“Mejlbedragarna” är inte farliga

Alla vi som använder internet är väl medvetna om att man kan registrera sig i vems som helsts namn på hemsidor? Data som data, det är bara att skriva på tangentbordet. Nu verkar tidningar få panik över “mejlbedragare” och identitetstjuvar.

– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard.

E-mail är ju suveränt! Jag tycker att SMTP är en helt underbar standard. Alla servrar litar på varandra, precis som de ska. Data ska inte hindras. Önskar en användare, administratör eller whatever verifiera identiteten så finns det fria implementationer i överflöd som alla följer öppna standarder. Mailsystemet som det är idag, sedan 80-talet, är en backend, inte helhet.

Mailsystemet, som grundar sig på SMTP, bryr sig inte om vad som skickas hit och dit. Precis som det ska vara. Precis som att Posten inte kräver ID för ett brev.

GPG kan verifiera identitet. TLS kan verifiera servrar och kryptera trafiken. Internet bryr sig inte om vad du gör. Det ska det heller inte.

Och vad fan. Använder man en avbruten kvist som nyckel till sin lägenhet är det väl klart att folk kommer att bryta sig in? Skaffa bra lösenord, folk.

Mejlbedrägeri är inte ett problem precis lika mycket som att utbilda den stora, grå massan i sunt förnuft inte är ett problem… Eller, now wait a minute…

14 thoughts on ““Mejlbedragarna” är inte farliga”

    1. Det är skillnad på att vara säker på att rätt person tar emot post och att kontrollera vem som skickar.
      Avsändren till paketet du tar emot med posten behöver inte legitimera sig som regel, men däremot du som tar emot det.

  1. Fast jag tror att den stora grå, unga, nya massan, generellt, har utbildning och förstånd nog att slippa utsättas för mejlbedrägeri – som det vanligen är upplagt idag; Nigeria-brev, etc.
    Dock borde ju folk födda tidigare än ’80-’70 kanske bli lite mer upplysta på något sätt. SVT kan väl köra ett maraton i ämnet och ta upp det i Plus, Debatt, Aktuellt, Rapport, Go’ kväll, Fråga doktorn och Agenda. Då borde det va lugnt.

  2. Det behövs inga nya standarder, allt som behövs har funnits i massor med år. DNSSEC för att verifiera DNS, SMTP AUTH för att verifiera mailservrar, SPF för att tala om vilka som får skicka mailadresser med min domän och signaturer för att verifiera vem som skickade.
    Sen kan man ju ta sig en funderare på varför de tog emot mail utifrån med en intern mailaddress, som gammal postmaster så tycker jag att det tillhör basal hygien att slänga sånt i bithinken.

    Men som du säger, den egentliga lösningen på ett i grunden socialt problem är inte att klistra dit en massa teknik utan att utbilda användarna.

  3. DN-artikeln var ju ganska kul. Vad sjutton gör saker som “ha uppdaterad brandvägg” att göra med att andra skriver in din epostadress i sina från-fält? Experten får trots att chansen att säga att man kan “kryptera och signera” (jag antar att han försökte upplysa om gnupg/pgp/openpgp för journalisten).

    Men eftersom Stefan redan har påpekat att både du och artikeln “har fel” så är det väl bara att hylla Stefan. :D

    1. @Blippe
      Jag tycker nog också att jag och Mikael är hyffsat överens.

      Jag pekade iofs på några teknologier som kan användas för att undvika sådana här “problem” men teknik kan inte lösa det egentliga problemet med att folk är så sanslöst naiva och godtrogna. Det kan vara direkt kontraproduktivt att försöka säkra upp systemen för mycket dels för att det finns en risk att det blir oanvändbart och dels för att det kan ge en falsk trygghet.
      Jag tycker att artikeln och “experten” var direkt pinsamma, men det är kanske den nivån som krävs för att nå ut till den okunniga massan.

  4. Du är så jäkla smart Micke.
    Du är min idol.
    Faktiskt.

    Och du – jag gillar din blogg.

    Förresten, får du respons på dina åsikter om t.ex replokalerna eller andra fånerier som Holmlund håller på med?

Leave a Reply

Your email address will not be published. Required fields are marked *