För ett år sedan avslöjade TechWorld att flera riksdagspartiers e-postservrar stod på amerikansk mark. Trots den då nyligen uppblossade NSA-skandalen verkade de berörda partierna inte se det som något akut problem.

Under året som gått har Edward Snowdens avslöjanden och flera allvarliga säkerhetsincidenter satt ytterligare fokus på både övervakningsfrågor och skydd av data. Därför är det anmärkningsvärt att de riksdagspartier som förra året uppmärksammades om riskerna med att inte ha sina servrar på svensk mark, fortfarande inte har gjort något åt det.

Anne-Marie
Anne-Marie Eklund-Löwinder

– En konsekvens av att e-postservrar är placerade utanför Sverige är givetvis att e-postkommunikationen passerar ett främmande land på sin väg till mottagaren. Med tanke på att kommunikationen ofta också är oskyddad innebär det en onödig risk för exponering av känslig information, säger Anne-Marie Eklund-Löwinder, säkerhetschef på stiftelsen för internetinfrastruktur, Punkt SE.

Hon lät Punkt SE:s dns-expert Patrik Wallström göra en kontroll av samtliga riksdagspartiers e-postservrars geografiska placering. Det sker genom att kontrollera de så kallade mail exchanger records, mx-pekare, en dns-resurs som talar om för sändaren hur man skickar e-post till din domän. Det gör att internet kan hitta din domän på flera sätt. Varje mx-record pekar till en e-postserver som är konfigurerad att hantera e-post för domännamnet.

Det här blev resultatet vid uppslagningen av riksdagspartiernas domännamn:

feministisktinitiativ.se: SE dc-fce55bc9.feministisktinitiativ.se 91.201.61.15

socialdemokraterna.se: GB GB socialdemokraterna-se.mail.eo.outlook.com
213.199.154.87 213.199.154.23

sverigedemokraterna.se: US smtp.sverigedemokraterna.se 72.20.55.86

folkpartiet.se: US US US US US aspmx3.googlemail.com aspmx.l.google.com
aspmx2.googlemail.com alt2.aspmx.l.google.com alt1.aspmx.l.google.com
74.125.31.27 64.233.165.27 74.125.203.27 173.194.72.27 74.125.203.27

moderat.se: SE SE SE SE SE SE smtp-in.sto-ste.se.stejtech.net smtp-in.sto-
hy.se.stejtech.net 91.236.209.137 79.136.102.90 83.140.31.145 91.236.209.10
91.236.208.10 79.136.102.100

mp.se: US US US US US ALT1.ASPMX.L.GOOGLE.COM
ALT2.ASPMX.L.GOOGLE.COM ASPMX3.GOOGLEMAIL.COM
ASPMX2.GOOGLEMAIL.COM ASPMX.L.GOOGLE.COM 74.125.203.27
173.194.72.27 74.125.31.27 74.125.203.27 64.233.165.27

centerpartiet.se: SE SE mailgate108.vas.invid.se mailgate116.vas.invid.se
213.204.179.108 213.204.179.116

kristdemokraterna.se: SE SE SE SE SE SE smtp-in.sto-hy.se.stejtech.net smtp-
in.sto-ste.se.stejtech.net 91.236.209.10 91.236.208.10 79.136.102.100
91.236.209.137 79.136.102.90 83.140.31.145

vansterpartiet.se: SE vpmail01.admax.se 194.32.151.110

piratpartiet.se: SE mail.piratpartiet.se 194.14.56.227

Total with only MX in SE:
3 Total with some MX in SE: 6 Total with MX outside of SE: 4
Total missing MX: 0 All names: 10

Det som står efter partiernas domäner är länderna för alla ip-adresser, för alla mx-pekare. Socialdemokraterna.se, sverigedemokraterna.se, mp.se och folkpartiet.se har enbart e-postservrar utanför Sverige.

Anne-Marie Eklund-Löwinder ser stora brister i hur organisationer skyddar sin e-post. Kryptering verkar till exempel vara relativt sällsynt.

­– Samtidigt som vi noterar att många verksamheter med förmodat känslig information skickar sin e-post till någon tredjepartsleverantör i utlandet, ser vi att det fortfarande bara är lite drygt hälften, 54 procent, av de undersökta verksamheterna 2013, som har möjlighet att använda kryptering för transportskydd av elektronisk post.

Vilka risker är förenade med att inte kryptera e-posten?

– Om kryptering inte används för transportskydd innebär det att inte bara den svenska utan även utländska underrättelsetjänster utan större svårighet kan avlyssna trafiken. Med facit i hand kan vi också konstatera att det görs systematiskt och i en omfattning som få hade kunnat gissa.

Läs mer:

Punkt SE har i samarbete med Journalistförbundet producerat en guide med titeln ”Digitalt källskydd – en introduktion” som redovisar fallstudier, lösningar och konkreta tips på hur journalister och andra som hanterar känslig information kan värna om anonymiteten. Där finns också bra tips på hur den som har känslig information att dela kan skydda sig själv. Man har även tagit fram extramaterial till guiden – ”Digitalt källskydd XL” – som förklarar hur exempelvis kryptering används i praktiken.
https://www.iis.se/guide/digitalt-kallskydd-en-introduktion

Du kan läsa mer om riskerna med att inte skydda din e-post i Punkt SE:s senaste rapport om hälsoläget i internet-Sverige.
https://www.iis.se/docs/Halsolaget_i_se_2013.pdf

Binero förklarar hur MX-pekare fungerar:
https://www.binero.se/support/guider/domannamn/dns-hur-det-fungerar-och-hur-du-hanterar-det#&panel1-2