tisdag 22 december 2015

Det du måste veta om SPF

SPF står för Sender Policy Framework och är ett regelverk för den som vill skicka e-post på Internet. Med hjälp av SPF kan alla med ett domännamn tala om för omvärlden vilka IP-adresser som ska tillåtas skicka e-post från domänen. Som mottagare av e-post kan man med hjälp av SPF avvisa e-post från bedragare och undvika att ta emot e-post med förfalskade avsändare.

Alla som äger ett domännamn har möjligheten att upprätta ett så kallat SPF-record i sin DNS-konfiguration. Det är en text-sträng som definierar vilka e-postservrar/IP-adresser som ska ha tillåtelse att skicka e-post med domänen som avsändare. Om alla som skickade e-post hade upprättat ett SPF-record hade förfalskad e-post varit betydligt mindre vanligt än vad det är idag.

Varför ska jag ha ett SPF-record?
Många upprättar ett SPF-record för att minska riskerna för att det egna domännamnet anges som avsändare vid e-postbedrägerier. Alla de större e-posttjänsterna (t.ex. Hotmail och Gmail) kontrollerar avsändarens SPF-record för att bekräfta att e-post inte är förfalskad och rensar bort e-post som skickats från otillåtna servrar. Det är därför viktigt att ditt SPF-record är korrekt och stämmer överens med de servrar som används för att skicka ut e-post med ditt domännamn som avsändare.

Två typer av SPF-records
Det finns två typer av SPF-records; hard-fail och soft-fail. När man upprättar sitt SPF-record kan man ange hur man önskar att mottagaren ska behandla e-post som inte matchar de godkända avsändarna i SPF. Genom att ange "Hard-fail" ber man mottagaren att helt blockera e-post från otillåtna avsändare. Om man istället anger "Soft-fail" ber man mottagaren att sätta e-post från otillåtna avsändare i karantän eller märka ämnesraden i e-postmeddelandet.

Så fungerar SPF
För att stoppa e-post från icke-godkända avsändare behöver mottagaren kontrollera avsändarnas SPF-record. De flesta e-postsystem har för detta ändamål möjlighet att aktivera "SPF-kontroll".


Avsändaren skickar ett e-postmeddelande och mottagaren kontrollerar om det existerar något SPF-record. Om avsändaren har ett SPF-record kontrolleras så att det IP-nummer som skickade e-postmeddelandet är angivet som godkänt i avsändardomänens SPF-record.


Om någon försöker förfalska e-post från en domän som har ett SPF-record, eller om avsändarens missat att ange alla sina servrar i SPF-record, kommer mottagaren avvisa meddelandet.

Syntax för SPF-record
SPF är kostnadsfritt och finns i detalj beskrivet på www.openspf.org. Ett SPF-record kan se ut t.ex. så här:

"v=spf1 ip4:192.168.0.1/16 -all"

Ovan SPF-record specifiecerar att e-post från domänen (där SPF-record upprättas)  får skickas från alla IP-adresser mellan 192.168.0.1 och 192.168.255.255. Det avslutande "-all" betyder "Hard Fail" - alltså att e-post som skickas från andra IP-adresser än de som är angivna bör blockeras av mottagren. Önskar man att mottagaren istället att mottagaren ska sätta e-post som inte skickas från godkända avsändare på karantän så anger man ett "~" som betyder "Soft Fail".

SPF-record för domänen wecloud.se ser ut så här:

"v=spf1 a:remote.wecloud.se include:spf.mx-wecloud.net -all"

Ovan SPF-record tillåter vår e-postserver (remote.wecloud.se) och WeCloud's spamfilter-servrar att skicka e-post med vårat domännamn. 

Att tänka på när du upprättar ett SPF-record
Värt att tänka på är att ett SPF-record inte kan innehålla hur många DNS-uppslag som helst. Gränsen är satt till max 10 uppslag, detta för att försäkra sig om att ingen kan skapa gigantiska SPF-records som tvingar mottagaren att göra allt för krävande uppslag.

