Svämmar inkorgen över av erbjudanden inför Black Friday? Du är i så fall inte ensam om att dränkas i e-post från butiker, inte minst från e-handeln. Men kan du lita på att mejlet kommer från den det ser ut att komma från? Även om avsändaradressen ser ut att vara genuin är det enkelt att förfalska, eller spoofa, en avsändaradress, om inte domänägaren implementerat säkerhetsprotokollet dmarc. Tyvärr är det få e-handlare i Sverige som implementerat dmarc (domain-based message authentication, reporting and conformance).

Dmarc-skyddet förhindrar att e-post skickas från en falsk e-postadress, som ser ut att tillhöra en genuin avsändare, når fram till mottagaren. När en domän har dmarc-skydd analyseras varje mejl som sänds ut för att säkerställa att avsändaren är kopplad till domänen. Utan skyddet kan vem som helst sända ut ett mejl med falsk avsändaradress som ser ut att vara legitim.

Naturlig måltavla för kriminella aktörer

Domänbedrägerier är en form av bedrägeri som ökar snabbt. E-handelssajter är också en naturlig måltavla för cyberkriminella aktörer. Särskilt utsatt blir sektorn under de perioder där handeln är som störst. Förra året handlade Sveriges befolkning för 6,7 miljarder kronor under Black Friday. Fler än hälften av de som handlade genomförde alla sina köp online. Bara under 2018 ökade antalet bedrägeriförsök riktade mot e-handeln med 144 procent.

Det borde med andra ord ligga i e-handlarnas intresse att skydda sina domäner mot bedrägliga e-postutskick eftersom det skyddar deras rykte och deras kunder. De kunder som får ett mejl från en e-handlare som implementerat dmarc på sin domän kan vara helt säker på att mejlet faktiskt kommer från den det ser ut komma från.

Enligt en undersökning från it-säkerhetsföretaget Proofpoint är det tyvärr illa ställt med dmarc-skyddet bland de största svenska e-handlarna. I 95 procent av fallen Proofpoint tittat på kan mottagaren av till exempel ett reklamutskick från de stora svenska e-handlarna inte vara helt säker på att mejlet är genuint, och endast 25 procent av e-handlarna har delvis implementerat dmarc. Detta innebär att 75 procent av de största svenska e-handlarna inte skyddat sig, och framförallt sina kunder, mot domänspoofing överhuvudtaget. 

”Annars måste man säkra hela kedjan”

– Att inte implementera dmarc är att öppna för bedrägerier, säger Fredrik Möller, Sverigechef på Proofpoint. Det är dessutom väldigt enkelt att implementera, i stort sett att bocka i en inställning i servern, speciellt om man bara har en domän och inte låter till exempel partner skicka mejl i företagets namn. Annars måste man säkra hela kedjan så att alla som har rätt att skicka mejl i ditt namn också slår på dmarc. Att slå på dmarc är som att säga ’med mig kan du handla säkert’.

Varför är vi så dåliga på detta i Sverige?

– Det är en upplysningsfråga. Det är verkligen inte rocket science att slå på dmarc. Det finns inga ekonomiska eller tekniska anledningar att inte implementera det. De enda fall där det kan bli krångligt är om man har en logistikkedja med flera aktörer som får skicka e-post i ens eget namn.

Proofpoint vill inte gå ut med vilka svenska e-handlare som inte implementerat dmarc, men Computer Sweden har på egen hand tagit fram listan. Den utgår från tidningen Ehandels Ehandelsindex där de största handlarna vars försäljning till mer än 50 procent kommer från onlinehandeln valts ut.

Det innebär att jättar som Ikea och HM inte finns med i urvalet, men det är enkelt att kontrollera dessa domäner – både ikea.se och hm.com har implementerat dmarc fullt ut. Om man vill kontrollera vilka domäner som använder dmarc, helt eller delvis, finns det flera verktyg på nätet att ta till, men även Proofpoint har ett verktyg online som finns här (välj dmarc check till vänster på sidan).

De stora svenska e-handlare som implementerat dmarc, och där du som kund kan lita på e-postutskicken är:

Uppdatering: Efter publiceringen har Jollyroom slagit på dmarc och därför flyttats upp till listan av pålitliga avsändare. Även CDON har delvis slagit på dmarc på domänen cdon.com, och har dmarc aktiverat sedan tidigare för domänen email.cdon.com.

Även Apotea har slagit på dmarc efter vår publicering.


De som delvis implementerat dmarc, men där du fortfarande inte kan vara helt säker är:
 
Och de som inte alls stödjer dmarc, och från vilka du absolut inte kan lita på e-postutskicken är (vissa bolag har fler än en sajt):
 
  • 24MX/Xlmoto/Sledstore
  • Adlibris
  • Bokus
  • Bygg hemma 
  • Ellos 
  • Gymgrossisten/Bodystore
  • Komplett
  • Linas Matkasse
  • Lyko
  • Mathem
  • Royal Design
  • Skånska Byggvaror 
  • Vitaminvaruhuset

Computer Sweden har sökt få svar från flera e-handlare som inte implementerat dmarc. En av dem som nu delvis stödjer dmarc är Cdon som har fullt skydd implementerat på domänen som används för att skicka e-post till kunderna, men bara ett partiellt skydd för huvuddomänen cdon.com, där skyddet slogs på idag. När Computer Sweden kontrollerade cdon i går fanns inget skydd alls.

– Dmarc är påslaget på vår nyhetsbrevsdomän. Vi har 1,8 miljoner kunder som vi kommunicerar med dagligen och jag tycker dmarc är ett bra säkerhetsprotokoll mot e-postbedrägerier, säger Eldar Terzic, cto på Cdon.

Måns Serneke, CIO på Bygghemma, låter medela via epost att ”vi driver just nu ett större projekt för att förbättra hela vår hantering avseende kommunikationen med våra kunder. Som en del av detta så ingår även att lägga till stöd för DMARC i våra domäner”.

Läs också:
Så skyddar du din e-post från missbruk
Larmrapporten: Trots år av attacker – enkelt skicka mejl med falsk avsändare