E-postsäkerhet kan betyda många olika saker. Till exempel att ingen obehörig ska kunna läsa innehållet, att lita på innehållet och att det kommer från rätt avsändare, att det inte innehåller något skadligt eller att ingen obehörig ska kunna komma åt ditt e-postkonto. Det finns ingen generell metod som skyddar mot allt. Därför är det viktigt att välja rätt skydd beroende på vad man är ute efter och vilka risker man ser. I den här artikeln går vi igenom några av de vanligaste skyddsteknikerna för e-post.

Först: Vad skyddar du dig mot?

Innan du väljer eller väljer bort vissa typer av skydd, så är det första steget att veta vad du vill eller behöver skydda sig mot, och om det finns någon specifik hotbild.

För vissa handlar e-postsäkerhet om att skydda innehållet från obehöriga, men det kan i många fall vara lika viktigt att kunna lita på innehållet, alltså försäkra sig om att ett meddelande är äkta och inte har skickats eller förändrats av någon obehörig. Det senare är speciellt viktigt i en värld där vi ser nätbedrägerierna bli fler och mer sofistikerade och bedragarna blir bättre och bättre på att skicka e-post som ser okej ut. I andra sammanhang kan det finnas en specifik hotbild – du kanske arbetar med något som andra vill komma åt.

Några exempel på hot mot din e-post:
• Någon vill ta över ditt e-postkonto.
• Någon vill lura dig eller dem du skickar e-post till.
• Någon vill komma åt innehållet i dina e-postmeddelanden.
• Någon försöker infektera din dator med skadlig kod.
• Du drunknar i skräppost.

Inget av de här hoten är egentligen nya, även om vi ser en tydlig trend där nätbedrägerier, nätfiske (phishing) och riktade attacker ökar, samtidigt som avlyssningshotet ökar.

De flesta av skyddsteknikerna vi går igenom här är inte heller nya, men trots det är det fortfarande många som inte använder dem – trots att det borde göra det. Det är sällan frågan om dyra produkter, utan sådant som i flera fall går att konfigurera och aktivera i befintliga e-postlösningar. För den som inte kan eller vill investera i kommersiella lösningar finns det också flera fria alternativ baserade på öppen källkod.

Metod 1: Skydda inloggningen

Det första du bör göra att skydda åtkomsten till ditt e-postkonto, och om möjligt komplettera ditt lösenord med någon form av tvåstegsverifiering eller tvåfaktorautenticering.

Ett exempel är att du när du angett användarnamn och lösenord får ett sms till mobiltelefonen med en kod du måste ange för att kunna logga in.

Ett annat exempel är en dosa eller app som visar engångskoder. Banker erbjuder ju sedan länge både säkerhetsdosor och BankID. Nu har även Google infört vad de kallar för säkerhetsnyckel, vilket är en fysisk nyckel du måste sätta in i datorns usb-port för att kunna logga in. Lite kuriosa i sammanhanget är att just den lösningen är svensk och tillverkas av företaget Yubico.

Om du till exempel använder molntjänsterna Gmail, Google Apps, Outlook.com eller Office 365 så finns tvåstegsverifiering inbyggt och kan användas utan kostnad. På bilderna nedan ser du hur det ser ut när tvåstegsverifiering är påslaget.

Outlook
Tvåstegsverifiering i Outlook ...

Google Authenticator
... och tvåstegsverifiering med Google Authenticator.

För dig som driftar din egen e-postmiljö finns det ett flertal kommersiella lösningar för tvåfaktorautenticering, utöver Yubikey från Yubico även RSA SecurID från EMC, Safenet från Gemalto och Pointsharp ID från svenska Pointsharp.

Ett problem med tvåstegsverifiering är att många e-postklienter inte klarar av det andra steget efter användarnamn och lösenord. I sådana fall måste du generera ett applikationsspecifikt lösenord. Det fungerar som ditt vanliga lösenord, men är ett extra lösenord, som bara används av ett specifikt program, i det här fallet e-postklienten i din dator eller telefon. Det gör till exempel att du lätt kan komma åt din e-post från din dator eller telefon utan att varje gång behöva använda tvåstegsverifiering. För att app-specifika lösenord ska vara säkra krävs också att kommunikationen med e-postservern är krypterad – mer om det senare.

Att hantera sina lösenord på ett säkert sätt och att välja bra lösenord är alltid viktigt, i synnerhet om du inte kan använda tvåstegsverifiering. Då är ju lösenordet det enda skydd du har mot obehörig åtkomst. Om du skulle bli av med lösenordet så saknar du det inte förrän någon obehörig har använt det … och då är det ju för sent.

Metod 2: Patcha!

