CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Undgå at blive postkontor for hackere

Virksomhedens server til e-post kan misbruges på mange måder. Den kan fungere som centralpostkontor for spam eller give hackere adgang til fortrolige oplysninger. Vi giver gode råd til, hvordan man sikrer sin mail-server, så man ikke ufrivilligt bliver postkontor for hackere udefra.

24. maj 2002 kl. 11.01
Torben B. Sørensen Torben B. Sørensen

Sårbare postservere

Næst efter web-servere er postservere nogle af de mest populære mål blandt hackere. Ifølge den amerikanske standardiseringsorganisation NIST skyldes det, at e-post er en tjeneste, næsten alle organisationer med IT understøtter. Så en hacker kan altid regne med at finde en e-postserver. Om han kan bruge den til noget, afhænger af konfigurationen.

Hvis en angriber ønsker at finde en server, der kan videresende reklamer, som modtagerne ikke har bedt om (spam), leder han efter et såkaldt åbent mail-relæ. Det er en postserver, der accepterer at videresende e-post fra alle og enhver.

Hvis virksomhedens postserver tillader den form for videresendelse, skyldes det som regel en konfigurationsfejl. De fleste postserverprogrammer kan indstilles til kun at videresende post, der kommer fra brugere i samme net-domæne, som serveren sidder på.

- Faren ved at fungere som åbent mail-relæ er, at virksomhedens server nemt kan ende på en sort liste. Det betyder, at alle, der abonnerer på listen, vil nægte at modtage e-post fra virksomheden fremover. Det er nemt at komme på listen, men det kan være meget svært at komme af igen, siger chefkonsulent Preben Andersen, Uni-C. Han leder den danske CERT-funktion (Computer Emergency Response Team), der beskæftiger sig med sikkerhed på internettet.

De fleste producenter af postserverprogrammer har udviklet anvisninger til, hvordan man lukker for et åbent postrelæ. De kan findes på producenternes websider.

En anden risiko består i, at uvedkommende får adgang til fortrolige oplysninger. Det kan være en e-mail, der indeholder oplysninger om brugernavn og adgangskode til en ny medarbejder. Eller det kan være tilbuddet til et kundeemne. Risikoen forstærkes her af, at kryptering er meget lidt udbredt ved e-post over internet. Så når en angriber først har fået fat i en e-mail, er den som regel lige til at læse.

Normalt sendes brugernavn og adgangskode som ren tekst mellem postprogram og server. Hvis nogen opsnapper dele af den kommunikation, kan de dermed udnytte brugerens adgangskode. Nyere postserverprogrammer understøtter teknologien SMTP AUTH, hvor brugernavn og adgangskode krypteres.

- Krypterede adgangskoder til mailservere er desværre ikke særlig udbredte. Det skyldes sikkert, at metoden som standard ikke er slået til i postserverprogrammerne, siger Preben Andersen.

Hackere og virus

Postservere kan også udnyttes som en vej ind i systemet for hackere. Således findes der en række kendte sårbarheder i postserverprogrammer. Der kan for eksempel være tale om bufferoverløb, der giver en angriber mulighed for at afvikle kode på systemet. Eller en sårbarhed kan give adgang på administratorniveau.

- Uanset hvilket system man kører, er det altid en god ide at kontrollere det for kendte sårbarheder. I DK-CERT er vi for øjeblikket i gang med at opbygge en database over sårbarheder i de mest udbredte serverprogrammer, fortæller Preben Andersen.

I den amerikanske sårbarheds­database ICAT er der registreret 23 sårbarheder i Sendmail, der er et udbredt postserverprogram under Unix. Nogle af dem giver en angriber mulighed for at få administrator­privilegier. De er rettet i nyere versioner af programmet.

Beskyt med antivirus
Postserveren er som regel det sted, hvor den største del af udefra­kommende information strømmer ind i virksomheden. Dermed løber viruser også gennem den. Det kan virksomheder beskytte sig mod ved at installere et antivirusprogram på serveren.

- Vi anbefaler, at man både installerer et antivirusprogram på postserveren og ude på klienterne, da det øger chancen for at fange alle virus, siger Preben Andersen.

Endvidere råder han også virksomhederne til kun at bruge postserveren som postserver. Hvis den samtidig skal fungere som web-server eller filserver, øger det risikoen for misbrug, da der så er flere sikkerhedshuller, der skal lukkes.

Web giver nye udfordringer
Dedikerede postklienter som Eudora og Outlook Express er ikke længere den eneste mulighed for at læse post: De fleste e-postsystemer kan nu også nås fra web. Det giver nye sikkerhedsmæssige udfordringer. En mulighed er at sikre kommunikationen mellem browser og server med kryptering. Det kan ske via SSL-standarden, der nu hedder TLS (Transport Layer Security).

Skønt det er muligt at beskytte en postserver på mange måder, findes der stadig angreb, som det er meget svært at gøre noget ved. Det gælder for eksempel mails, der sendes med falsk afsenderadresse. Hvis der er tale om spam, vil modtageren ofte blive irriteret og sende et vredt brev retur. Hvis brevets modtageradresse er ugyldig, sender postserveren hos modtageren det retur med besked om, at det ikke kan afleveres. Hvis en spam-afsender udsender store mængder spam med forfalskede afsenderadresser, kan serveren hos den virksomhed, der ejer afsenderadressen, gå i knæ under presset fra de mange returnerede mails.

