Phishingattacker är idag mycket vanliga. I takt med att skydd mot infekterade bilagor blivit allt bättre riktar illasinnade aktörer in sig allt mer på att istället försöka stjäla lösenord och lura till sig pengar genom att utge sig för att vara till exempel en vd på företaget för att lura ekonomichefen att betala ut pengar. För att maximera skyddet behöver alltså antivirusskydd kompletteras med andra skydd för din e-postdomän. Som ett exempel kan nämnas att Office 365 under andra halvan av 2017 stoppade en miljard phishingbrev, vilket säger en del om hur vanligt sådana attacker är och hur viktigt det är att använda tvåfaktorsinloggning.

Just Office 365 har på senare tid skruvat upp kraven på avsändarna och börjat placera brev från avsändare som inte har korrekt konfiguration i skräppostmappen, något som väckt en hel del frustration eftersom du som mottagare inte styr över detta utan snarast behöver påtala för den som skickar brev till dig att de behöver få ordning på sin konfiguration.

Ålderdomligt protokoll
E-post överförs som bekant med ett protokoll som heter smtp och detta protokoll såg dagens ljus redan 1981. Det utformades under en tid då säkerhet inte var prioriterat och ingen kunde på den tiden förutse internets framväxt och popularitet. Även om diverse tillägg har skett under åren är det fortfarande samma protokoll som används för överföring av e-post idag.

Läs också: Microsoft tar hjälp av svenskt bolag för lösenordsfri inloggning i Windows

Den enkla utformningen av protokollet innebär att det är väldigt enkelt för avsändaren att utge sig för att vara någon annan än den man är. Eftersom det är svårt att förändra ett så gammalt och välanvänt protokoll så har man istället försökt se till att mottagande system ges så bra förutsättningar som möjligt att fastställa äktheten i brevet på andra sätt.

Över tid har olika standarder växt fram för att erbjuda skydd för e-post. De huvudsakliga standarderna är tre till antalet och kallas SPF, DKIM och DMARC. Vi ska i den här artikeln se hur dessa fungerar och samverkar.

Kuvert och brev
Innan vi börjar är det några saker på teknisk nivå vi behöver ha koll på. Ett mejl består egentligen av två delar, den yttre delen (kuvert) och den inre delen (brevet). På kuvertet anges enbart sändare (MAILFROM:) och mottagare (RCPT TO:), medan brevet i sig har många olika egenskaper definierade, bland annat sändare (Header FROM:) och mottagare en gång till.

Det kan låta märkligt, men det finns goda skäl att det ser ut så. Exempelvis vill tredjepartstjänster ofta använda sin egen adress som avsändare på kuvertet för att kunna ta hand om svar då en mottagare inte finns, men de vill att kundens avsändare ska synas för mottagaren. Det är nämligen så att det du ser presenterat i Outlook (eller annan e-postklient) som avsändare och mottagare är de ”inre” adresserna, det vill säga uppgifterna i själva brevet. Dessa dubbla avsändare är centrala för problemet kring phishing eftersom det gör det enklare att missbruka adresser. Låt oss nu se hur man kan skydda sig mot missbruk av dessa adresser.

SPF
Sender Policy Framework (SPF) är en äldre standard och ett första försök att hindra missbruk av e-post så att man inte så enkelt kan utge sig för att vara någon annan. SPF går ut på att du i DNS publicerar ett värde som anger vilka servrar som får skicka e-post för din domän. Mottagande system kan hämta listan och jämföra med den server som levererade brevet. Finns den med så kommer brevet från korrekt avsändare, annars inte.

Detta låter enkelt och effektivt, men är enkelt att lura då det enbart är kuvertets avsändare som jämförs med listan och inte själva brevets avsändare. Eftersom mottagarens e-postklient visar den inre avsändaren för användaren så blir skyddet tandlöst eftersom en elak aktör kan skicka ut brev som någon annan och ändå kommer SPF-värdet att valideras korrekt.

SPF fungerar heller inte vid eftersändning av e-post då ett sådant brev ser ut som att det skickats från en felaktig server. SPF är dock en viktig byggsten för komplett säkerhet, så se till att ha stenkoll på allt som skickar e-post med din domän som avsändare och ange dessa i ditt SPF-värde.

