Skip to content
Nettbutikk
Search icon
Nettbutikk

Den usynlige sikkerhetsglippen

Microsoft beskriver en bølge av phishing der angripere utnytter kompleks e-postruting og svakt/ikke håndhevet spoof-vern til å sende e-poster som ser ut som de kommer fra din egen organisasjon. NSR beskriver samtidig at de siste året har varslet over 1400 virksomheter i 177 kommuner, på tvers av bransjer. Og at 82 % av de varslede er SMB.  

DMARC: Den usynlige sikkerhetsglippen som gjør at “interne” e-poster kan være falske

dmarc

Mange SMB-ledere sier det samme når vi snakker om e-post og sikkerhet:
“Vi har Microsoft 365. Vi er ivaretatt.”

Det er en forståelig antagelse. Og likevel er den ofte feil i praksis fordi e-post ikke blir trygg av at du “har Microsoft 365”, men av at domenet ditt faktisk er konfigurert til å stoppe forfalskede e-poster. Her kommer DMARC inn som en del av mange elementer.

Hva DMARC er – forklart uten forkortelser
DMARC er i praksis to ting:

  • En regel (policy) som forteller mottakende e-postsystem hva de skal gjøre når en e-post “fra deg” ikke kan bevises å være fra deg.
  • En rapporteringsmekanisme som gir deg innsikt i hvem som faktisk sender e-post på vegne av domenet ditt (legitimt og illegitimt).  

Et konkret eksempel: “CEO-mailen” som ikke burde kunne eksistere

Tenk deg at økonomisjefen får en e-post som ser ut til å komme fra daglig leder:
“Kan du betale denne fakturaen før lunsj? Vi er forsinket.”

Hvis domenet ditt ikke har DMARC (eller har p=none), kan en angriper sende en slik e-post med din bedrifts domene i “Fra”-feltet, og mottakende system har ingen klar policy som sier “stopp dette”.  

Med DMARC p=reject sier domenet ditt:
“Hvis e-post ‘fra oss’ ikke kan bekreftes via SPF/DKIM og alignment, skal den avvises.”  

Poenget: DMARC er “setebeltet” som gjør at andre sikkerhetsmekanismer faktisk får konsekvens.

Hva Cloudahead gjør i denne kampanjen 

Vi møter ofte bedrifter som føler seg ivaretatt, men som ikke har sjekket de tre tingene som avgjør:

  1. Har domenet DMARC i det hele tatt – og hvilket nivå? (none/quarantine/reject)
  2. Er SPF og DKIM riktig, og er avsenderne “alignet” så DMARC faktisk kan passere?
  3. Har dere kompleks ruting / connectors som kan gjøre at spoof-beskyttelse ikke håndheves slik dere tror?  
I praksis handler dette om å gå fra vi tror til vi vet. Vii ta en rask domenesjekk og gi deg en konkret plan:  hva dere må rette, i hvilken rekkefølge, og hvordan dere kommer trygt til p=reject uten å knekke legitime utsendelser.