From: Fredrik.Reinfeldt@regeringen.seDagens Nyheter hade igår ett uppslag med flera texter om problemet med förfalskade ("spoofade") avsändaradresser. Och trots en lång och utförlig text och namnkunniga intervjuoffer så lyckas man ändå inte tydligt framföra själva poängen - att man kan sätta vilken avsändaradress som helst på sina mail. Man behöver inte "kapa" någons konto eller knäcka några lösenord - med en tillräckligt kapabel mailläsare är det bara att skriva vilken adress som helst på avsändarraden.
To: nixon@lysator.liu.se
Subject: Du har vunnit!
Hej Leif,
Regeringen beslutade idag att tilldela dig en miljon kronor för att du är en sån hyvens kille.
Mvh,
Fredrik
Det finns visserligen tekniker som GPG och SPF och allt vad det nu är som kan lösa eller förmildra problemet, men de kräver att man använder samma teknik i mottagaränden. Och att mottagaren verkligen bryr sig om att verifiera avsändaradressen. Det är inget som används i någon större skala.
Det hjälper bara minimalt om jag skulle GPG-signera varenda mail jag skickar, för det är mottagaren som måste kontrollera signaturen. Och alla som får ett mail med min adress som avsändare skulle behöva veta att jag alltid signerar mina mail, och veta att de ska vara misstänksamma om de får ett mail från mig som inte är signerat. (Så i praktiken bryr jag mig bara om att signera särskilt viktiga mail.)
Det enda egentliga skyddet är att så många Internetanvändare som möjligt vet att man inte blint ska lita på vad som står på avsändarraden i mail. Och här kommer DN-artikeln så väldigt, väldigt nära:
Jonas Thambert, IT-säkerhetsrådgivare på Sveriges IT-incidentcentrum, Sitic, bekräftar att problemet är stort. Och enligt honom finns det i dag bara ett sätt att skydda sig: ökad medvetenhet hos användarna (se faktaruta).Men vad skriver DN då i denna faktaruta? Jo:
- Ha alltid uppdaterade antivirusprogram och brandväggar.
- Se till att själva operativsystemet är uppdaterat.
- Svara inte på så kallad spam.
- Exponera inte din e-postadress på hemsidor du inte litar på.
- Behåll dina lösenord och inloggningsuppgifter för dig själv, skicka aldrig dessa uppgifter via e-post.
- Byt lösenord regelbundet.
Det är på sitt sätt utmärkta råd, men... yxskaft.