? For øjeblikket ser vi en del tilfælde af virussen Klez. Den sender sig selv videre fra en inficeret pc, hvorpå den både finder en modtager og en afsenderadresse. Derfor kan modtagerne af virussen ikke vide, hvilken maskine den reelt er afsendt fra, siger Preben Andersen fra DK-CERT.

Ti gode råd

Ti gode råd om sikring af postservere:


  • Konfigurer serveren, så den ikke fungerer som åbent mailrelæ.

  • Installer et antivirusprogram på serveren.

  • Brug altid autentificeret adgang til postserveren. Det betyder, at adgangskoden krypteres.

  • Kør ikke andre tjenester end postserverprogrammet på serveren.

  • Installer alle relevante programrettelser og sikkerhedsopdateringer til
    styresystemet.

  • Installer alle relevante programrettelser og sikkerhedsopdateringer til
    postserverprogrammet.

  • Brug SSL-kryptering ved web-adgang til e-post.

  • Hold virusdefinitionerne opdaterede ? mange programmer kan gøre det
    automatisk.

  • Abonner på informationsbreve fra producenterne. Her kommer nyheder om sårbarheder og patches hurtigt ud.

  • Opdater systemerne, så snart der kommer en ny patch.
Man skal huske at sætte kryds de rigtige steder i Outlook Express, hvis postserveren er indstillet til at kryptere adgangskoden. Der skal flueben i "Log på med godkendelse af sikker adgangskode". Desuden anbefaler DK-CERT også, at man bruger adgangskode til udgående post ved at sætte kryds ved "Min server kræver godkendelse".

Yderligere information:
Vejledning i sikring af postservere fra National Institute of Standards and Technology
Råd fra DK-CERT om lukning af åbne mail-relæer

Torben B. Sørensen er journalist ved Uni-C. Denne artikel stammer fra den trykte udgave af Computerworld.




Navnenyt fra it-danmarkVis alle »
Marcel Mortensen
Marcel Mortensen
Luise Jespersen
Luise Jespersen
Lars Normann Jensen
Lars Normann Jensen
Jeffery T E Williams
Jeffery T E Williams

Peter Baun
Peter Baun
Yucheng Fu
Yucheng Fu
Morten Patrick Kristiansen
Morten Patrick Kristiansen
Mathias Marott Sundram
Mathias Marott Sundram


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere

Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere

Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mette Lundberg
Mette Lundberg
Mogens Nørgaard
Mogens Nørgaard
Søren Christian Søndergaard Poulsen
Søren Christian Søndergaard Poulsen
Laura Klitgaard
Laura Klitgaard
Erik David Johnson
Erik David Johnson
Peer Jakobsen
Peer Jakobsen
Mike Wriedt Johansson
Mike Wriedt Johansson
Henrik Bering
Henrik Bering
opinion
Mette Lundberg
Mette Lundberg
Danske elevers digitale kompetencer er i frit fald: Vi bør gøre noget nu
Læs indlæg
Artikel teaser billede

Mogens Nørgaard

Nørgaard: Det er de neuro-divergente originalers tid

Artikel teaser billede

Søren Christian Søndergaard Poulsen

De fik skabt et af verdens mest kendte brands: Innovation handler om at turde tænke vildt

Artikel teaser billede

Laura Klitgaard

Lad os nu få en cyberhovedstad - og giv to procent af forsvarsmidlerne til cyberforsvar

Artikel teaser billede

Erik David Johnson

Brug sprogmodeller som din personlige data scientist

Mest læste klummer og blogs
Lad os nu få en cyberhovedstad - og giv to procent af forsvarsmidlerne til cyberforsvar
Klumme: Aarhus har potentialet til at blive Danmarks cyberhovedstad og står klar med en ambitiøs plan for at etablere et dansk cyberskjold. Men der mangler statslig finansiering.
Af: Laura Klitgaard
De fik skabt et af verdens mest kendte brands: Innovation handler om at turde tænke vildt
Klumme: Red Bull-tilgangen viser, at det ulogiske nogle gange vinder stort.
Af: Søren Christian Søndergaard Poulsen
Brug sprogmodeller som din personlige data scientist
Klumme: Få en gennemgang i en af de mest oversete GPT-funktionaliteter overhovedet.
Af: Erik David Johnson
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Det er de neuro-divergente originalers tid
opinion Peer Jakobsen
Teknologi er vores vigtigste allierede i kampen mod kræft
Læs indlæg

Premium
Teaser billede
"Jeg har aldrig fået et job gennem ansøgninger. Hele min karriere er skabt gennem netværk og relationer”
Læs mere »
Med to klik på siden af din iPhone kan du snart betale med MobilePay i butikker: Vil erstatte Apple Pay til næste år
Microsoft blokerer: Du kan ikke længere installere stor Windows-opdatering, hvis disse pc-spil ligger på din pc
Oracle i Danmark fordobler overskuddet efter stor reduktion af medarbejderstaben
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Se alle »
CIO
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Microsofts store årlige event: De tre vigtigste nøglebudskaber fra Satya Nadella om Microsofts fremtid
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
SAP: Skab værdi og minimér omkostninger med effektiv dokumenthåndtering
Governance, Risk & Compliance: Knyt stærke bånd mellem forretning og sikkerhed
Er din cybersikkerhed klar til AI-revolutionen?
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »