Vi opplever ofte at svak SMTP konfigurasjon åpner for angrep via e-post

Ble du rammet av e-posten med emnet «Din konto er hacket»? Overraskende mange norske bedrifter opererer med svak SMTP-konfigurasjon.

I september opplevde mange virksomheter å motta en rekke e-post som inneholdt emnet «Din konto er hacket». E-posten har vært omtalt i flere store norske nettaviser, og utfører en form for utpressing der avsender påstår å ha bevis og videoopptak av at man har utført flaue og private handlinger. Videre truer avsender med å publisere dette på sosiale medier med mindre man betaler løsepenger til deres Bitcoin-adresse. Selv om avsender påstår å ha fått tilgang til materialet ved hjelp av hacking, benytter de i dette tilfellet kun sosial manipulering og frykt.

Mens det hele sto på avdekket vi at mange av dem som ble rammet hadde en felles feil i hvordan SMTP-trafikk ble sikret i virksomheten. Vi analyserte en rekke e-post-«headere» vi fikk tilsendt, og i mange tilfeller hadde angriperen omgått spam-tjenesten som brukeren benyttet. Vi oppdaget at mange av e-postene gikk direkte til virksomhetens SMTP-tjener, uten å følge registrerte DNS MX-pekere. Vi oppdaget også at enkelte virksomheter fikk disse e-postene via gamle spam-tjenester som de ikke hadde benyttet på mange år.

Felles for de to feilene er at virksomhetene tillot SMTP-trafikk fra andre IP-adresser enn sin egen anti-spam tjenesteleverandør. I brannmuren finnes det en SMTP-regel som enten tillater SMTP-trafikk fra alle, «ikke begrenset til egen leverandør», eller at brannmur-regelen tillater SMTP-trafikk fra gammel leverandør. I begge tilfellene vil dette gi angripere en mulighet til omgå e-post-sikkerheten i din virksomhet.

Vårt viktigste råd for å unngå dette: sørg for at SMTP-trafikk inn til din virksomhet kun tillates fra din skyleverandør av e-post-sikkerhet.