Public Service/Ekot avslöjade idag att regeringen saknar DMARC-skyddet mot falsk e-post, och valde att rikta in sig på försvarsminister Peter Hultqvist (S) av okända anledningar. Det samma gäller dock alla på regeringen.se, inklusive statsministern och alla anställda. Samt många andra myndigheter. Dock inte Försvarsmakten, Transportstyrelsen, Riksdagen, Polismyndigheten, MSB, Tullverket men t ex domstolarna, Trafikverket, Strålsäkerhetsmyndigheten, Finansinspektionen, Folkhälsomyndigheten och Riksbanken eller kommuner som t ex Solna kommun, som därmed likt regeringen är enklare att förfalska e-post från.
Tangentbordet är mäktigare än pennan |
I grunden finns det inget skydd mot att ange vem som helst som avsändare från e-post, men detta har stärkts upp med tiden. Sätter du dock upp en egen e-postserver kan du i princip alltid ange vem som helst som avsändare, dvs [email protected] som exempel. Just sverigesradio.se saknar själva DMARC ser det ut som, men skickar normalt från sr.se, vilket förstås inte mottagaren känner till.
Eventuella svar på ett sådant falskt e-brev går dock om man inte hackat DNS till den riktiga avsändaren.
Korrekt konfigurerat givet att mottagande e-postserver stöder detta, så kan man se till att e-post från falska avsändare – dvs ej skickad genom korrekt avsändande e-postserver – helt enkelt slängs. Det kan fortfarande hos felaktigt konfigurerade mottagare och äldre servrar att ändå nå fram med falsk e-post.
Som jag förstått det så ska man ha SPF, DKIM och DMARC – utan DMARC kommer dock inte förfalskade mail att slängas utan nå fram ändå, även om DKIM gör att det går att verifiera att mail skickats korrekt om man vet var man ska titta, vilket nog ingen gör i praktiken. Jag är dock ingen säkerhetsexpert.
SPF anger vilka e-postservrar som är godkända, DKIM signerar e-brevet för att verifiera att det inte modifierats mellan den godkända e-postservern och mottagande e-postsserver. DMARC säger till mottagande server vad som ska göras om e-brevet inte är korrekt signerat, förslagsvis slänga det.
En lång rad myndigheter och kommuner saknar DMARC ser det ut som vid en banal dig mot diverse domäner. Problemet handlar inte bara om regeringen, och det intressantaste i Ekots så kallade avslöjande är varför riktar man in sig på försvarsminister Peter Hultqvist (S)? Hade inte Magdalena Andersson gett ännu större rubriker?
Handlar det om de långa knivarna i en maktkamp inom socialdemokratin? Eller är det fortsatta destabiliseringsförsök från Ekot (känt för att ha avslöjat att alla ubåtskränkningar mot Sverige handlar om tyska ubåtar, samt fört fram Kremls narrativ gällande Rysslands krig i Ukraina och dess ockupation av grannländer) mot svenskt försvar och försvarspolitik? Vem tipsade dem om detta, och varför?
Och varför gav man sig på just Hultqvist?
Det är för övrigt knappast Peter Hultqvists fel att regeringens IT-avdelning brister i detta, då det inte ligger på hans arbetsuppgifter att styra upp IT-verksamheten på regeringsnivå. Det har väl snarare legat på tidigare digitaliseringsminister, en minister vid namn … Anders Ygeman (S).
DMARC kommer bara verifiera att e-posten går via rätt e-postserver som förhoppningsvis är lösenorsskyddad. Den kommer inte verifiera vem som suttit bakom tangentbordet, för vilket det krävs en kryptografisk signering av själva innehållet i e-brevet, t ex med S/MIME eller PGP/GPG, vilket också kan säkerställa att innehållet inte modifierats på vägen.
Sedan kan man börja fantisera vad för effekter falsk e-post från t ex Trafikverket, domstolarna, Riksbanken, Folkhälsomyndigheten eller Solna kommun kan ha för effekter. Eller från Magdalena Anderssons pressekreterare … Förfalskningarna avslöjas om man svarar på e-brevet, då det falska mailet därmed kommer avslöjas för den förfalskade avsändaren.
Glädjande nog är det många myndigheter och kommuner som har DMARC.
