DMARC

Tekniske minimumskrav og DMARC-opfordring fra Center for Cybersikkerhed

Som led i den nationale cyber- og informationssikkerhedsstrategi er det besluttet, at de statslige myndigheder skal efterleve en række tekniske minimumskrav med henblik på at sikre et højt fælles sikkerhedsniveau i staten.

Nederst i indlægget kan du få et overblik over alle de minimumskrav som stilles:

Et redskab som kan imødegå truslen omkring cyberangreb er DMARC (Domain-based Message Authentication, Reporting and Conformance), som gør det muligt at forhindre mails med en forfalsket afsender. 

Læs med nedenfor for en yderligere uddybelse af hvad DMARC kan gøre for din virksomhed. 

Opnå sikkerhed på e-mails med DMARC

Udsender du nyhedsmails og vigtige informationer til kunder og brugere, så bør du sørge for sikkerhed på e-mails – især hvis du er ansvarlig for domænet hos forsikringsselskaber, banker, større virksomheder, webbutikker og lignende, hvor e-mail er en vigtig kommunikationsvej.

Falske e-mails, phishing- og spammails er et voksende problem

Det er desværre blevet en tendens, at flere og flere virksomheder oplever, at udefrakommende forsøger at sende phishing- eller spammails via deres domænenavn. Herved misbruger den udefrakommende tilliden til virksomheden eller virksomhedens brand, som kan ende med at skade virksomheden. 
Falske e-mails er en nem måde at stjæle passwords, kreditkortnumre, få adgang til brugerkonti m.m., hvilket er et stigende problem for virksomhederne, da det svækker deres troværdighed, og samtidig begrænser virksomheden egen kommunikation via e-mails. 

Det kan være svært for både kunder og brugere, som modtager e-mails i deres hverdag, at skelne mellem de rigtige e-mails og de falske, hvorved det i stigende grad er blevet meget vanskeligere for mailudbyderen at blokere alle falske e-mails. For afsenderen er det essentielt, at de e-mails, som sendes ud, når frem. Ofte er afsenderen imidlertid uvidende om problemerne med verificeringen af egne e-mails i praksis, da man som afsender, ofte mangler indsigt i hvilke e-mails der ikke når frem og hvorfor.

Fortvivl ikke, disse problemer kan du med DMARC adressere. 

Hvordan skaber du en sikker e-mailkommunikation, og undgår falske e-mails?

Med DMARC kan du beskytte dine brugere/kunder mod falske e-mails sendt fra dit domæne. Du kan derudover også sikre, at så stor en procentdel som overhovedet muligt modtager dine e-mails, og at de herved ikke bliver ændret undervejs, ikke havner i spamfoldere, ikke bliver afvist eller ryger i karantæne.

Hvad er DMARC? – Verificering af afsender

DMARC er en godkendelsesprocedure for e-mails og er specielt designet til at beskytte mod domæne spoofing – dvs. når en e-mail sendes fra en uautoriseret/falsk afsender fra f.eks. en virksomheds domænenavn. Via protokollerne SPF (Sender Policy Framework) og DKIM (Domain Keys Identified Message – dvs. en signatur på e-mailen) gør DMARC det nemt for de forskellige mailservere hos f.eks. Google, Hotmail eller Office 365 at verificere afsenderens identitet og dermed identificere evt. falske eller potentielt skadelige e-mails sendt fra dit domæne.

Ens håndtering af falske e-mails fra alle mailservere

Mailservere har hver deres policy omkring verificeringen af e-mails. Det betyder, at mens en e-mail hos f.eks. Google bliver markeret som spam, så vil den samme e-mail hos en anden udbyder ryge direkte videre i indbakken hos brugeren. Med DMARC kan du via egne policies guide mailserverne (via DNS) til, hvordan de skal håndtere falske eller potentielt skadelige e-mails sendt fra dit domænenavn. Ved at anmode om at visse e-mails (som ikke er beskyttet med SPF og/eller DKIM) blokeres eller slettes, kan du eliminere dine brugeres/kunders eksponering af falske e-mails fra dit domæne.

Ved brug af DMARC sikrer du altså, at alle mailservere håndterer dine e-mails på samme måde, når det gælder anmeldelse af spam, karantæne eller afvisning af e-mails. Igennem DMARC kan du derudover også få feedback, når e-mails bliver modtaget og/eller blokeret. På den måde er det altså muligt at opnå et større overblik over, om hvor stor en del af de e-mails, du sender ud, som når frem.

