Mail has been around for ages and spam right along with it. However, there have been many methods to try to prevent spam and the Sender Policy Framework (SPF) is one of them. SPF targets spoofing and allows a domain owner to designate certain (sets of) IP addresses as valid sources for e-mails for said domain. But some of the largest providers in the world for e-mail services don’t bother following the standards properly, letting fake e-mails pass as if legitimate.

SPF works by setting a DNS record, either TXT or SPF, with a certain format that lists IP addresses, trusted mail exchange (MX) hosts and a ruleset. Full details, documentation and validation suites are on openspf.org. An example could be, such as with my mail server:

hethane.se. IN SPF “v=spf1 mx:hethane.se -all”

The domain in this case (hethane.se) allows MX servers for its domain to send e-mail using the domain (mx:hethane.se) but noone else (-all). This is a rather effective method to get rid of e-mails from spoof mailers (like the well known, easily found https://emkei.cz). Whichever server emkei.cz tries to send from should fail if the receiving server looks up SPF records for the MAIL FROM command in SMTP.

SPF works to validate a domain if DNS lookup works. If lookup fails, because of error or non-existing SPF rules, it just means less data for the spam filter to consider. If SPF gets a “pass”, it really doesn’t mean much, as anyone can get an SPF record for their own domain. However, you can’t modify anyone _else’s_ SPF records to _include_ your own domain. So spoofing gets harder (though still possible with the From: e-mail header of course…).

Not everyone use, supply or check SPF of course. But most of the large providers of e-mail do – publish policies and validate when receiving. But the notorious providers Google (gmail.com) and Microsoft (outlook.com etc.) both apply “~all” rules instead of “-all”, meaning to “softblock”. This just causes a dip in the common spam filter methods, it won’t cause the e-mail to get dropped (by standard). But it’s better than nothing I guess… (my server is configured to interpret softfail as hardfail).

So, to the point, I publish a rule for hethane.se which uses “-all”. I tell remote servers, which validate SPF, to DROP ALL e-mails that aren’t listed in my SPF record (i.e. MX for hethane.se). Then why does Microsoft happily pass SPF-denied e-mail through even though it expressly hardfails? Sure, the standard doesn’t explicitly say the mail should be dropped (either deliver somehow or give an error message) – but then what’s the point of having both soft- and hardfailing mechanisms?

Received-SPF: Fail (protection.outlook.com: domain of hethane.se does not designate 46.167.245.206 as permitted sender) receiver=protection.outlook.com; client-ip=46.167.245.206; helo=localhost;

In the case of my domain name I also deploy DomainKeys, which has caused my mail to at least get dumped in the “junk mail” folder. However, for a friend’s address which deploys only SPF and no DomainKeys (and no DMARC policy), Microsoft delivers e-mails from the known spoof service straight into the inbox (if the spoofed address has at least once been accepted before – such as the common case where a legitimate mail was dumped in the junk bin).

Ni kan gå in och buda om ni vill, använder (tyvärr) plattformen Tradera. Annonsen heter, efter ett par omskrivningar pga Tradera: Armband med bonus: en röst i svenska riksdagsvalet.

Jag säljer min röst i svenska riksdagsvalet 2018. Auktionens vinnare har fram till valdagen klockan 12:00 på sig att meddela ett slutgiltigt beslut för vilket parti (eller blankröst) som ska få min röst alternativt ifall rösten inte ska läggas alls.

Hela vinstsumman doneras till organisationen Ingen Människa Är Illegal (Umeå). Jag gör ingen vinst på detta.

Vänligen notera att verifiering av röstförfarandet kan vara svårt, dvs veta med säkerhet att jag röstar på det som utlovats. Det är ju som känsligt med fotodokumentation mm. inne i vallokaler. Har du förslag hur jag på ett vettigt sätt kan betrygga dig som auktionsvinnare är jag tacksam för tips.