Patchning har inte i sig så mycket med e-post att göra, men det är viktigt att komma ihåg att skadlig kod ofta utnyttjar kända säkerhetsbrister. Det gäller även skadlig kod som kommer med e-posten.

I de flesta fall finns redan säkerhetsuppdateringar som täpper till sårbarheterna. Därför kan vi inte tillräckligt mycket poängtera vikten av att uppdatera sina system och program. Det gäller inte bara e-postprogrammet och e-postservern, utan också operativsystemet och övriga program i datorn eller telefonen. Genom att hålla din it-miljö uppdaterad har du redan hanterat hotet från många av de vanligaste sårbarheterna.

Metod 3: Använd virusskydd

Det kanske kan verka uttjatat att prata om virusskydd, alltså det som på engelska kallas antivirus. Men precis som patchning så ger det ett bra grundläggande skydd.

Utvecklingen inom skadlig kod gör att det blivit allt svårare, ibland omöjligt, för traditionella signaturbaserade virusskydd att försvara dig helt och hållet, men du får ändå ett bra grundskydd mot många av de vanligaste hoten.

Vissa virusskydd innehåller dessutom olika former av utökade skydd mot skadligt beteende, till exempel kontroll av avsändarens rykte och eventuella länkar i meddelandet, kod- och beteendeanalys.

Virusskydd kan användas både på servern och i e-postklienten, och de kompletterar varandra. Använder du någon av de vanligaste molntjänsterna brukar virusskydd ingå, men om du driftar din egen it-miljö bör du se över att skyddet finns på både server- och klientsidan och att det alltid är uppdaterat.

Metod 4: Konfigurera dns

Om du äger din egen domän känner du förmodligen till att du i dns, domain name system, med en eller flera så kallade mx-poster pekar ut vilken server som tar emot din e-post. Det här gör du oavsett om du driftar dina e-postservrar själv eller använder en molntjänst.

Förutom den inställningen finns det numera flera möjligheter att till exempel tala om vilka servrar som är betrodda att skicka e-post från din domän, eller att publicera en publik nyckel som din e-postserver använder för att signera utgående e-post.

Det här är några av de vanligaste teknikerna för detta:

Spf, sender policy framework
Genom att tala om för omvärlden vilka servrar som får skicka e-post från din domän minskar du risken att någon obehörig använder din domän för att skicka e-post.
En domän som saknar spf kan användas av vem som helst för att skicka e-post. Det inte är svårare att göra än att lägga ett vanligt brev med en påhittad avsändaradress i en brevlåda.

Spf skyddar dig inte mot helt och hållet mot skräppost. Om du konfigurerar spf för din domän minskar risken för att din domän används som avsändare för skräppost. Om du aktiverar spf-kontroll i din e-postserver kommer meddelanden som skickas till dig från domäner med spf att avvisas om de inte skickas från en godkänd server.

Att aktivera spf-kontroll i sin e-postserver är i många fall inte svårare än att kryssa i en ruta i konfigurationen eller lägga till ett par rader i konfigurationsfilen, men det är lika viktigt att konfigurera sin egen dns så att omvärlden vet vilka servrar som får skicka e-post från just din domän.


Så berättar du för omvärlden vem som får skicka e-post från din domän

Så här kan spf se ut i dns:
dindoman.se IN TXT "v=spf1 mx ptr ip4:192.0.2.0/32 -all"
 
v=spf1 anger att det är en spf-post och vilken version.
mx anger att alla servrar som tar emot e-post för domänen även är betrodda med att skicka e-post.
ptr anger att alla servrar vars domän är din domän får skicka e-post.
ip4:192.0.2.3 anger att servern med ip-adress 192.0.2.3 får skicka e-post från domänen.
-all anger att ingen annan än de här angivna får skicka e-post från domänen, det vill säga strikt policy. E-post som inte uppfyller dessa kriterier ska avvisas av mottagaren. Bindestrecket kan ersättas med ~ (tilde-tecknet) för att ange en mer liberal policy, så kallad soft fail. Då kommer meddelandena att levereras, men märkas av e-postservern. Det kan vara ett bra sätt att börja på om man vill testa konfigurationen.
 
En komplett beskrivning av spf med fler konfigurationsalternativ hittar du på www.openspf.org
 

Dkim, domainkeys identified mail
Den här tekniken innebär att du publicerar en publik nyckel i dns. Den motsvarande privata nyckeln finns i din e-postserver och används för att signera alla utgående e-postmeddelanden. E-postservern skapar en signatur som lagras i meddelandets header och verifieras av mottagaren.

Dkim kräver inte att någon annan signerar e-postserverns nyckel som i fallet med ssl-certifikat, eftersom var och en som vill använda dkim publicerar sin egen nyckel i sin dns.

