Carl-Johan Bostorp och Stefan Pettersson, säkerhetsexperter på High Performance Systems, har undersökt hur svenska börsnoterade företag säkrat att deras domäner inte utnyttjas i e-postbedrägerier som utförs med hjälp av falsk avsändare. Resultatet är nedslående, till och med bland de allra största svenska företagen saknar en majoritet ett skydd mot dylika attacker.

Bakgrunden är en standard som heter SPF, Sender Policy Framework. Genom SPF kan ägaren av en domän förvissa sig om att den inte används av obehöriga för att mejla med aktuell domän i e-postadressen i MAIL FROM-fältet.

- Vi såg ett behov då det aldrig gjorts någon liknande undersökning i Sverige. SPF är dessutom ett öppet protokoll som är fritt för vem som helst att implementera på sin domän, säger Stefan Pettersson till TechWorld Säkerhet.

Implementeringen av SPF sker i DNS-servern. När ett mejl skickas så kontrollerar mottagande e-postserver med DNS att den IP-adress som det kommer från är tillåten att skicka e-post med aktuell domän. Om det inte tillåts får sändaren ett meddelande om att det misslyckats. För att SPF ska fungera krävs både att avsändaren har ett regelverk uppsatt för sin domän, och att mottagaren kontrollerar detta regelverk. Domänägarens syfte är att förhindra att någon ska utge sig för att skicka e-post från företaget i fråga, och mottagande sidas syfte är att förhindra att bli lurad.

Stefan Pettersson betonar att SPF inte löser alla problem, men att det är ett gott steg på vägen.

- Dessutom bör förfalskad information i headern förhindras, för detta finns exempelvis Sender- ID, vilket ofta blandas ihop med SPF. Även om man använder sig av SPF är det nämligen möjligt att ange valfri adress i från-fältet i mejlhuvudet. Det går dock med SPF att se om avsändaren inte är den han utger för att vara genom att i e-postklienten spåra varifrån mejlet kommit.

Syftet med SPF är bland annat att förhindra nätfiske, där möjliggörs för exempelvis det fiktiva företaget ”Banken” att lägga in regler att vem som helst inte kan skicka e-post från banken.se. En annan poäng är att förhindra så kallad backscatter, det vill säga när en domän använts för skräppostutskick så studsar inte mejl som inte når fram eftersom mejlet inte tillåtits skickas iväg.

Vad Bostorp och Pettersson har undersökt är utbredningen av SPF på svenska domäner, särskilt storföretag. På Large Cap-listan, med nordens absolut största börsnoterade företag och börsvärden som överskrider en miljard euro, använde sig 18 av 57 företag av SPF, eller 31,6 procent. För mindre företag, på Mid Cap respektive Small Cap, är siffrorna 19,5 respektive 18,4 procent.

Förutom att utnyttjas vid nätfiske ser de båda en risk att domäner som inte använder SPF kan användas vid riktade attacker. Som ett exempel på sådant nämns hur höga chefer på ett antal icke nämnda svenska företag i början av året utsattes av skräddarsydda attacker med bifogade skadliga filer med namn som ”likviditetsrapport”. Avsändaren såg ut att vara en medarbetare på företaget. Med SPF finns möjligheten att upptäcka denna form av förfalskning.

Carl-Johan Bostorp berättar att man också undersökt användningen av Sender ID. Detta kan ses som ett alternativ till SPF men undersöker istället från-adressen i mejlhuvudet. Av de börsnoterade företagen använder dock inte ett enda av de Sender ID och endast ett fåtal av de övriga domänerna.

Konceptuell modell av SPF.


Illustration: HPS.


Rapporten finns publicerad på: www.hps.se/10.0.2.0/61/HPS-SPF-April-2009.pdf