SÅDAN TESTER DU WEBSITE OG MAILS MED DE NYE REDSKABER

Illustration: Line Malling Schmidt

Hvad er DNSSEC, IPv6 og HTTPS? Og hvordan bruger jeg dem til at beskytte min hjemmeside bedst muligt? Vi ser nærmere på resultaterne af SikkerPåNettet-testen, så du kan sætte de rigtige initiativer i gang på din arbejdsplads.

Du vil gerne styrke din arbejdsplads’ IT-sikkerhed og tester derfor jeres website og mailserver på sikkerpånettet.dk. I scorer lavt, og det resultat er hverken du eller chefen tilfredse med. Men hvad så nu?

På disse sider ser vi nærmere på de forskellige delresultater af undersøgelsen. Du får også konkrete tips til, hvordan I kan forbedre jeres testscore og dermed IT-sikkerhed.

Øverst på resultatsiden kan du se en score. Den giver et samlet tal, der dækker over en række delundersøgelser indenfor de tre hovedområder, som testen dækker: IPv6, DNSSEC og HTTPS.

Nedenfor kan se hvad de forskellige delresultater betyder og, hvad du kan eller bør gøre ved dem for henholdsvis jeres webserver og jeres mailserver.

 

SÅDAN SIKRER DU JERES WEBSERVER

IPv6
Det første delresultat lyder således: “Det var ærgerligt! Dit domæne er ikke tilgængelig for besøgende, der udelukkende bruger en moderne internetadresse (IPv6). Efterhånden som IPv6 bliver mere udbredt, kan din hostingudbyder (forhandler) hjælpe med at forberede dit domæne og din hjemmeside til fremtidens internet.”

Du har sikkert hørt om en IP-adresse, altså den tal-række, der identificerer din internetforbindelse. IPv6 er den nye udgave af internetprotokollen. Den gamle hedder IPv4, men den er for længst brugt op, for den har kun fire milliarder unikke adresser. IPv6 har mange flere, og er derfor en forudsætning for, at alle enheder og gadgets i fremtiden kan komme online. Overgangen fra IPv4 til IPv6 har været i gang i flere år, og det kommer til at tage lang tid, før den er færdig.

Testresultatet betyder, at jeres hjemmeside ikke understøtter trafik via IPv6. Det er vigtigt at få gjort noget ved, så jeres side er fremtidssikret.

Det er jeres webudbyder (også kaldet hostingudbyder), der skal sørge for det. Det første skridt er derfor, at I kontakter jeres nuværende udbyder og hører om muligheden for at få aktiveret IPv6. Hvis ikke det er muligt, er det nødvendigt at overveje at rykke videre til en anden udbyder, der giver muligheden. \

DNSSEC
Det andet delresultat lyder således: “Det var ærgerligt! Dit domæne er ikke underskrevet med en gyldig signatur (DNSSEC). Derfor er besøgende af hjemmesiden ikke beskyttet mod at blive omdirigeret til en ondsindet hjemmeside.

Du skal bede din navneserveradministrator (forhandler/hostingudbyder) om at aktivere DNSSEC.”

Spørger man hos DK-Hostmaster, der er med til at drive SikkerPåNettet-testen, så er der især god grund til at få styr på DNSSEC, hvis du driver webshop eller på anden måde håndterer følsomme oplysninger:

“For hackere er det især interessant at fifle med DNS-adresserne på domænenavne med pengestrømme. Det kan f.eks. være banker og velbesøgte netbutikker og sider, hvor personfølsomme oplysninger oplyses, f.eks. kontakt med myndigheder. Alle hjemmesider kan blive ramt, men sider med brugeradgang eller webshops er særligt udsatte.”

Det er let og hurtigt at få aktiveret DNSSEC. Det er i de fleste tilfælde din hostingudbyder, der skal gøre det, ligesom med IPv6 ovenfor. Det er derfor dem, du skal kontakte. I nogle tilfælde vil din hostingudbyder bede dig om selv at stå for det i DK-Hostmasters selvbetjening. \

HTTPS
Tredje og sidste delresultat lyder sådan her: “Det var ærgerligt! Forbindelsen med dit domæne er ikke eller utilstrækkelig sikret (HTTPS). Trafik mellem dit website og besøgende er derfor ikke tilstrækkeligt sikret med kryptering mod ’aflytningen’ og manipulation. Kontakt din udbyder (forhandler/hostingudbyder) for at aktivere HTTPS og konfigurere det sikkert.”

