@umea.se accepterar falska domännamn

Jag undrar varför Umeå kommun tillåter ickeexisterande domännamn att skicka epost till sina servrar. Skickade häromdagen ett mail från cooldude33@fakemikel.yeah vilket gick rakt genom servrarna och ner i inkorgen hos mottagaren. Det finns ingen anledning att acceptera en sådan epostadress.

Kanske, kanske kan man tänka sig att myndigheter bör acceptera alla mail som inkommer – med anledning av allmänna handlingar, ev. rätt till anonymitet m.m. Dock måste man alltid även av tekniska skäl kunna dra en tydlig linje för att kunna uppnå en basnivå av användbarhet pga risken för spam/DDoS m.m. (men enbart rent tekniska skäl, inte i strid med nätneutralitet).

En sådan teknisk gräns kan (och bör) alltså vara att man inte tillåter falska avsändare. Jämförelsen med ett snigelpostat kuvert skulle vara att man antingen utelämnar eller skriver en felaktig avsändare på kuvertet. Till skillnad från postsystemet så kräver ju epost i vilket fall en avsändande mailserver – vilken måste ha ett IP-nummer för att kunna kommunicera över internet alls. Detta IP-nummer bör i sig i vilket fall ha en adress om man gör ett “bakåtuppslag” (dig -x 1.2.3.4). Vill man inte uppge sitt eget domännamn kan man alltså ange den mailserver som man använder sig av.

I och med det här borde man även komma ihåg att Umeå kommun länge saknade SPF-inlägg i DNS (tills jag tipsade dem). De saknar fortfarande t.ex. DKIM, men det har inte jag personligen heller satt upp så det vågar jag inte vara lika kritisk mot att de saknar. Man kan ju fundera dock på hur ofta någon på IT-avdelningen där sätter sig och ser över infrastrukturen. Förmodligen aldrig, förrän saker skiter sig för dem.

Helt fantastiskt är att man också gladeligen kan spoofa avsändare från välkända domännamn till @umea.se som dessutom skyddas med SPF, DKIM och dylikt, t.ex. @gmail.com. Ett stort bidragande problem i detta är förvisso att gmail.com inte har en avgörande SPF-regel (de anger “soft-fail” istället för att uttryckligen inte tillåta olistade servrar). Min personliga lösning är att reagera på “soft-fail” (~all) exakt likadant som en beslutsam regel (-all).

Så man kan åtminstone inte fejka mail från @umea.se till @umea.se hur som haver, eller t.ex. mellan @hethane.se och @umea.se för den delen. Skulle man vilja fejka mail från @umea.se måste man kontrollera någon av dessa servrar (dig -t txt umea.se och lite klipp och klistra):

ip4:91.123.56.128 ip4:193.75.92.154 ip4:193.254.4.5 ip4:193.254.7.81 ip4:193.254.7.205 ip4:195.234.14.133 ip4:193.254.7.74 ip4:193.254.4.57 ip4:193.254.4.60 ip4:193.254.4.73 ip4:193.254.4.74 ip6:2a00:1718:1:8::57/64 ip6:2a00:1718:1:8::60/64 ip6:2a00:1718:1:8::73/64 ip6:2a00:1718:1:8::74/64 ip6:2a00:1718:1:8::5/64

…intressant här är att utöver Umeå kommuns egna servrar så tillåter de även Microsoft att imitera epostavsändare (genom include:spf.protection.outlook.com) samt mjukvaruföretaget Visma och något till synes slumpmässigt företag, IT-konsulterna DataDuctus.

Tror även att /64-angivelsen på IPv6-adresserna innebär att alla adresser bakom 2a00:1718:1:8::/64 är acceptabla, inte bara ::{5,57,60,73,74}

Leave a Reply

Your email address will not be published. Required fields are marked *