Jag ber även om ursäkt till de som eventuellt inte vill/kan använda Tradera som bud-plattform eller Swish/Paypal som betalningsmetod (det kanske går att lösa med ex. Bitcoin?). Hoppas ni engagerar er i ideella, samhällsnyttiga organisationer för att göra skillnad på riktigt.

…etc. etc.

Stängs annonsen ner tänker jag att det går att buda ändå. Se det mest som en donation i så fall, även om ni då förstås också får armbandet vilket utlovas om ni så önskar. Den som donerar mest får välja vad som blir av min röst. Detta som sagt endast ifall annonsen försvinner från Tradera igen – då ser vi om det går att lösa genom diskussion i kommentarsfältet nedan (vilket då kommer att öppnas upp). Utanför den proprietära plattformen under privat intresses kontroll.

Försöker sälja min röst på Tradera men pga de är ett typiskt företag så vägrar de göra något som kanske eventuellt möjligen kan uppfattas som kontroversiellt. Antar att de inte vill ta diskussionen helt enkelt. Men det är ju klart, de har ingen skyldighet att göra så.

Det är förvisso olagligt att sälja sin röst men vad jag gör är inte “tagande av otillbörlig förmån vid röstning” eftersom pengarna ska gå direkt till föreningen Ingen Människa Är Illegal i Umeå. Den som vinner auktionen (pga det inte är de som uppmanat mig att göra något) gör dessutom rimligen inte “otillbörligt verkande vid röstning”.

Dock verkar de inte vilja ta diskussionen och min annons har stängts ner med orsaken att den försöker “förmedla en åsikt eller värdering” alternativt “inte säljer ett objekt”. Båda dessa punkter har jag dock specifikt sett till att fixa till, genom att neutralisera texten så gott jag kan och lagt till ett armband som det objekt som faktiskt säljs. Tredje gången gillt nu, annonsen är uppe igen.

Ursäkten Tradera använder för att neka publiceringen, till deras fulla rätt då de är ett privat initiativ och medborgare saknar rättigheter gentemot företags agerande i deras slutna domäner, finns beskriven allmänt på deras hemsida. Såhär stod det i mailet till mig:

Följande är exempel på ej tillåtna annonsupplägg:

– Annonser där det inte finns något faktiskt objekt till försäljning
– Köpes- & bytesannons
– Annonser där säljarens främsta syfte tycks vara att förmedla en åsikt, värdering eller att marknadsföra olika typer av intressen
– Att lägga upp en annons som saknar bilder på det objekt som är till försäljning

Ingen metod att kontakta dem presenteras utifall reglerna är felaktigt applicerade. I mitt fall tycker jag att såväl objekt finns som att texten är neutral (ingen åsikt/värdering eller intresse marknadsförs), det är inte en köpes-/bytesannons och bild på objektet finns.

Tas annonsen ner igen finns en kopia av första annonsen här och mitt senaste försök här, courtesy of Web Archive.

Häromveckan närvarade jag i Sveriges Radio P3, i programmet “Fråga vad du vill” med programledare Hanna Palm. Temat var “Jag är en hacker” och lyssnare kunde skicka in frågor via mail, web och telefonnät.

Jag var rätt nöjd med min insats och även om frågorna huvudsakligen handlade om IT-säkerhet – hacking är ju all slags problemlösning och klurigheter såsom life hacks m.m. – så kände jag att det var en bra radiostund. Lyssna gärna!

Idag fick jag ett mail som uppföljning på detta radioprogram, en fråga om fulldiskkryptering. Tänkte jag kunde klistra in mitt svar här på bloggen i samband med att jag skriver om sändningen:

—-

Mailsvar på fråga efter radioprogrammet

Intressant avsnitt häromveckan. Jag överväger att själv kryptera mina diskar, och undrar därför om du kan rekommendera en passande programvara för W10?

Hej! Kul att du tyckte det var intressant. Hoppas mitt svar nedanför inte blir för långrandigt – men det känns som att jag heller skickar för mycket info än för lite på direkten .)

