Mats lister ut norske nettsiders DMARC-status: - Mange må skjerpe seg!

- Jobber du i en av virksomhetene med mindre god DMARC-policy? Gi beskjed!

- Er det ein sikkerheitsrisiko å publisere ei slik liste over domene med manglande eller dårlege DMARC-policies? Nei, det vil eg ikkje seie, skriver Mats Byrkjeland. 📸: Bekk / kode24
- Er det ein sikkerheitsrisiko å publisere ei slik liste over domene med manglande eller dårlege DMARC-policies? Nei, det vil eg ikkje seie, skriver Mats Byrkjeland. 📸: Bekk / kode24 Vis mer

DMARC er eit av dei beste våpena me har mot spoofing.

Det viser seg at norske aktørar må skjerpe seg - sjå kor gode dei er på dmarcstatus.no.

Bakgrunn

E-post har eksistert i over 50 år og SMTP, protokollen bak, er grunnleggjande usikker. Det er lett å forfalske kven avsendaren er og dermed drive med svindelforsøk.

På 70- og 80-talet var alle menneske snille og gode, så det var ikkje eit problem. Men i dag er spoofing (å late som ein sender e-post frå nokon andre) og phishing (prøve å folk til å trykke på lenker og til slutt svindle dei) store samfunnsproblem.

E-post fungerer nemleg slik at alle kan sende e-post frå kva for ei helst adresse. Det høyrest rart ut, men slik er det.

Det finst heldigvis gode tiltak alle bør gjere for å hindre at domenet sitt vert brukt av andre. Denne artikkelen handlar om DMARC, som baserer seg på to andre mekanismar – SPF og DKIM – for å gi eit godt vern mot spoofing.

SPF, DKIM og DMARC

La oss gå fort gjennom kva SPF, DKIM og DMARC er.

  • Sender Policy Framework (SPF) er ein enkel mekanisme du kan bruke for å seie kva for nokre IP-adresser du sender dine e-postar frå. Dette spesifiserer du i ein DNS-record av typen TXT som du legg på ditt domene. E-postserverar som mottar e-post frå ditt domene kan slå opp denne DNS-recorden og sjekke om IPen til avsendar-serveren er blant desse.
  • DomainKeys Identified Mail (DKIM) lar mottakande e-postserverar sjekke om innhaldet i e-posten har vorte tukla med på vegen frå avsendar til mottakar. E-posten er signert med ein privat nøkkel som avsendaren har. Denne signaturen vert lagt på e-posten som ein header. Den offentlege nøkkelen ligg som ein DNS-record på domenet ditt. Mottakande e-postserverar kan då bruke den offentlege nøkkelen til å verifisere at innhaldet stemmer med signaturen.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) lar deg spesifisere kva du vil skal skje med e-postar som feiler både SPF og DKIM. For om du har både SPF og DKIM sett opp, men ikkje DMARC, så er det opp til dei mottakande e-postserverane å velje kva som skal skje. Ofte vil det nok berre gå gjennom til mottakaren. DMARC set du òg opp som ein DNS-record.

DMARC gir deg òg moglegheita til å få rapportar frå mottakande e-postserverar om e-postar sendt frå ditt domene. Desse rapportane inneheld informasjon om e-postane har passert DKIM, SPF og DMARC, og kva for ei kjelde dei kom frå. Det finst mange gode tenester som let deg analysere desse rapportane og følgje med på kor mange som misbruker domenet ditt.

«Det viktigaste i DMARC-oppsettet ditt er kva for ein policy du går for.»

Jo strengare, jo betre

Det viktigaste i DMARC-oppsettet ditt er kva for ein policy du går for. Det finst tre val: none, quarantine og reject. Jo strengare policy du vel, jo betre sikring mot spoofing oppnår du.

