Äntligen säker e-post - dmarc är här

Transkript

1 DETTA ÄR EN UTSKRIFT FRÅN TECHWORLD Artikelns webbadress: Publicerad :20 Av Jan Hedström Äntligen säker e-post - dmarc är här ANALYS Ett av de största säkerhetshoten i dag är faktiskt vanlig e-post. Ordinära virusskyddsprogram hjälper bara om någon annan redan har upptäckt och rapporterat hotet, men med dmarc varnas du direkt. Missa inte! Det här tycker experterna om dmarc! Tänk dig tillbaka till tiden för ett par decennier sedan, innan e-posten hade gjort sitt intåg på företagen. Hur kunde man alls arbeta då? E-posten har revolutionerat vårt sätt att kommunicera, men samtidigt hotar hela systemet att kollapsa under sitt eget tryck. Av tre e-postmeddelanden som skickas är två spam, oönskad skräppost. Om användarna inte ska tröttna på all reklam och tappa förtroendet för e-post måste vi få bukt med det problemet. Ännu värre är phishingattacker, som lurar utvalda användare att avslöja lösenord eller annan känslig information. Phishingmejl brukar ofta ge sken av att de kommer från en rimlig avsändare, som till exempel mottagarens bank eller telefonbolag, men i själva verket är det från någon helt annan. I grund och botten är problemet att smtp, protokollet som används för att skicka e-post, är föråldrat. Det skapades för över 30 år sedan, då internet bara användes av ett fåtal personer på universitet och myndigheter som alla litade på varandra. I dag är vi flera miljarder användare, och miljontals företag vill utnyttja nätet för att nå ut till oss. Det är en svår avvägning att göra vi vill kunna ta emot e-post, men inte fel sorts e-post. Manuellt underhållna regler och spärrlistor är oprecisa och kräver en del administration för att fungera. Dessutom är det långt ifrån säkert att en internetleverantör tar anmälningarna på allvar, när någon rapporterar att deras kunder begår brott via e-post. Vi behöver alltså maskiner till hjälp. Men hur ska en dator kunna avgöra vad vi vill läsa? Kompletterar smtp Sida 1 av 5

2 Genom åren har smtp kompletterats med en del säkerhetsfunktioner för att kunna verifiera att e-posten kommer från en legitim avsändare. Den senaste, som dessutom har börjat göra verklig skillnad, heter dmarc, en förkortning av domain-based message authentication, reporting and conformance. Det är en metod där de som ansvarar för en domäns e-postsystem kan annonsera för omvärlden att all e-post som de skickar ut ska vara kryptografiskt signerad. Om någon får e-post från denna domän som inte har signerats är det alltså fråga om något som inte kommer från rätt avsändare och som bör kastas bort. Det här är en välkommen funktion för alla oss som plågas av skräppost, men kanske ännu mer för företag som ofta får se sina namn användas av ohederliga organisationer. Stöds av Microsoft och Google Bland de företag som stöder dmarc hittar vi bland annat nätjättar som Microsoft och Google. Standardförslagets huvudförfattare är anställda på Facebook och Yahoo. De här företagen har intresse av problemets båda sidor: att skydda sina kunder från informationsstöld och att skydda sina varumärken så att kunderna inte tappar förtroendet för dem. Dmarc är för närvarande ett utkast som behandlas av standardiseringsorganet IETF, men med tanke på uppbackningen lär den inte stöta på några hinder. Och enstaka mjukvaror har stöd för protokollet redan nu. Dmarc är inte någon helt ny teknologi, utan det kan snarare beskrivas som ett bättre sätt att dra nytta av redan befintliga protokoll. Grundfunktionen baseras på två andra protokoll som definierades för sex-sju år sedan: spf och dkim. Spf, sender policy framework, är ett system för att ange exakt vilka servrar som får användas för att skicka e-post från en viss domän. En mottagande e-postserver med stöd för spf validerar alltså att informationen som den får från den sändande e-postservern, det som kallas för envelope i smtp, inte har förfalskats. Det är dns-systemet som används för att publicera den här informationen till omvärlden, genom att man lägger upp särskilda spfregler i domänens zonfiler. Sådana regler kan till exempel säga att om e-post från example.com inte kommer från ip-adressen släng det!. E-postservrar som har stöd för spf söker efter sådana här regler när de tar emot inkommande e-postmeddelanden, och kan på så sätt filtrera bort oönskade mejl. Strikta regler är svårt Men eftersom e-post på internet ofta skickas via mellanliggande servrar så går det inte alltid att definiera så strikta regler. Mottagaren kan ju inte vara säker på varifrån utom synhåll mejlet ursprungligen har kommit, och då kan den inte heller fatta rätt beslut. Om spf-policyn är inställd på fail, alltså att kasta bort meddelandet, kan det leda till att ingen e-post kommer fram. På grund av det här problemet väljer många avsändare att ange softfail -regler, som enbart är en rekommendation och inte ett krav på att kasta bort meddelanden som inte kommer in från rätt server. Undvik reläservrar Det här lämnar åt mottagaren att gissa sig till om han eller hon får legitim e-post eller inte, alltså samma situation som utan dmarc eller spf. Det är bättre om avsändaren undviker att skicka ut e-post via andras reläservrar. Om man vet exakt vilka servrar som sänder vidare utgående e-post till alla externa mottagare kan man lugnt använda fail-regler. Och för mottagaren gäller det att kontrollera Sida 2 av 5

