Feil epost-serveroppsett truer sikkerheten for mange
Økende bruk av Office365 og andre skytjenester aktualiserer utfordringen.
Basefarm opplever at mange virksomheter feiler når de setter opp en epost-servere, spesielt i sammenheng med Microsofts Office365.
Rundt den nå «gamle» e-post-teknologien er det innført tre, etter hvert, standard protokoller (DKIM, SPF og DMARC) som styrker sikkerheten. Mange trusler slipper gjennom det verdensomspennende epost-nettverket fordi disse protokollene ikke blir brukt i det hele tatt eller på riktig måte. Mange eposter kommer dessuten ikke frem fordi protokollene ikke er brukt helt korrekt, opplyser Øyvind Rasmussen, senior systemingeniør i Basefarm.
– Når jeg ser hvor mange som feiler på å bruke de tre protokollene for epost-sikkerhet så får jeg veldig lyst til å hjelpe. Det er enkelt å bruke nettverktøy for å finne feilene og kan være vanskelig å fortelle de ansvarlige. De er ofte helt sikre på at alt er i orden på deres kant, og kan bli litt bryske hvis jeg gir beskjed, sier Rasmussen.
Mange svikter
Like fullt ser han at store, anerkjente selskaper svikter i bruken av de tre protokollene. Feil som oppstår tilknyttet én av dem – DKIM – er aktualisert ved overgang fra egne servere til Microsoft Office365 i skyen.
Uten at du blir varslet om det, innebærer Office365-oppsettet bruk av DKIM. DKIM bruker sertifikater knyttet til domenenavnet ditt. Sertifikatet er en unik hash-kode som kort fortalt viser mottakeren om noen har tuklet med eposten underveis fra avsender til deg, for eksempel ved å endre innhold eller legge til ransomware. I opplegget forteller epostserveren din til alle at du bruker DKIM.
– Problemet er at Office365 og andre nettjenester ikke uten videre kan signere på vegne av domenenavnet ditt som avsender. Domenenavnet til detgladevannvidd.com kan for eksempel bli tennanten detgladevannvidd.onmicrosoft.com. I praksis innebærer dette at alle inngående epost-servere som sjekker om du bruker DKIM kanskje vil avvise alle mailer fra tennanten og dermed alt som kommer fra firmaet ditt, sier Rasmussen, som synes det er prisverdig at Microsoft støtter oppunder bruk av DKIM slik også Google gjør.
For å løse problemet må man opprette en DKIM-nøkkel for domenet, for så å legge en tekststreng inn i DNS – domenekatalogen – som sørger for at epostene signeres som om de kommer rett fra detgladevannvidd.com og ikke fra tennanten detgladevannvidd.onmicrosoft.com.
– I det øyeblikket du er ferdig migrert til Office365 kan du få problemer hvis du forsøker å sende til noen som har sine ting i orden og sjekker for DKIM. Uten registreringen i DNS vil de bruke sine egne behandlingsregler for DKIM, sier Rasmussen.