  • None betyr at du ikkje ber mottakande serverar gjere noko spesielt med e-postar som feilar DMARC-sjekkane. I praksis vil dei nok kome fram til innboksen til mottakaren som vanleg. Dette gir ingen sikring mot spoofing, men det er fint å begynne med dette mens du samlar inn rapportar og set opp SPF og DKIM. Det kan nemleg vere vanskeleg å vite kor mange reelle e-postserverar og -IP-adresser du sender frå, om domenet er for eksempel brukt i eit stort konsern. Ein vil ikkje at legitim e-post skal verte forkasta! None er derfor ein fin policy mens ein kartlegg dette og får gradvis sett opp SPF og DKIM riktig.
  • Quarantine er den nest strengaste policyen. Då vil e-postar som feilar DMARC-sjekken kome fram til mottakar, men vere markert som spam. Så det hamnar truleg i søppelposten. Absolutt betre enn «none», men ikkje optimalt.
  • Reject er det strengaste policyen, og det du ønskjer å oppnå til slutt. Då vil mottakande e-postserverar som støttar DMARC forkaste e-postar som feiler DMARC-sjekken, og mottakaren vil ikkje få dei i det heile tatt.

Eit grunnleggjande tiltak

DMARC er eit grunnleggjande tiltak for sikring av e-post, noko Nasjonal sikkerheitsmyndigheit (NSM) skriv meir om på ei eiga side om DMARC, nemleg dmarc.no. Alle domene bør ha definert ein DMARC-policy, og jo strengare, jo betre.

Vil du sjekke DMARC for ditt eige domene? DMARC er publisert som ein DNS-record av typen TXT som må vere på på subdomenet _dmarc (f.eks. _dmarc.example.com). Så det er enkelt å sjekke frå kommandolinja med kommandoen dig _dmarc.example.com txt. Det finst òg mange gratis-tenester på internett som kan analysere DMARC-oppsettet ditt, og burde vere enkelt å søke opp.

Sjølv om du ikkje sender e-post frå domenet ditt, bør du setje opp DMARC (og SPF) til å forkaste all e-post. Om ikkje du sender e-post frå domenet ditt, så vil du vel ikkje at nokon andre skal gjere det heller? Då kan du setje opp desse to DNS-innslaga (bytt ut example.com med ditt domene):

  • TXT example.com v=spf1; -all
  • TXT _dmarc.example.com v=DMARC1; p=reject

Om du derimot bruker domenet ditt til e-post og ønskjer å kome i gang med SPF, DKIM og DMARC, så rår eg deg til å sjekke e-postleverandøren din sin dokumentasjon på dette. Det burde ikkje vere for vanskeleg å finne det du må kopiere for å setje opp SPF og DKIM. Deretter kan du setje opp din eigen DMARC-record på _dmarc.ditt-domene.no .

«Er det ein sikkerheitsrisiko å publisere ei slik liste over domene med manglande eller dårlege DMARC-policies?»

Kor gode er norske aktørar?

Eg har prøvd å finne ut kor gode norske aktørar er på DMARC, og oversikta finn du på dmarcstatus.no. Sida listar ut kva for ein DMARC-policy dei største og viktigaste institusjonane, organisasjonane og verksemdene i Noreg nyttar. Manglar det nokon? Sida har open kjeldekode, så lag eit issue eller ein pull request på github.com/draperunner/dmarc-status.

Målet med denne sida er å opplyse om DMARC og å oppmode aktørane til å forbetre DMARC-reglane sine, slik at nordmenn forhåpentlegvis opplever færre phishing-åtak i framtida.

Er det ein sikkerheitsrisiko å publisere ei slik liste over domene med manglande eller dårlege DMARC-policies? Nei, det vil eg ikkje seie. DMARC for eit domene er publisert via ein DNS-record som må vere på på subdomenet _dmarc (f.eks. _dmarc.example.com) og dermed lett tilgjengeleg, offentleg informasjon.

Og som sagt, DMARC er eit grunnleggjande tiltak. Om ein prøver seg på halvvegs seriøs spoofing, så veit ein å sjekke DMARC først. Det tar uansett mykje lengre tid og meir innsats å forfatte ein truverdig, falsk e-post.

DMARC er ikkje ei vasstett løysing på spoofing- og phishing-problema, men det er eit av våre beste verkemiddel. Jobbar du i ei av verksemdene med mindre god DMARC-policy? Gi beskjed og få det fiksa i dag!