DKIM
DomainKeys Identified Mail (DKIM) är en modernare uppfinning som bygger på kryptering med publika och privata nycklar. När ett brev skickas från ett system som kan hantera DKIM bakas en liten krypterad bubbla in i mejlet. Bubblan innehåller en checksumma (hash) som beräknas och är unikt för detta brev.

Läs också: Kryptokapningarna har ökat lavinartat under 2018

Vissa av fälten i brevet (avsändare, mottagare, ämne och så vidare) får också en beräknad checksumma som krypteras med avsändande systems privata nyckel. Den publika nyckelhalvan publiceras i DNS så att mottagande system kan hämta den. När mottagarsystemet får ett brev så hämtar den nyckeln i DNS och beräknar egna checksummor på brevet och dess olika fält. Om mottagarsystemet lyckas dekryptera bubblan och de olika fältens checksummor så vet den att brevet garanterat kommer från det e-postsystem som anges i DKIM-fältet i brevet. Den vet också att brevet inte har förändrats under transporten, för då skulle de dekrypterade checksummorna inte stämma överens med dem den beräknat själv.

DKIM är alltså bra på att garantera integritet avseende e-post och att se till att man vet att det kommer från ett visst avsändande e-postsystem. En annan fördel är att automatisk vidarebefordran av e-post fungerar, då DKIM-informationen färdas intakt med brevet, även om kuvertet byts ut. Men även DKIM går att lura, då en elak avsändare kan ange i brevet att dekypteringsnyckeln ska hämtas för en annan domän än den domän som är avsändare av brevet. Så även om du kan vara spiksäker på att brevet kommer från just den elaka avsändarens domän så är ännu inte mycket vunnet. Vi behöver alltså en tredje pusselbit som knyter ihop säcken, vilket tar oss till:

DMARC
Domain-based Message Authentication, Reporting and Conformance (DMARC) dök upp 2012 genom ett samarbete mellan bland andra AOL, Yahoo och Facebook som ett försök att komma till rätta med problemet med falska avsändare och phishing. Genom att publicera ett DMARC-värde i din DNS anger du för mottagaren att du som avsändare av e-post har konfigurerat allt korrekt och uttryckligen säger att all e-post som avviker från korrekt validering via SPF och DKIM ska kastas.

Detta gör att mottagande system slipper gissa om brevet är legitimt eller ej och du kan vara säker på att det kommer att levereras till mottagaren. DMARC använder både SPF och DKIM för att säkerställa att brevet kommer från rätt källa. För SPF kollas att det är samma avsändare på både kuvert och brev. För DKIM kollas att domäninformationen i DKIM stämmer överens med den inre avsändaradressen. Om adresserna inte stämmer överens och du har publicerat ett DMARC-värde så vet mottagaren att detta är skräppost.

Så kommer du igång
DMARC kan konfigureras med flera olika parametrar. Troligen vill du mjukstarta med att enbart införa en kontroll av hur din domän används genom att ange parametern p=none. Du vill troligen också ange en e-postadress i DMARC-värdet som tar emot rapporter från externa system om hur brev från din domän har behandlats.

Läs också: Microsofts phishing-skydd finns nu till Google Chrome

Detta brevflöde kan snabbt bli övermäktigt att klara av manuellt och du vill troligen ta hjälp av en tredjepartslösning för att analysera dessa rapporter. Exempel på företag som har en sådan tjänst är Dmarcian och Agari. När allt e-postflöde är inventerat och skyddat med SPF och DKIM så kan du konfigurera DMARC med p=reject vilket bör vara målet med DMARC.

Fler skydd
För att täppa till de sista hålen som inte skyddas av DMARC, till exempel genom att hindra någon från att ange ett felaktigt ”Display Name” som visas i e-postklienten eller hindra att någon registrerar en domän som är snarlik din egen (m1crosoft.com eller miccrosoft.com och så vidare) och skickar brev till dina användare från denna, så behöver ytterligare skydd konfigureras i din e-posttjänst.

Det finns idag inga officiella standarder för denna typ av skydd, utan detta är upp till varje leverantör att uppfylla. I Office 365 finns tjänsten ATP Anti-Phish som kan konfigureras och kompletterar SPF, DKIM och DMARC med skydd mot dessa svagheter. För att komma så nära ett komplett skydd som möjligt bör du införa alla dessa fyra skydd om du har din e-post i Office 365, har du gjort det kan knappast någon komma och klaga på att du inte gjort allt för att skydda ditt företag mot missbruk av e-post.