HTTPS er de seneste år blevet standard, og i dag er det svært at oprette en ny hjemmeside uden at få HTTPS på som standard. Men hvis din hjemmeside har et par år på bagen, er der stor sandsynlighed for, at I ikke har HTTPS aktiveret.

Det skal der selvfølgelig styr på. Ikke kun fordi det er det sikreste for dine besøgende og kunder, men også fordi HTTPS er en af de mange parametre, som Google og andre søgemaskiner bruger, når de skal rangliste hjemmesider. Sagt på en anden måde: Uden HTTPS risikerer din webshop eller organisation at havne længere nede på resultatlisten, når en potentiel kunde googler.

Ligesom med de to andre del-resultater skal du også her have fat i jeres udbyder. Hvis I har en in-house IT-afdeling, har de formentligt allerede ordnet HTTPS på jeres website, men hvis I er hosted hos et af de store hostingfirmaer, er det ikke sikkert, at HTTPS er aktiveret. Hos de fleste udbydere kan man aktivere det i kontrolpanelet, ellers skal du have fat i deres supportteam. \

---

SÅDAN SIKRER DU JERES MAILSERVER

Når du tjekker din mailserver, bliver der tjekket, om den kan køre IPv6. Hvis det ikke er tilfældet, så er svaret og løsningen præcis det samme som på de foregående sider. \

Længere oppe i artiklen kiggede vi nærmere på resultatet SikkerPåNettet-testen for jeres hjemmeside. Her dykker vi ned i delresultaterne for testen af jeres mailserver. Læs med, bliv klogere og sørg for, at jeres korrespondance i fremtiden er sikret bedst muligt.

IPv6
Når du tjekker din mailserver, bliver der tjekket, om den kan køre IPv6. Hvis det ikke er tilfældet, så er svaret og løsningen præcis det samme som på de foregående sider. \

DNSSEC
Når du tjekker din mailserver bliver der også tjekket, om DNSSEC er aktiveret, præcis som da vi tidligere i artiklen tjekkede dit website. Hvis DNSSEC ikke er sat op, så er svaret og løsningen præcis den samme som for webserveren. \

DMARC, DKIM og SPF
Hvis de tre funktioner ikke er sat op, så får du en besked i testen, der lyder sådan her: “Det var ærgerligt! Dit domæne indeholder ikke alle ægthedsmærker imod e-mail- forfalskning (DMARC, DKIM and SPF).

Derfor er modtagere ikke i stand til pålideligt at adskille phishing og spam-e-mails, der misbruger dit domænes afsenderadresse fra dine autentiske e-mails. Du skal bede din mailudbyder (forhandler/host) om at aktivere DMARC, DKIM og SPF.” \

STARTTLS og DANE
Den fjerde og sidste del af undersøgelsens rapport handler om STARTTLS og DANE. Hvis du ikke får et grønt flueben dér lyder beskeden nemlig: “Det var ærgerligt! Afsendende e-mailservere, der understøtter sikker e-mailtrafik (STARTTLS and DANE) kan ikke oprette eller oprette utilstrækkelig sikker forbindelse til dine modtagende mailserver. Passive og/eller aktive angribere vil derfor være i stand til at læse e-mails på vej til dig. Du skal bede din e-mailudbyder (forhandler/hostingudbyder) om at aktivere STARTTLS og DANE og konfigurere det sikkert.”

STARTTLS er for emails, hvad HTTPS er for websites. Det er en krypteret forbindelse, der sikrer, at internetskurke, der opsnapper jeres datatrafik, ikke bare kan læse indholdet. Det er den simple forklaring. Den lidt længere forklaring er sådan her:

Når du sender en email, så sker det med SMTP, der står for Simple Mail Transfer Protocol. Men SMTP er ikke krypteret, og indholdet kan derfor læses af alle. Med STARTTLS sker der en kryptering af trafikken fra din mailklient og til modtagerens mailserver. Sagt på en anden måde: Chancen for, at uvedkommende læser med, mindskes drastisk.

