E-postsikring

E-post er en sentral del av daglig kommunikasjon for de fleste virksomheter, og er en tjeneste som er veldig sensitiv for nedetid. Samtidig er dette den største inngangsvektoren for angrep fra cyberkriminelle.

Målet med e-postsikring er å:

Sikre mot at tredjeparter kan utgi seg som avsender av dine domener.
Forhindre at e-poster sendt fra og til deg kan leses av uvedkommende under sending,
Forhindre at angripere kan sende skadevare inn til mottakere i din virksomhet.

Nasjonal sikkerhetsmyndighet (NSM) har gitt ut en mer utførlig veileder for sikring av e-post som anbefales for de som ønsker å sette seg mer inn i temaet.

Benytt en sandbox-løsning

Tradisjonell e-postsikring ser etter blant annet:

Vedleggstyper som er blokkert (Se neste punkt)
Kjent skadevare
E-post som trigger SPAM-filter (basert på avsender, DMARC), m.m.

Den er imidlertid ikke i stand til å stoppe ting som er tweaket minimalt utenfor kjente parametre. Under er en link til enVirusbulletinartikkel for de som ønsker å sette seg mer inn i dette.
En sandboxløsning vil fange opp mye av skadevare som ikke stoppes av andre sikkerhetsmekanismer. Den er ikke perfekt. Kryptert skadevare som lurer bruker til å dekryptere og deretter kjøre vil fortsatt kunne komme gjennom, men en sandbox vil redusere mengden skadevare, og dermed støy som virksomheten må håndtere dramatisk.

Virusbulletin-artikkel om omgåelse av tradisjonell e-postsikring

Blokker filtyper som ikke trengs i daglig drift

Det er mange filtyper som kan brukes for å skaffe kodeeksekvering som en del av angrepskampanjer. Veldig mange av disse er det veldig liten legitim grunn til å sende via e-post.

Vi anbefaler å se gjennom og blokkere alle filtyper som ikke er jevnlig i bruk i virksomheten.

Med dette som formål har vi en liste over filtyper vi anbefaler blokkert.

Vis avsenderadresse og avsendernavn

Mange svindlere forfalsker kun visningsnavnet, men ikke visningsadressen i en e-post. E-posklienter, som f.eks. standardklienten på iPhone viser bare visningsnavet.

Påse at standard e-postklient i bruk på PCer o.l. viser begge deler.

Dette er illustrert i bildet hvor avsendernavnet er forfalsket, men hvor avsenderadressen tydelig ikke stemmer overens.

Svindel-e-post med forfalsket avsendernavn: "Annemette Gustavson", og ekte avsenderadresse "dicus01@twc.com"

(Avsenderadressen kan også forfalskes, men det krever mer av svindlerne)

Bruk DMARC på alle domener

Domain Message Authenticaion Reporting and Conformance (DMARC) er en sikringsmekanisme som bør brukes på alle domener, både de som brukes til utsending av e-post og de som ikke gjør det.

For å være effektiv forutsetter DMARC at SPF er på plass for alle domener, og DKIM er på plass for alle domener som brukes til å sende e-post.

Sender Policy Framework (SPF) brukes for å fortelle hvilke IPer som har lov til å sende e-post på vegne av et domene.

DomainKeys Identified Mail (DKIM) sikrer at e-post kan videresendes.

DMARC bygger på SPF og DKIM og gir:

Beskyttelse av egne domener mot e-postforfalskning
Blokkering av forfalsket e-post fra andres domener
Automatisk rapportering av forfalsket e-post til eieren av domenet
Automatisk rapportering om e-post som feiler til eieren av domenet (gjør det mulig å oppdage om utsending av legitim e-post feiler)

Vi har en enkel guide for å komme i gang med DMARC.

Vi har også opptak fra et webinar hvor vi beskriver SPF, DKIM og DMARC.

Støtt TLS og STARTTLS

HelseCERT anbefaler støtte av kryptering av e-post slik at man ikke sender informasjon i klartekst.

Støtte av TLS1.2 og TLS1.3 er best practise for tiden, men man vil gjerne støtte flere slik at man ikke mister e-post, eller blir nedgradert til klartekstkommunikasjon. Derfor vil støtte av TLS1.0 og TLS1.1 i enkelte tilfeller også være praktisk.

Man kan også kreve kryptert trafikk hos e-postserver, men da kan man risikere å miste e-post fra andre e-postservere som ikke støtter samme kryptering. Dette er et valg som må tas av e-postservers eier.

HelseCERT mener det er bedre å ha noen form for kryptering enn å ikke ha kryptering i det hele tatt.

Et man-in-the-middle-angrep vil kunne nedgradere kryptering til klartekst, gitt at e-postserver godtar dette. Hvis noen får tak i en kryptert e-post uten å være man-in-the-middle vil hvilken som helst av disse krypteringsmetodene i praksis væreumulige å dekryptere. Derfor kan man godt godta alt av TLS.

Du kan lese mer om kryptering på datatilsynets nettsider.

Ha en etablert varslingskanal for mistenkelige e-poster

Selv med all grunnsikring på plass vil noe spam og e-poster med skadevare komme gjennom. Dette gjelder større grad dersom om sikring ikke er på plass.

Den beste måten å fange opp dette på er at mottaker rapporterer det inn.

Dette krever en etablert varslingskanal for mistenkelige e-poster slik at brukere vet hvor og hvordan de skal melde fra.

Dette bør være en del av opplæring for ansatte og dokumentert på intranett o.l.

Her bør man også gjøre det enkelt for mottaker å rapportere, f.eks. ved at man som en del av oppsett av e-postklient har en "rapporter"-knapp som sender aktuell e-post til rett sted.

Helse- og KommuneCERT

Webinarer
Håndtering hendelser
Om oss
Anbefalte sikkerhetstiltak
Publikasjoner
Sikkerhetsskanning

Meld din virksomhet inn i NBP

(krever innlogging via ID-porten)

Bli NBP-medlem

Blokkering av script og programfiler
DMARC

Fant du det du lette etter?

Ja Nei

Tusen takk for tilbakemeldingen din!

Kan du fortelle oss hva du ikke fant?

Send