Av förklarliga skäl så kan jag inte rekommendera en bra lösning för Windows 10. Skälen är att du som användare saknar kontroll över programmiljön, det finns kända bakdörrar, operativsystemet utför aktivt beteendeanalys som inte går att stänga av och okontrollerat skickar okänd – ev. känslig – data tillbaka till Microsoft.

Jag hade varmt rekommenderat att titta på möjligheten att använda ett fritt licensierat operativsystem (såsom GNU/Linux, t.ex. Ubuntu vilket är bra och användarvänlig för nya användare): https://ubuntu.com/Det finns jättemånga GNU/Linux-alternativ – “distributioner” – som ser lite olika ut, har olika förinstallerade mjukvaror etc, Ubuntu råkar vara den som jag märker fungerar bäst). Vid installationen kan en välja om hela hårddisken ska vara krypterad.

Eftersom jag dock förespråkar att “åtminstone göra något” – även om en kör osäkra operativsystem – så kan jag åtminstone nämna alternativen. Det handlar ju främst om vilken hotbild en ser framför sig. För de allra flesta är det viktigast att skydda sig från någon som stjäl datorn som inte ska kunna ta över ens identitet – snarare än organiserad brottslighet eller statsmakter med oändlig budget och insyn (dock aktuellt för ex. grävande journalister).

BitLocker

Jag rekommenderar inte detta, först och främst. “BitLocker” är däremot Microsofts egna mjukvara för Windowssystem och det är därför enklast att få support till från Microsoft själva (om de ens ger support?!). Jag förutsätter att verktygen för detta följer med Windows.

BitLocker har med all största sannolikhet medvetna sårbarheter och bakdörrar, så om din verksamhet på något sätt är intressant för någon med genväg in hos Microsoft hade jag undvikit BitLocker. Är du grävande journalist mm. bör du inte använda Windows ö.h.t. – särskilt inte Win10 – pga den överhängande risken att skyddat källmaterial såsom dokument och bilder på något sätt förmedlas till tredjeparter (Microsoft, reklambolag de samarbetar med för att visa annonser i operativsystemet etc.).

VeraCrypt

Ovannämnda BitLocker är nog snabbast och enklast att få igång. Eftersom jag inte använder proprietär mjukvara såsom Windows, OS X etc. vet jag inte hur krångligt fulldiskkryptering är att aktivera med mjukvara från tredjepart – t.ex. VeraCrypt.

VeraCrypt är en uppföljare till TrueCrypt och liksom sin föregångare fri mjukvara (öppen källkod, så valfri säkerhetsexpert kan granska!). TrueCrypt lade ner sin verksamhet för ett par år sedan men att döma av Wikipedia-artikeln på TrueCrypt så är det VeraCrypt som är den mest hälsosamma uppföljaren som samlar flest utvecklare.

Med VeraCrypt kan du, som jag tolkar informationen, genomföra fulldiskkryptering: “VeraCrypt can on-the-fly encrypt a system partition or entire system drive, i.e. a partition or drive where Windows is installed and from which it boots.”

Fulldiskkryptering gör dock systemet snäppet långsammare (pga all diskaktivitet kräver krypto-beräkningar) och jag vet inte om det finns eventuella andra bekymmer (tänk systemuppdateringar) i Windowsmiljön pga sluten, opålitlig mjukvara från Microsoft.

Det är ganska viktigt att kryptering märks så lite som möjligt i den dagliga användningen.

Ifall ovannämnda fulldisk-kryptering inte låter lockande, med snäppet sämre prestanda och så kan jag dock fortfarande rekommendera VeraCrypt för att skydda dokument. Det innebär att ditt RAM-minne fortfarande är okrypterat, webbläsardata m.m. (sparade lösenord t.ex) är generellt sårbart – men känsliga dokument kan åtminstone stängas in i ett säkrare skåp.

För att skydda t.ex. vanliga dokument så kan en med VeraCrypt göra “krypterade behållare” (containers): https://veracrypt.codeplex.com/wikipage?title=Beginner%27s%20Tutorial

Dessa “behållare” fungerar i praktiken som vanliga mappar/låtsashårddiskar och kan monteras och avmonteras vid behov. Egentligen är de dock en vanlig fil på hårddisken som bara råkar innehålla en massa krypterad data.