20 kommentarer
SPF skyddar dock en del, men beror som vanligt på hur mycket mottagar-mailservern och dess antispam-funktioner bryr sig. Finns olika qualifiers som specificeras i SPF där antingen SOFTFAIL (~) eller FAIL (-) brukar användas, där det senare ska stoppa mailet helt om avsändar-servern inte matchar SPF.
https://en.wikipedia.org/wiki/Sender_Policy_Framework#Qualifiers
https://mxtoolbox.com/SuperTool.aspx?action=spf%3aregeringen.se&run=toolpage
vs.
https://mxtoolbox.com/SuperTool.aspx?action=spf%3ariksdagen.se&run=toolpage
Regeringen har dock softfail på sin SPF, vilket gör den rätt meningslös. Tar dock några sekunder att ändra vilket säger en del om kompetensnivån hos IT-avdelningen kanske.
De har även "tittut.regeringen.se" som a-parameter för domän/ip-koll på SPF:en. Känns som ett lagom seriöst namn…
forsvarsmakten.se har v=DMARC1;p=quarantine antagligen bara för att många klagade att mail inte kom fram. De borde ha kört med reject, men antar att någon chef inte fick fram sitt mail och gick ned och skrek på IT-avd.
Minimikravet på alla myndigheter, statliga verk, och företag i allmänhet är att mailen är signerade så att det går att se om de är manipulerade eller förfalskade.
Tyvärr verkar det som att avslöjanden är inbyggda i det normala förbättringsarbetet hos myndigheterna.
Typ: Ja, vi vet inte vad vi skall göra, så vi väntar på att media skall avslöja att vi inte gör något. Under tiden så har vi fika i kuddrummet där vi ibland leker popcorn, men mest för motionens skull.
Skjut inte upp till i morgon det du kan vänta med till nästa år?
Problemet är att IT är ett svart hål och aldrig riktigt fungerar.
Att staten och det offentliga har en massa olika IT avdelningar utan central styrning skulle jag säga är det stora problemet. Det gör att säkerheten varierar mellan olika myndigheter och verk beroende vilken IT-kompetens respektive besitter.
Statens IT-verk med centraliserad tjänster som samtliga myndigheter måste anlita?
Är detta ett ansvar för en digitaliseringsminister?
Hur menar du nu, "ansvar" och "minister" i samma mening?
Jag förstår heller inte varför de just lyfter fram att Regeringskansliet har detta problem. Borde det inte vara FRA, dit de mailade, som ska identifierat att mailet kom från en spoofad adress? Regeringskansliets mailserver kan väl inte veta att det är någon som spoofar mail från deras domän? Eller är det något jag missat i detta fall? Att det är just Hultqvists adress som nyttjas är också en gåta.
Jag förstår inte (men jobbar inom IT):
Om jag använder en eposttjänst som tillåter att man kan spoofa avsändaren (i från-fältet) och skickar ett mail till t ex Cornucopia så ser det ju ut som att det kommer från t ex [email protected] (fast headers säger något annat).
Hur påverkar konfigurationen av riksdagen epost-server detta?
Min mottagande mailserver gör en DNS-slagning när mailet kommer in, kollar tillåtna mailservrar, får ut en kryptografisk signatur, konstaterar att den inte är signerad av den mailservern och konstaterar att den är skickat från en icke godkänd mailserver. Endera faktor får den att slänga mailet, som aldrig når fram.
Men varför rapporterar SR som att problemet ligger på den domän Hultqvist skickar från? De skickade ju till FRA som test och de tog emot mailet utan att larma. Borde det inte vara FRA då som kommer i skottlinjen när SR rapporterar om brister i säkerheten?!
Antagligen för att FRA:s IT-avdelningen inte vågar skruva alla reglage till max eftersom då försvinner mail…
Jag håller med herr författare, detta känns mer och mer som en kampanj riktad mot Hultqvist på något sätt. Psy-ops för att få myndigheter att tveka på (legitima) mail från honom.
Det kanske är för att det får svåra konsekvenser om just försvarsministerns mail förfalskas. Typ om ÖB får: "Invadera Danmark, genast! Mvh, Hultqvist"
Att spoofa avsändare i mail är ju ingen nyhet, det har man kunnat i alla tider. Mail är inte så säkert om man inte signerar sin korrespondens.
Angående sverigesradio.se, så kanske den inte ens har MX record?