Dmarc, domain-based message authentication, reporting and conformance
Den här metoden standardiserar hur mekanismer som spf och dkim används. Arbetet pågår och bedrivs inom IETF, Internet Engineering Task Force och stöds av de flesta större aktörer, till exempel Facebook, Google, Microsoft, Yahoo och Paypal. Den senaste versionen är i skrivande stund daterad 4 december 2014.

En risk med ovanstående tekniker är att om inte alla servrar som är betrodda att skicka e-post från din domän är dokumenterade och listade i dns eller kan förse utgående e-post med dkim-signaturer, kommer dessa meddelanden att blockeras hos många mottagare. Detta sker vanligen till exempel om man använder en extern leverantör för utskick av nyhetsbrev. Alla servrar som dina leverantörer använder måste också publiceras i dina dns-poster för spf och dkim.

Metod 5: Svart- och grålista

Svartlistning
... är en teknik som blockerar kända avsändare av skräppost och skadlig kod. E-postservern ”prenumererar” på dessa listor – några av de mest kända är spamhaus.org och spamcop.net, men det finns många fler.

Beroende på vilka svartlistor man använder kan man få ett mycket effektivt skydd. Men om du ska använda svartlistning bör du vara medveten om de risker som finns: regler och rutiner för att svartlistas är ibland bristfälliga, och det kan också vara svårt att bli avlistad även om din organisations svartlistats felaktigt.

Genom att använda en svartlista delegerar du också till någon annan att bestämma ifrån vem du tar emot e-post eller inte. Det kan vara både bra och dåligt, men var medveten om att det är en risk. Om leverantören av svartlistan utsätts för en attack kan det också drabba din egen möjlighet att ta emot e-post, så undvik till exempel en restriktiv policy som avvisar alla inkommande meddelanden om svartlistan inte är tillgänglig.

Grålistning
... är ett alternativ till svartlistning. Tekniken bygger på att alla meddelanden tillfälligt avvisas (så kallad soft bounce eller tillfälligt fel) första gången e-postservern ser en ny kombination av avsändare, mottagare och e-postserver. Meddelandet sparas i den avsändande e-postserverns kö och nya försök att leverera meddelandet görs senare.

Vid nästa försök en stund senare tillåts e-postmeddelandet. Effekten blir att mejl som skickas första gången blir fördröjda, men mängden skräppost minskar drastiskt eftersom den som skickar skräppost skickar så stora volymer att de inte har plats för flera leveransförsök till en och samma mottagare.

Ett råd angående grålistning är att endast slå på det för de användare som upplever stora problem med skräppost, eftersom det också kan upplevas som jobbigt med att e-post från nya avsändare inte kommer fram direkt.

Metod 6: Kryptera

Kryptering kan ske flera nivåer och olika typer av skydd. Många associerar e-postkryptering med programmet PGP eller standarden s/mime, vilket ger ett bra skydd i hela kedjan från avsändare till mottagare, men dessa tekniker kräver å andra sidan att båda lär sig hur man gör och installerar programvara.

Ett annat sätt är att låta e-postservern kryptera själva överföringen av meddelandet under tiden det färdas på internet, det är i många fall tillräckligt.

Vilken eller vilka lösningar man väljer beror på vad man vill skydda sig mot. Pgp och s/mime ger ett skydd av hela meddelandekedjan från avsändare till mottagare, men är som sagt krångligare. Om hotbilden främst är riktad mot själva överföringen på internet kan det räcka med att kryptera trafiken mellan servrarna och e-postklienterna.

Viktigt att tänka på är dock att varken PGP eller s/mime ger något trafikskydd. Även om meddelandenas innehåll är krypterat ger inte de mekanismerna något skydd för avsändarens eller mottagarens identiteter.

Om det finns risk för att du förlorar din dator eller mobiltelefon ska du absolut kryptera hårddisken också. Det är enkelt att göra med Bitlocker i Windows eller Filevault i Mac OS, men eftersom den tekniken inte är e-postspecifik beskriver vi den inte här.

PGP och s/mime – kryptering av meddelanden
För att skydda e-posten hela vägen från avsändare till mottagare kan man använda PGP (Pretty Good Privacy) eller s/mime. I grunden gör de ungefär samma sak, men skiljer sig åt i hur nyckelhanteringen fungerar.

I PGP används en modell som kallas för web of trust, där varje användare bestämmer vilka andra användare man vill lita på.

I s/mime utfärdas nycklarna av en ca-tjänst, certificate authority, på ungefär samma sätt som ssl-certifikat till exempel webbservrar.