Har du e-mails på eget domænenavn, så anbefales det, at du undersøger, om din udbyder understøtter DMARC. 

Kontakt os, og lad os sikre dit mailflow med DMARC

Få direkte adgang til vores sikkerhedsteam!

DMARC og mail flow kræver opsætning, justering og drift for at fungere optimalt. Vi sikrer og monitorerer hvordan mail flowet fungerer med en konkret opsætning af DMARC og de rigtige mailflow polices.

Vi kan se om der er eksterne der forsøger at sende på vegne af jeres virksomhed og vi optimerer kontinuerligt så jeres virksomhed er bedst muligt beskyttet i det forhold at andre ikke misbruger jeres domæne til at sende falske e-mails ud fra og dermed kompromittere jeres navn og rygte.

Abonnementet indeholder en implementeringsfase hvor vi implementerer løsningen som et åbent mailflow. Det åbne mailflow opererer i 2 uger. Efter 2 uger gennemgår vi de monitorerings rapporter der kommer ud af monitoreringen. Herefter er inkluderet at vi retter de mail flow der måtter fejle efter at vi lukker sikkerheds ringen – og når det er på plads – lukker vi mail flowet så jeres virksomhed er sikret mod misbrug af jeres mail (domæne).

Løsningen koster 2.500 pr. år for at kunne anvende systemet. + implementering som afhænger lidt af antal domains og mails.

Begrænset til:

• 1 DKIM selector
• 1 DKIM signatur tilføjelse til mail afsendelse server.
• DNSSEC enabler domæne, hvis muligt.
• Opsætning af SPF protect (omdanner alle includes til IPv4/IPv6 adresser)

Skal der foretages rettelser efter lukning af mail flowet f.eks. grundet brug af yderligere et domæne, vil dette være efter almindelig timebetaling. Kontakt os hvis du ønsker at vide mere.

Overblik over minimumskrav for it-sikkerheden hos offentlige myndigheder:

Klienter/PC’er

•  Der skal implementeres firewall på alle klienter

• Der skal benyttes en af myndigheden stillet til rådighed VPN-løsning til at gå på internettet via arbejds-PC fra eksterne netværk

• Kryptering af harddiske

• Der skal implementeres endpoint-beskyttelse mod virus, malware mv. med automatisk opdatering på alle klienter

• Klienter skal patches og opdateres regelmæssigt – både OS og applikationer

• Administrative rettigheder for brugere tildeles kun tidsbegrænset og med veldokumenterede behov

• Det anvendte operativsystem skal være så nyt som muligt, og skal som minimum være supporteret med sikkerhedsopdateringer

Mail

• Der må kun anvendes af myndigheden godkendte mail-relays med autentifikation

• Kommunikation med mail-protokoller skal krypteres og anvende minimum TLS 1.2. Mellem statslige myndigheder stilles krav om tvungen (forced) TLS, mens der til øvrige skal sendes TLS, hvis modtager understøtter det

• Webmail må kun anvendes udenfor myndighedens lokale netværk, hvis dette foregår vha 2FA eller via en direkte VPN-forbindelse til myndighedens netværk

• DMARC REJECT policy implementeres på alle domæner tilhørende myndigheden

Mobiltelefoner og netværk

• Anvend numerisk adgangskode på minimum 6 cifre eller biometrisk identifikation

• Operativsystem og apps på mobile enheder skal opdateres regelmæssigt

Netværk

• WIFI på myndighedens arbejdsnetværk skal være krypteret med minimum WPA2

• Krav om logning, log på alle systemer og tjenester på netværksservere

Websider

• DNSSEC skal tilknyttes alle domænenavne tilhørende myndigheden

• Myndigheden skal anvende en sikker DNS-tjeneste eller implementere anden løsning til beskyttelse mod skadelige hjemmesider

• Kommunikation til hjemmesider skal krypteres og anvende minimum TLS 1.2, dvs. der skal implementeres https på alle hjemmesider

• Der må ikke anvendes Flash på hjemmesider tilhørende myndigheden

• Der skal benyttes regelmæssigt opdateret serversoftware på webservere

Kilde: DK Hostmaster