Det är inte bara regeringen.se som saknar DMARC-säkrad e-post som ska vara svår att förfalska. Det visar sig enligt hardenize.com som sammanställer DNS-säkerheten, e-postsäkerheten och websäkerheten i Sverige.
Swedbanks e-post kan förfalskas |
Det går alltså fortfarande att förfalska e-post från flesta kommuner och regioner, i princip alla dagstidningar och de flesta banker, då de inte har tillämpat DKIM-signerad DMARC för att säkra att e-post faktiskt skickas från rätt server. De flesta har dock SPF, som anger vilka servrar som är tillåtna, men dessa kan förstås i sig spoofas eftersom det inte ingår någon kryptografisk signering.
De kommuner som har DMARC är:
Aneby, Avesta, Boden, Borlänge, Eksjö, Filipstad, Hammarö, Härnösand, Kungsbacka, Landskrona, Lerum, Ljusdal, Lomma, Lund, Mark (min egen kommun), Nässjö, Norsjö, Ovanåker, Ragunda, Rinneby, Sandviken, Sävsjö, Skellefteå, Torsås, Trelleborg, Trosa, Umeå, Upplands-Bro, Vetlanda och Ystad.
Övriga saknar DMARC enligt hardenize.com.
Inom regionerna är det bara Region Jämtland-Härjedalen, Östergötland och Västerbotten som har DMARC. Övriga regioner är det alltså fortfarande relativt enkelt – likt Sveriges Radio Ekot gjorde med regeringen – att förfalska e-post från, vilket i fallet regioner kan beröra sjukvård och smittskydd.
De enda dagstidningarna som har DMARC är SvD och Aftonbladet (bägge alltså Schibstedt). Samtliga övriga dagstidningar går det att förfalska e-post från. Kontrollera extra noga om du får en faktura från din tidning – avsändaren kan vara falsk trots att den ser korrekt ut.
På bankfronten dras resultatet ner av de lokala sparbankerna som verkar felkonfigurerade, men de enda som har korrekt DMARC är Avanza, Bankgirot, Bankomat, Bluestep, Colelctor, Coop, Danske Bank, DNB, Handelsbanken, Klarna, Landshypotek, Nordea, Northmill, SBAB, Skandia, Sparbanken Skåne och Volvofinans.
SEB, Swedbank och Sparbankerna har alltså inte DMARC utan man kan relativt enkelt förfalska e-post från banken. Vilket kan användas för phising av bankuppgifter genom falska mail, med t ex falska länkar eller inbyggda bilder och script som angreppsvektorer. Tittar du t ex på att reply-to är samma som avsändaren om du får ett mail från banken?
Den kategori som är bäst enligt Hardenize är statligt ägda bolag, där 42% har DMARC.
I övrigt har inte svt.se och sverigesradio.se och med det Ekot själva DMARC, inom media är det endast Kanal5 som har det. Dock skickar Sveriges Radio sin epost från domänen sr.se, som har det, men mottagaren vet knappast att sverigesradio.se är en falsk e-postavsändare…
Sammanställningen för Sverige hittas här på Hardenize.com, och man kan gräva sig ner för att titta på rapporterna för enskilda företag eller myndigheter, regioner och kommuner. Hardenize tittar också på säker DNS som DNSSEC och säkerheten på respektive organisations websajt.
Hardenize kan också användas för att testa en specifik sajt. Bloggens toppdomän har såväl DNSSEC, som TLS, SPF och DMARC och … |
… websajten på sin okonventionella adress har väl det mesta också. |
7 kommentarer
Stormen i vattenglaset fortsätter…
Tycker att avsaknaden av DNSSEC på exv svt.se är betydligt allvarligare.
Konspiratoriskt lagd som man är så reagerade jag på att det just var försvarsministern som man valde ut för denna något udda skandal, och Hultqvist får också figurera med bild i SRs reportage om det hela. Bara en slump, eller finns det tillräckligt med skandaler runt andra statsråd?
Och du har ett B på ssllabs.com vilket ju är det bästa man kan räkna med om TLS 1.0 är påslaget. Avvägningar man måste göra.
"Det är inte bara regeringen.se som saknar DMARC-säkrad e-post som ska vara svår att förfalska."
Pistoler däremot som kommer från regeringskansliet, de är äkta.
Kan inte längre läsa eller skicka mail på jobbet utan att logga in. Det är något nytt som hände många år tillbaka, att man var tvungen att identifiera sig själv.
Ja, det kan verka som något nytt att vara tvungen att identifiera sig, men det finns användarfall där det verkar helt ok, som exempelvis svenska spel eller etc.
Tycker att bankerna överreagerat lite med BankID. Hur svårt kan det vara att identifiera transaktioner på nätet, jag bara undrar. Verkar som att bankerna bara vill göra livet svårt.
Det är nog så ills att man faktiskt måste identifiera sig för att köpa nytt kaffe. Ja, det är verkligen så illa, helt oavsett kaffe.
Mina indiska kollegor skrattar i mjugg.