Notera också att SPF-kontrollen görs mot den server som avlevererar meddelandet. Om din e-postserver använder ett relay eller smarthost för din utgående e-post som sista utpost så är det denna som måste anges i din SPF.

Varför har WeCloud's spamfilter stoppat ett mail p.g.a. SPF-check?
Om du har aktiverat SPF-kontroll i WeCloud's spamfilter så gör systemet en kontroll av avsändarens SPF-record och blockerar e-post som skickas från IP-adresser som inte är angivna som godkända i avsändarens SPF-record med "Hard fail". Om avsändarens SPF-record är satt till "Soft Fail" så sätts e-post från icke godkända IP-adresser i karantän. Om avsändaren helt saknar SPF-record så kan SPF-kontrollen inte utföras och e-posten går vidare till övriga spam-kontroller.

Hur gör jag om legitim e-post blockeras med SPF-kontroll?
Om legitim e-post blockeras med SPF-kontrollen så beror det på att avsändaren inte konfigurerat sin SPF-record korrekt. Avsändaren bör då rätta sitt SPF-record, och ange vilka servrar som ska ha rätt att skicka e-post med deras domännamn. I WeCloud's antispamtjänst finns dock möjlighet att vitlista avsändarens adress och på så sätt frångå SPF-kontrollen för en specifik adress eller domän. 
Det finns också möjlighet att inaktivera SPF-kontrollen helt och hållet, och du kan ha olika inställningar för "Hard-fail" och "Soft Fail". Kom ihåg att du riskerar att få förfalskad e-post om du vitlistar eller inaktiverar SPF.

Läs också:


www.wecloud.se
info@wecloud.se


onsdag 16 december 2015

Du är inbjuden! Webinarie om världens mest effektiva antivirus!

Oavsett om du är befintlig kund, eller om du aldrig hört talas om WeCloud och Webroot Next-Generation-AntiVirus så är detta webinarie något du inte vill missa!










Följ med på en fördjupad teknisk demonstration av vår revolutionerande SecureAnywhere Business Endpoint Protection, och lär dig hur vår smarta säkerhetslösning arbetar för att skydda dina anställda, kunder och din data med kompromisslös säkerhet för stationära och bärbara datorer, virtuella maskiner, tabletts och smartphones.


Måndag den 21:e december, klockan 16:00

>>> Anmäl dig här! <<<

www.wecloud.se
info@wecloud.se


fredag 11 december 2015

Därför utklassar Zscaler intern säkerhetshårdvara

 Zscaler Secure Internet Plattform erbjuder URL-filtrering, Cloud Sandboxing, Data Loss Prevention (DLP), Next Generation Firewall (NG-FW) och många andra funktioner, helt utan hårdvara eller mjukvara hos kunden. Men hur kan en molnbaserad Internetsäkerhetstjänst ge fler funktioner och bättre prestanda än lokala "on-premise-lösningar", proxys och brandväggar?


WeCloud introducerade den molnbaserade säkerhetslösningen Zscaler på den skandinaviska marknaden för fem år sedan. Med mer funktionalitet och bättre prestanda än traditionella "on premise"-lösningar har lösningen fått ett varmt mottagande av både små och stora företag i Skandinavien. 

Hur kan Zscaler erbjuda så djupgående analyser av nätverkstrafiken utan att skapa fördröjningar i trafiken? Hemligheten ligger i en, från grunden, helt ny arkitektur. Istället för att klustra ett antal Linux-boxar och bygga ett admin-gränssnitt har Zscaler utvecklat och anpassat en unik arkitektur som tillåter analys av extrema mängder data i realtid.

Traditionella lösningar och Internet Security Gateways
För att förstå det unika i Zscalers arkitektur behöver vi titta på hur traditionella lösningar vanligtvis fungerar. I de flesta lösningar inspekteras datapaket i tur och ordning av de olika teknologierna; först kontrolleras URL-policys, därefter skickas trafiken till en eller flera antivirusmotorer som i tur och ordning analyserar datapaketet.





