Det store flertallet av alle alvorlige registrerte IKT-hendelser rettet mot nasjonal kritisk IKT-infrastruktur startet med en forfalsket e-post som lurer bruker til å åpne et vedlegg med ondsinnet programvare eller klikke på en link som fører til infeksjon av maskinen («phishing»). Trusselaktørens mål er å få kontroll over din maskin, eller å lure mottaker til å avgi verdifull informasjon. Løsepengevirus («ransomware»), som NSM har registrert en kraftig økning av de siste årene, spres også i stor grad gjennom e-post.

Hva kan du gjøre?

NSM anbefaler fire beskyttelsesmekanismer for å sikre e-post på e-posttjenere:

1. STARTTLS – En beskyttelsesmekanisme for overføring av e-post mellom e-posttjenere. Beskyttelsesmekanismen sørger for autentisering av e-posttjenere og konfidensialitetssikring. Følgende tre tiltak vil relativt enkelt sørge for at en stor del av e-postkommunikasjonen ikke vil kunne avlyttes:

a) Aktiver STARTTLS for utgående e-post.
b) Installer tiltrodd sertifikat for sikring av innkommende e-post.
c) Krev kryptering for bestemte mottagere og avsendere.

2. SPF (Sender Policy Framework): Benyttes for å spesifisere hvilke e-posttjenere som er autorisert til å sende e-post på vegne av et gitt domene (eksempelvis for example.com).

3. DKIM (DomainKeys Identified Mail): Elektronisk signatur som legges på all utgående e-post sendt på vegne av et domene, som så kan verifiseres mot en nøkkel lagret i DNS for avsenders domene.

4. DMARC (Domain based Message Authentication, Reporting and Conformance): Beskriver hvordan du ønsker at e-post som feiler SPF og DKIM-sjekker skal håndteres, og muliggjør at andre e-post-servere kan rapportere tilbake på e-post de mottar. Bruk gjerne NSMs tjeneste Dmarc.no