Se dock _alltid_ till att ha backups (bedöm själv om du vill att de ska vara krypterade eller ifall de är säkra på annat sätt). Glömmer du en lösenfras till krypteringen så är ju hela poängen med det att datat inte går att återskapa .)

Jag undrar varför Umeå kommun tillåter ickeexisterande domännamn att skicka epost till sina servrar. Skickade häromdagen ett mail från [email protected] vilket gick rakt genom servrarna och ner i inkorgen hos mottagaren. Det finns ingen anledning att acceptera en sådan epostadress.

Kanske, kanske kan man tänka sig att myndigheter bör acceptera alla mail som inkommer – med anledning av allmänna handlingar, ev. rätt till anonymitet m.m. Dock måste man alltid även av tekniska skäl kunna dra en tydlig linje för att kunna uppnå en basnivå av användbarhet pga risken för spam/DDoS m.m. (men enbart rent tekniska skäl, inte i strid med nätneutralitet).

En sådan teknisk gräns kan (och bör) alltså vara att man inte tillåter falska avsändare. Jämförelsen med ett snigelpostat kuvert skulle vara att man antingen utelämnar eller skriver en felaktig avsändare på kuvertet. Till skillnad från postsystemet så kräver ju epost i vilket fall en avsändande mailserver – vilken måste ha ett IP-nummer för att kunna kommunicera över internet alls. Detta IP-nummer bör i sig i vilket fall ha en adress om man gör ett “bakåtuppslag” (dig -x 1.2.3.4). Vill man inte uppge sitt eget domännamn kan man alltså ange den mailserver som man använder sig av.

I och med det här borde man även komma ihåg att Umeå kommun länge saknade SPF-inlägg i DNS (tills jag tipsade dem). De saknar fortfarande t.ex. DKIM, men det har inte jag personligen heller satt upp så det vågar jag inte vara lika kritisk mot att de saknar. Man kan ju fundera dock på hur ofta någon på IT-avdelningen där sätter sig och ser över infrastrukturen. Förmodligen aldrig, förrän saker skiter sig för dem.

Helt fantastiskt är att man också gladeligen kan spoofa avsändare från välkända domännamn till @umea.se som dessutom skyddas med SPF, DKIM och dylikt, t.ex. @gmail.com. Ett stort bidragande problem i detta är förvisso att gmail.com inte har en avgörande SPF-regel (de anger “soft-fail” istället för att uttryckligen inte tillåta olistade servrar). Min personliga lösning är att reagera på “soft-fail” (~all) exakt likadant som en beslutsam regel (-all).

Så man kan åtminstone inte fejka mail från @umea.se till @umea.se hur som haver, eller t.ex. mellan @hethane.se och @umea.se för den delen. Skulle man vilja fejka mail från @umea.se måste man kontrollera någon av dessa servrar (dig -t txt umea.se och lite klipp och klistra):

ip4:91.123.56.128 ip4:193.75.92.154 ip4:193.254.4.5 ip4:193.254.7.81 ip4:193.254.7.205 ip4:195.234.14.133 ip4:193.254.7.74 ip4:193.254.4.57 ip4:193.254.4.60 ip4:193.254.4.73 ip4:193.254.4.74 ip6:2a00:1718:1:8::57/64 ip6:2a00:1718:1:8::60/64 ip6:2a00:1718:1:8::73/64 ip6:2a00:1718:1:8::74/64 ip6:2a00:1718:1:8::5/64

…intressant här är att utöver Umeå kommuns egna servrar så tillåter de även Microsoft att imitera epostavsändare (genom include:spf.protection.outlook.com) samt mjukvaruföretaget Visma och något till synes slumpmässigt företag, IT-konsulterna DataDuctus.

Tror även att /64-angivelsen på IPv6-adresserna innebär att alla adresser bakom 2a00:1718:1:8::/64 är acceptabla, inte bara ::{5,57,60,73,74}