Ligesom med SPF, DKIM og DMARC skal I have fat i dem, der står for jeres mailserver, så de kan sætte STARTTLS og DANE op. \

---

IT-ORDBOGEN

DANE
I modsætning til mange af de andre forkortelser på listen er DANE et ret nyt koncept, der kun lige er ved at få fodfæste. SikkerPåNettet-kampagnen forklarer det sådan her: “DANE-standarden er et ekstra sikkerhedstjek både på web og mail. DANE er en slags identitets-match, som dobbelttjekker, at alt er, som det skal være.” \

DKIM
DomainKeys Identified Mail (DKIM) er en metode, der bruges til at sikre, at emails rent faktisk er sendt fra en server, som domæne-ejeren har godkendt. \

DMARC
DMARC er en nyere teknik, der bygger ovenpå (og kræver) SPF og DKIM. DMARC står for Domain-based Message Authentication, Reporting and Conformance og bruges til at verificere afsender af emails. \

DNSSEC
En funktion, der beskytter mod angreb på navneserveren, altså den funktion, der sørger for, at din besøgende havner på din hjemmeside, når de indtaster dit domæne i browseren. Eller som SikkerPåNettet-kampagnen beskriver det: “DNSSEC er en slags færdselspoliti på nettet, der sikrer, at al datatrafik er autoriseret. På den måde bliver man f.eks. ikke omdirigeret til en falsk hjemmeside. DNSSEC er et værn mod hacker-angreb, fx hvor indtrængere overtager en hjemmeside og lokker følsomme oplysninger og penge ud af brugerne.”

HTTPS
Den traditionelle protokol til at overføre data, når du besøger en hjemmeside, hedder HTTP. I den sikrede udgave, som du kan genkende på en hængelås i adressefeltet i browseren, er der tilføjet et S til navnet. Det står for ‘secure’. \

IPv4
Den gamle udgave af ‘internettets telefonbog’. Den IPv4 har en begrænsning på lidt over fire milliarder IP-adresser, hvorfor en ny model var nødvendig. \

IPv6
Den nye udgave af ‘internettets telefonbog’. IPv6 har 340.282.366 .920.938.463.463.374.607.431.768 .211.456 IP-adresser og er således fremtidssikret en pæn periode. \

SMTP
Simple Mail Transfer Protocol (SMTP) er navnet på den protokol, der bruges til at sende emails. Den er udviklet, før internettet blev udbredt og sikkerhed er derfor ikke i højsædet. Det er årsagen til, at man senere har udviklet andre teknologier til at beskytte mailtrafik. \

SPF
Sender Policy Framework er sammen med DKIM en af to mest udbredte metoder til at beskytte mod, at andre kan udgive sig for at være dig, når de sender e-mails. \

STARTTLS
Fordi SMTP ikke er tilstrækkelig sikkert i sig selv, bliver STARTTLS brugt til at starte en krypteret forbindelse fra dig til e-mail-modtagerens mailserver, så uvedkommende ikke kan læse med. \

---

FAKTA OM DMARC, DKIM og SPF

DMARC, DKIM og SPF er tre vigtige teknologier, der gør det muligt for andre mailservere at kontrollere, at emails, der ser ud til at være sendt af dig, rent faktisk kommer fra dig.

Google anbefaler, at man bruger alle tre teknologier:

“SPF hjælper servere med at verificere, at beskeder, der ser ud til at komme fra et bestemt domæne er sendt fra servere, der er godkendt af domæne-ejeren,” lyder det fra IT-giganten. Det er altså en måde at sikre sig mod, at andre kan udgive sig for at være dig på nettet.

Om DKIM lyder det: “DKIM tilføjer en digital signatur til alle beskeder. Det lader den modtagende server verificere, at beskederne ikke er forfalskede og ikke er blevet ændret mens de var i transit.” DKIM er altså en slags moderne svar på gamle tids forsegling af breve.

Google beskriver DMARC sådan her: “DMARC håndhæver SPF- og DKIM-autentifikation og lader administratorer få rapporter om beskedernes autencitet og aflevering.”

DMARC bygger altså ovenpå SPF og DKIM og kan kun aktiveres, hvis de to andre teknologier er i brug. Hvis I har en inhouse-IT-afdeling kan de formentligt sagtens selv sætte SPF, DKIM og DMARC op. Hvis I derimod har en ekstern leverandør, der står for jeres mailserver, er det altså dem, som I skal have fat i for at få aktiveret de tre vigtige teknologier.

SPF, DKIM og DMARC hjælper i øvrigt ikke kun til at sikre mod phishing-angreb og lignende digitale trusler, de er i højere og højere grad også en forudsætning for ikke at havne i spamfilteret hos modtageren.