3 inkommande e-post mot spf-reglerna vid den yttersta gränsen mot internet, alltså på de e-postservrar som allra först tar hand om inkommande e-post. Dkim, domainkeys identified mail, är en annan teknik för att avslöja förfalskad e-post. Men medan spf auktoriserar e-postservrar säkrar dkim upp innehållet i ett mejl genom kryptografiska signaturer. Framför allt är det fält i meddelandets header som signeras, till exempel avsändare och ämnesrubrik, men även meddelandets brödtext (body) kan signeras så att mottagaren vet att inget har förvanskats på vägen. Både spf och dkim är helt självständiga funktioner som fungerar mellan avsändaren och mottagaren på internets befintliga infrastruktur utan att någon tredje part behöver ge stöd för det. Dkim:s krypteringsnycklar är självsignerade, alltså intygar ingen tredje part vem avsändaren är. Men fördelen är att nycklarna blir oberoende av den opålitliga ca-hierarkin som till exempel tls-protokollet bygger på. E-posten skickas via det vanliga smtpprotokollet, fast med några extra rader i headern för dkim-informationen. För att kontrollera avsändaren och innehållet används det gamla vanliga dns-systemet, så att mottagare lätt kan slå upp dem. Säkerheten höjs ännu mer om man använder dnssec, men det är absolut inget krav. Både spf och dkim kan till och med använda gamla dns-mjukvaror från 1990-talet om det kniper. Och framför allt behöver man inte veta om mottagaren har aktiverat stödet för vare sig spf eller dkim, e-posten kommer fram ändå. Som ett skal Dmarc bygger som sagt på spf och dkim, man kan säga att det fungerar lite som ett skal som kompletterar de två grundläggande protokollen och anpassar dem bättre till verklighetens praktiska behov. Faktum är att dmarc har designats för att kunna använda vilka underliggande autentiseringstekniker som helst, men i dagsläget är det bara spf och dkim som stöds. Även dmarc-reglerna publiceras i dns-systemet. Dmarc kompletterar med funktioner för att kunna väga samman tvetydiga resultat av spf- och dkim-testerna som görs. Dessutom inför dmarc ett standardiserat sätt där mottagarna kan rapportera till avsändaren hur valideringen gick om ett mejl blockerades. Om avsändaren begär det ska mottagaren rapportera hur dmarc-reglerna har tolkats på de meddelanden som inte godkändes. Antingen kan man begära att få en rapport per blockerat mejl eller en samlingsrapport, till exempel en gång per dygn. På det här sättet kan avsändaren alltså snabbt se om någon regel är alltför strikt eller om någon annan försöker skicka skräppost i ens namn. Tanken är att fler ska våga använda dmarc utan att riskera driftstörningar. Rapporterna kan levereras via olika protokoll som http eller ftp, men vanlig e-post måste alltid stödas av den mottagande parten. Stramt eller avslappnat I dmarc kan man specificera att både spf- och dkim-reglerna ska tolkas strikt eller mer tillåtande, relaxed mode. I det läget tillåts att inkommande e-post har olika adresser i de olika avsändarfälten så länge de hör till samma huvuddomän, så att olika avdelningar eller dotterbolag i en koncern kan göra utskick på egen hand. I strikt läge finns inte den här möjligheten, då måste all e-post skickas ut från samma e-postsystem som publicerar organisationens dmarc-regler. En lite udda funktion i dmarc är möjligheten att specificera att enbart en viss andel av en viss användares e-post ska kontrolleras. Man kan välja ett värde i procent, och då gör mottagarna ett slumpmässigt urval av inkommande meddelanden som kommer att verifieras mot dmarc-reglerna, medan resten går vidare till nästa steg i mottagandet. Tanken med det här är att en avsändare ska införa sina regler gradvis, så att konsekvenserna av en felskriven regel begränsas Sida 3 av 5

