När bluffmejlet ser helt äkta ut – och skyddet inte räcker till

Tillbaka vid skrivbordet efter lunchen plingar det till i inkorgen: Ännu ett mejl från IT-avdelningen, vad vill de den här gången? Säkert bara en policy-uppdatering eller något annat som inte rör mig. Ah, det är dags att byta lösenord. Tur att jag tittade, det var ju faktiskt ett tag sedan.

Mejlet är korrekt formulerat och innehåller en länk till vad som ser ut som företagets inloggningssida för Microsoft 365. Du klickar och fyller i dina uppgifter – på några ögonblick har bedragare tagit över kontot. Ridå.

Det börjar nästan alltid med ett mejl

Phishing, vd-bedrägerier och falska inloggningssidor är idag vardag i svenska organisationer. Merparten av alla attacker börjar med ett mejl. Vid en första anblick kan det se ofarligt ut, men konsekvenserna kan snabbt bli allvarliga – från kontokapningar till utpressningstrojaner och affärskritiska driftstopp. Trots detta är det förvånansvärt få organisationer som har full koll på hur deras e-postskydd faktiskt fungerar och var luckorna finns.

Det börjar nästan alltid med ett mejl

Microsoft 365 har ett grundskydd mot skräppost, skadliga bilagor och kända hot. Problemet är att många moderna attacker inte liknar klassiskt spam. De är riktade och utformade för att se ut som helt legitima interna mejl.

I exemplet ovan fanns inga konstiga bilagor, inga uppenbara varningssignaler och ingen misstänkt avsändaradress. Åtminstone inte vid en första anblick. För att stoppa den här typen av angrepp krävs fler lager av skydd, där kontroll av avsändarens äkthet, tillsammans med en blockeringsfunktion, är en central del.

SPF, DKIM och DMARC – en grund för pålitlig e-post

SPF, DKIM och DMARC är tre tekniker som tillsammans avgör om ett mejl faktiskt är vad det utger sig för att vara och huruvida det ska släppas fram eller inte ifall det inte lever upp till säkerhetskraven.

SPF (Sender Policy Framework) talar om vilka e-postservrar som har rätt att skicka mejl i ert företags namn. Det är i praktiken en lista som publiceras i DNS och som mottagande e-postsystem kan kontrollera. Om ett mejl kommer från en server som inte finns med på listan, misslyckas SPF-kontrollen.

DKIM (DomainKeys Identified Mail) fungerar som en digital signatur på mejlet. När ett mejl skickas signeras det kryptografiskt och mottagaren kan verifiera att innehållet inte har ändrats på vägen och att det faktiskt skickats från den domän som anges.

SPF svarar alltså på frågan “får den här servern skicka mejl för domänen?” medan DKIM svarar på “är mejlet orört och korrekt signerat?”

DMARC – länken som gör skyddet effektivt

Här kommer DMARC (Domain-based Message Authentication, Reporting & Conformance) in i bilden. DMARC knyter ihop SPF och DKIM och talar om vad som ska hända om ett mejl inte klarar kontrollerna.

Med DMARC kan ni:

• Ange om mejl som misslyckas ska tillåtas, hamna i karantän eller blockeras helt
• Säkerställa att avsändaradressen faktiskt matchar SPF/DKIM
• Få rapporter som visar försök att missbruka er domän

Utan DMARC kan ett mejl misslyckas med SPF eller DKIM men ändå levereras. Med DMARC sätter ni spelreglerna för vad som får komma fram till era anställda.

Övervakning räcker inte – policyn måste skärpas

Många organisationer har idag DMARC aktiverat i så kallat övervakningsläge. Det innebär att man får rapporter, men att inga mejl stoppas i praktiken. Det kan ge värdefulla insikter över tid men ger inget direkt skydd mot attacker.

För att DMARC ska göra nytta behöver policyn uppdateras, från att bara observera till att faktiskt neka mejl som inte är godkända. Först då blir det betydligt svårare för angripare att utge sig för att vara någon från er organisation.

Microsoft 365 – använd skyddet ni redan betalar för

För organisationer som använder Microsoft 365 finns flera inbyggda funktioner som kompletterar SPF, DKIM och DMARC:

• Defender for Office 365 analyserar länkar och bilagor i realtid och stoppar åtkomst till bluffsidor i samma ögonblick som någon klickar.
• Anti-phishing policies identifierar försök att imitera vd, ekonomiavdelning och andra nyckelroller.
• Exchange Online Protection filtrerar bort skräppost och känd skadlig kod redan innan mejlet når inkorgen.
• DMARC-stöd i Microsoft 365 innebär att systemet följer er policy automatiskt, det ni vill ska blockeras kommer inte fram.

Ovan visar att det finns många olika skydd i Microsoft 365 som fyller viktiga funktioner, men det krävs att de är rätt konfigurerade för att verkligen göra skillnad.