Många e-postprogram har inbyggt stöd för s/mime, medan PGP kräver att man installerar en programvara. Det finns både fria och kommersiella alternativ. De kommersiella produkterna har även extra funktionalitet för att underlätta utrullning och administration, bland annat för nyckeldistribution som är en av de stora utmaningarna med e-postkryptering.

Starttls – kryptering av trafik
Tekniken med kryptering mellan e-postservrar brukar kallas för starttls – namnet kommer av kommandot för att starta tls-kryptering.

Tekniken innebär att meddelandet är krypterat under tiden det överförs på internet, men är okrypterat i avsändarnas- och mottagarnas brevlådor. Trots namnet kan starttls innebära ssl-krypteraring i stället för tls.

Tekniken är frivillig och går till så att två e-postservrar som båda har stöd för tekniken gemensamt väljer en kryptering som båda kan använda. Det kallas för opportunistic encryption, och om förhandlingen misslyckas eller bara den ena servern har stöd för tekniken sker överföringen i klartext i stället.

Du som administratör måste dels förse din e-postserver med ett ssl-certifikat, dels konfigurera och slå på funktionen. Utöver det kan man om man vill ange att kryptering alltid ska ske för vissa domäner, men då rekommenderas en överenskommelse med den andra organisationen för att säkerställa att det alltid fungerar.

Även trafiken mellan e-postklient och server ska vara krypterad, och det finns stöd för starttls i pop3 och imap.

e-postsäkerhet
E-postflödet från avsändare till mottagare.

Metod 7: Var skeptisk

Många, både enskilda individer och organisationer har lärt sig den hårda vägen att teknik inte räcker hela vägen. Även om du skyddar dig med det senaste av virusskydd, kryptering och patchar, så kan ditt beteende försätta allt detta ur spel.

Var skeptisk till innehållet i e-posten och lita inte på allt som du får i din inkorg. I takt med att de tekniska skydden blir bättre, blir förövarna bättre på att luras.
 

Sammanfattning: Så skyddar metoderna
  Skadlig kod, dataintrång Kryptering (Konfidentialitet) Signering (Integritet) Skräppost
Virusskydd X     X*
Svart- och grålistning       X
Spf, dkim och dmarc     X** X
Starttls   X    
PGP och s/mime   X X  
Tvåstegsverifiering X      
* Vissa lösningar hanterar även skräppost.
** Dkim och dmarc innefattar signering i betydelsen att man kan lita på att meddelandets avsändarserver är betrodd att skicka meddelanden från domänen.

TechWorlds slutsats

Sammanfattningsvis så finns det några saker du alltid bör använda eller jobba med oavsett hotbild: tvåstegsverifiering, patchning, virusskydd och kryptering av e-postserverns kommunikation.

Kryptering av e-postmeddelanden med PGP eller s/mime kräver en större insats av både dig och de som du kommunicerar med, och det är inte alltid den insatsen motsvarar hotbilden. Många anser att allt som går att kryptera ska krypteras, helt enkelt därför att det då blir svårare för obehöriga att veta vad som faktiskt är hemligt och ge sig på just detta. Med bra krypteringslösningar är det dock ändå så svårt att knäcka krypton att fokus i stället skiftar mot användaren och e-postklienten. Kommer man åt dessa så kan man ju även komma åt den okrypterade informationen.

Om du ansvarar för e-postsäkerheten i din organisation så är säker inloggning med tvåstegsverifiering och krypterade anslutningar hög prioritet, därefter bör du ta dig en titt på spf, dkim och dmarc.

Fakta

dkim, domainkeys identified mail: Tekniken som innebär att du publicerar en publik nyckel i dns.
dmarc, domain-based message authentication, reporting and conformance: Standard för kontroll av e-postmeddelanden som håller på att utvecklas.
mx-post: Post i dns som anger vilken eller vilka servrar i en domän som tar emot e-post adresserad till domänen.
smtp, simple mail transfer protocol: Protokoll som styr hur e-postservrar kommunicerar.
spf, sender policy framework: Ett sätt att i dns tala om för omvärlden vilka servrar som är betrodda att skicka e-post från ett visst domännamn.
starttls: Kommando i smtp-protokollet som aktiverar kryptering

tinytw.se/dmarc - ”Äntligen säker e-post – dmarc är här” – en tidigare TechWorld-artikel om dmarc.
www.openspf.org - Officiella webbplatsen för spf.
www.dkim.org - Officiella webbplatsen för dkim.
www.dmarc.org - Officiella webbplatsen för dmarc.
www.openpgp.org - Mer om PGP hos The OpenPGP Alliance, en sammanslutning av organisationer som implementerar den föreslagna standarden OpenPGP.
www.gnupg.org - en kostnadsfri implementation av PGP.
starttls.se - Testa om e-postservern kan ta emot krypterade anslutningar.