4 till en liten del e-post innan man har testat dem färdigt och vågar öka andelen till hundra procent. På samma sätt bör man gå tillväga med åtgärderna: börja testa med p=none, alltså en policy som bara utför testerna men ändå levererar all e-post. Sedan kan man gå över till policyn quarantine och, efter mycket noggranna tester, policyn reject. Underlättar för admin Dmarc har alltså flera olika funktioner som underlättar livet för den stackars systemadministratören, som måste förutspå hur utgående e-post kommer att adresseras och signeras. Men för organisationer som själva vill hantera sin e-posttjänst blir det lite krångligare. Vare sig Lotus Notes eller Microsoft Exchange har inbyggt stöd för dmarc. Kunder som använder de produkterna och många andra måste alltså komplettera e- postsystemet med en dmarc-kompatibel server för in- och utgående e-post. En del mjukvaror med öppen källkod stöder dmarc, det är fråga om tilläggsfilter som fungerar med populära e-postservrar som Postfix och Sendmail. Den som vill prova dmarc kan också använda en del gratis tjänster och verktyg på nätet som hjälper till att skapa dmarc-reglerna och att sammanställa information från rapporterna som skickas in, men dessa är inte heltäckande så flera olika behöver integreras. Man får alltså räkna med en del manuellt konfigurationsarbete om man inför dmarc, ofta även med lite skriptprogrammering. Men det är rätt enkelt att genomföra, åtminstone om man nöjer sig med att kontrollera inkommande e-post. En del säkerhetsprodukter börjar få stöd för dmarc, till exempel kom svenska Halon ut med en uppdatering så sent som i september i år som ger deras produkter för e-postsäkerhet grundläggande stöd för protokollet. Säkerheten kan rundas Men visst finns det metoder för den som vill runda dmarc-säkerheten. En sak som inte kan hindras av dmarc är om någon skickar förfalskad e-post från ett domännamn som påminner om den legitima, till exempel från example.net i stället för example.com. Elakingar på nätet kan också försöka överbelasta rapportservrarna som en organisation annonserar i dmarc-systemet, det försvårar åtminstone tillvaron för e-postadministratören som inte längre kan lita på informationen där. I dmarc kan man ange maxstorlek för inkommande rapporter och hur ofta samlingsrapporterna får sändas, men det är ju knappast något som en attackerande hacker kommer att ta notis om. Man bör alltså konfigurera motsvarande begränsningar även på servern för de inkommande rapporterna. Ett meddelandes väg med dmarc 1. Användaren Arne på AB Exempel skriver ett meddelande till Bert och skickar det via deras vanliga e-postserver men innan meddelandet sänds ut från example.com:s nät passerar det en dmarc-kompatibel e-postserver som signerar meddelandets innehåll med dkim. (DNS för example.com är redan förberett med spf-regler, den publika dkim-nyckeln och dmarcregler.) 3. Meddelandet skickas direkt till mottagare.se:s externa e-postserver. Om den inte går att nå för tillfället får meddelandet vänta hos example.com, annars kan spf-reglerna inte verifieras. 4. Mottagarens server, som har stöd för dmarc, hämtar example.com:s regler och certifikat via dns-systemet och verifierar meddelandet. 5. Om meddelandet är i överensstämmelse med dmarc-reglerna (det kallas för in alignment i standarden) levereras det till Berts e-post konto, som troligen finns på en annan server hos mottagaren.se. 6. Om meddelandet inte är in alignment kan AB Exempels regler ange om det ska läggas i karantän eller avvisas helt. 7. Om example.com begär en resultatrapport, skickar mottagare.se tillbaka en sådan. TechWorlds slutsats Sida 4 av 5

5 Dmarc är en viktig standard för att e-post ska förbli ett arbetsredskap som vi kan lita på, och det finns knappt någon ursäkt för en e-postadministratör på ett större företag att låta bli att införa tekniken. Dmarc för inkommande e-post kostar knappt någonting. Administrationen är rätt så enkel, mjukvaran är kostnadsfri och infrastrukturen är i princip redan på plats. Men för att dmarc ska bli en succé krävs att många organisationer följer regelverket. Och varför inte börja? Det ger stor effekt och kompletterar gamla metoder som baserar sig på rykten, språkanalyser och att andra irriterade offer redan har skickat in rapporter. Verktygen för dmarc-administration behöver verkligen bli bättre, mer kompletta och framför allt behöver de stora leverantörerna av e-postmjukvara börja stödja protokollet. Men vänta inte. Protokollet fungerar redan idag, produkterna finns och många har redan kommit igång. Kom bara ihåg att börja försiktigt och införa reglerna gradvis så att du inte råkar hindra e-postkommunikationen. Det är lätt att råka förbise någon detalj i konfigurationen. VAR ANVÄNDS DMARC? Dmarc är ett nytt protokoll, en ännu inte helt färdig standard och med mindre än två år på nacken. Trots det har redan många av de allra största tjänsteleverantörerna på internet anammat tekniken, ett bevis så gott som något på att det fungerar. Google, Hotmail, Office 365, Linkedin, Facebook och Yahoo har alla stöd för dmarc, därtill en stor mängd andra företag och organisationer. Redan i början av 2013 uppskattade intresseorganisationen Dmarc.org att 60 procent av värld ens e-postkonton var skyddade med dmarc för inkommande mejl. Gott och väl en tredjedel av de tjugo största e-postutsändarna hade lagt upp dmarc-regler för utgående mejl, som tvingade mottagare att kasta bort fejkad e-post skickad i deras namn. Man kan alltså lugnt påstå att dmarc är en succé när det gäller att skydda konsumenter. På företagssidan finns det däremot fortfarande mycket kvar att göra. Men eftersom det redan finns många dmarc-kompatibla e-postsystem installerad där ute får man fördelar direkt om man inför dmarc själv, speciellt de företag och myndigheter som ofta sänder e-post till privatpersoner. Copyright International Data Group AB Sida 5 av 5