til deg blei klokka fyrst levert til ein ven av deg. Venen din, som no skal levere klokka, kjem ikkje direkte frå butikken til Dyrklokke AS, men frå ein annan lokasjon. Dette er ein lokasjon som ikkje ligg i lista over godkjente avsendarar. Når du mottek klokka er pakken markert som sendt frå huset til vennen din, og ikkje frå Dyrklokke AS i Oslo. Dette vil derfor bryte med SPF.

    Dette er eit kjent problem med SPF. Når e-post blir vidaresendt, vil det bryte med SPF, med mindre avsendar ligg i lista over godkjente avsendarar. Mottakar vil då markere e-posten som mindre truverdig, og kan derfor ende opp som søppelepost.

    Vedlikehald av SPF i DNS

    I døme ovanfor var ikkje vennen din lagt til i godkjente avsendarar for Dyrklokke AS. Du tek kontakt med Dyrklokke AS og spør om ikkje ven din sin postkasse kan nyttast som ein sentral avsendar for klokkene deira. Dyrklokke AS gjere ein avtale med venen din om at han skal få lov til å sende ut klokker på deira vegne, og legg derfor hans adresse i deira liste over godkjente avsendarar (SPF i DNS). 

    Kva skjer når fleire ansatte i Dyrklokke AS vil at klokkene deira skal kunne blir vidaresendt frå 1,2 3 eller 5 andre personar?

    Problemet ovanfor er kjent for alle som jobbar med e-post-tryggleik. System blir satt opp og sender ut legitim e-post frå dette systemet. IT blir ikkje informert, og systemet blir derfor ikkje lagt inn i SPF, som igjen førar til at e-postar kan bli avvist.

    SPF er ikkje enkelt å vedlikehalda, då det kan vere vanskeleg å få oversikt over alle som sender e-post på dine vegne. Det er her DMARC kjem inn, for å hjelpe deg med å få oversikten.

    To forskjellige avsendarar

    To forskjellige avsendarar på ein e-post? For folk flest høyrest dette veldig rart ut, men det er faktisk tilfelle. Igjen, la meg forklara ved hjelp av eksempelet med Dyrklokke AS.

    Når den ansatte frå Dyrklokke AS kjem med pakken til deg, står det ei adresse utanpå pakken. Adressa som står utpå er ikkje retta mot deg personleg, men di verksemd. Når du då opnar pakken, ligg klokka inne i ein fin pakke og denne pakken har ein merkelapp med ditt namn på. Det er kun adressa som står på merkelappen inni pakken du ser.

    SPF kontrollerar kun om adressa utanpå pakken. Kva som står på adressa i pakka, og som er adressa du ser, bryr ikkje SPF seg om. Dette gjere at ein angripar kan sende e-post frå eit heilt anna domene enn ditt, og så leggje til ein frå ditt domene som avsendar inne i pakken. Heldigvis hjelper DMARC oss her!

    DKIM

    DKIM blei utvikla parallelt som SPF for å hindre misbruk av e-postar. DKIM har som SPF fleire svakhetar.

    Vidaresending av signert e-post

    Lat oss sei at den ansatte som leverer klokker for Dyrklokke AS får pakken signert av Dyrklokke AS, slik som i døme i førre artikkel. Den ansatte har eit system som gjere at han kan lage ein eksakt kopi av pakken, og kan sende den same pakken til kven han vil. Pakken vil alltid sjå ut som den er sendt frå Dyrklokke AS, og det er ingen måtar å ta tilbake signeringa på. Det er viktig å seie at den ansatte kan ikkje gjere noken endringar på innhaldet, då det vil fortsatt øydelegge signeringa.

    Dette betyr at dersom ein angripar klarar å sende ein e-post frå eit truverdig system og denne e-posten blir signert med DKIM, kan angripar sende den same e-posten til så mange angriparen vil utan at det bryt DKIM. Det er måter ein kan omgå dette på, men det vil krevje litt endringar.

    Endring av e-post av tredjepart

    Når e-postar blir signert med DKIM vert det generert ein kode som er basert på forskjellige delar av e-posten. Dersom nokon endrar innhaldet i e-posten, vil DKIM mislykkast og motparten kan avvisa e-posten.

    Tilbake til Dyrklokke AS. Dyrklokke AS  har ei teneste som sender ut e-postar når det kjem nye produkt i deira butikk. Dyrklokke AS nyttar seg av ei tredjepartsteneste for vidaresending av e-post til sine kundar. E-posten blir fyrst sendt ifrå deira sentrale system, deretter gjennom tredjepart og så til deg. Tredjepartsløysinga ynskjer å reklamera litt for seg sjølv og legg til i e-posten: «Denne vidaresendinga er sponsa av MeVidaresender AS». Sjølv om dette er ein heilt legitim endring, som kanskje er godkjent frå Dyrklokke AS, vil det bli ei endring på e-posten og dermed vil DKIM mislykkast. Mottakar vil sjå at DKIM ikkje stemmer, og kan avvisa eller markera e-posten som søppel.

    Fjerne DKIM i e-post

    Alle e-postar som blir signert med DKIM får ekstra informasjon lagra i e-posten som seier at denne e-posten er signert med DKIM. Kva om ein angripar klarer å fjerna denne ekstra informasjonen før e-posten når deg? Mottakar vil aldri vite at ein e-post er signert med DKIM om denne informasjonen er fjerna. Heldigvis er DMARC med oss på laget her også!

    DMARC

    DMARC er ypparleg for å betre e-post-tryggleiken i verksemda. DMARC passar på at fleire av svakheiter til SPF og DKIM blir utelukka og gjer di verksemd ei god oversikt over e-postflyten.

    Rapportering av DMARC

    Når ein e-post blir sendt ifrå deg til ein annan person, vil e-posten gå gjennom ISP / e-post-leverandør før den når deg. DMARC vil bli kontrollert, og basert på resultat av DKIM og SPF og innstilling i DMARC, kan e-posten bli avvist før den når deg. Som standard vil ISP / e-post-leverandør, som støttar DMARC, laga rapportar med statistikk på e-postar som blir sendt frå ditt domene, og deretter sendt til deg. Dessverre er det slik at ikkje alle støttar det å laga slike rapportar, og det vil føra til at DMARC ikkje alltid vil gje deg den fulle oversikt over alle e-postar som blir sendt ifrå di verksemd.

    Oppsett

    Ved oppsett av DMARC er det få innstillingar som er nødvendig å leggja til, men kvar av dei kan han store konsekvensar for e-post-flyten i verksemda. DMARC opererer med tre nivå: ingen dmarc, karantene og avvis. Dersom ikkje DKIM eller SPF er skikkeleg konfigurert, vil DMARC med karantene eller avvis resultera at ein haug med epostar vil bli markert som søppel eller avvist. Det er derfor særs viktig at DKIM og SPF er riktig konfigurert før ein byrjar å auke på innstillingane til DMARC.

     

    Netsecurity gjev bistand til organisasjonar på alle storleikar med å implementera tiltaka på ein trygg og sikker måte, slik at ingen av e-postane dine går tapt i prosessen. Ta kontakt med oss om du treng hjelp i din organisasjon. 

     

     

    Oslo

    Drammensveien 288

    0283 Oslo

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Trondheim

    Krambugata 2

    7011 Trondheim

    Stockholm

    Kammakargatan 22

    111 40 Stockholm