Efter antivirus-inspektionen tar eventuella avancerade säkerhetsanalyser vid och till sist, om ingen av teknologierna blockerar datapaketet kan det skickas vidare till användaren eller ut på Internet.

Single Scan Multi-Action
Zscaler använder en teknologi som kallas SSMA (Single Scan Multi-Action). Datapaket som skickas genom Zscaler placeras i ett delat minne som är tillgängligt för alla CPU'er i det aktuella datacentret. Varje skanningsteknologi har dedikerade CPU'er och tillåts parallellt analysera information. 









Med SSMA undviks steg-för-steg-analys, och datapaketet kan analyseras parallellt av URL-filter, AntiVirus-motorer, DLP-analys, Next-Gen-Firewall och sandboxing-teknologi utan att skapa onödig fördröjning.

Zscaler har mer än 50 registrerade patent och klassas som ledare bland Internet Security Gateways av samtliga ledande analysföretag (T.ex. Gartner, Forester m.fl.). Med fler än 100 datacenter i hela världen, inklusive Sverige, Norge och Danmark,  kan alla användare skyddas, oavsett tid plats och klientplattform.

  • Läs mer om Zscaler eller kontakta WeCloud för mer information, demo eller kostnadsfri utvärdering av lösningen.

www.wecloud.se
info@wecloud.se



onsdag 9 december 2015

Nya verktyg för WeCloud-partners

WeCloud introducerar Webroot Channel Edge Partner Program, en rad verktyg för att öka och förenkla försäljningen av Webroot next-generation-AntiVirus. Programet erbjuds till både befintliga och nya WeCloud-partners.



Vad är Webroot Channel Edge Toolkit?  

Webroot Channel Edge Toolkit är en samling moderna verktyg som hjälper dig med försäljning och marknadsföring av Webroot SecureAnywhere Next-Generation-AntiVirus. 

Varför ska du som WeCloud-partner börja använda Webroot Channel Toolkit?
Det tar bara några minuter att registrera ett konto
Egen logotyp på produktblad
Dina säljare får tillgång till alla nya produktblad och whitepapers

Erbjud och spåra kostnadsfria utvärderingar

Med Webroot Channel Edge Toolkit får du bland annat:


Web Content Syndication - Visa relevanta och uppdaterade nyheter på Er egen webbsida och erbjud Era kunder kostnadsfria utvärderingar.

Resource Center Syndication - Ger din organisation tillgång till anpassat marknadsmaterial direkt i webbläsaren.

Social Content Syndication -  Skickar automatiskt ut relevanta säkerhets-tweets från Ert egna Twitter-konto.


www.wecloud.se
info@wecloud.se



onsdag 2 december 2015

Är det i år som Mac-datorerna blir infekterade?

Den senaste tiden har vi kunna läsa många artiklar om skadlig kod anpassad för Mac-system. WeCloud reder ut begreppen och redogör för vilken typ av skadlig kod som faktiskt drabbar Mac-systemen och vad användarna bör se upp med.

Ja, vi har sett en betydande ökning av skadlig kod för Mac men fortfarande finns stora skillnader mellan hotbilden på PC och Mac-system. Vilken typ av hot behöver Mac-användarna egentligen bry sig om? Och vilka hot kan man som Mac-användare fortsätta att ignorera? 


Ransomware för Mac

Som exempel på den ökande hotbilden mot Mac-system visades nyligen en fullt fungerande Mac-specifik ransomware upp. Koden är skriven av Rafael Marques från Brasilien som är utvecklare med stort intresse för IT-säkerhet. Rafael skrev den Mac-anpassade ransomware-koden för att visa att säkerhet för Mac behöver tas på allvar. Koden har inte spridits utan den har främst använts i demonsyfte.

Rafaels ransomeware-demonstration fick stort intresse och påvisade tydligt behovet av säkerhet för Mac OS. Den nya koden öppnade ögonen på de Mac-användare som länge hävdat att Mac OS var en säker plattform. På frågan om varför Rafael utvecklat ett ransomware för Mac svarar han "för att informera om att det är en myt att det inte finns malware för Mac".

Även om Rafaels "Proof of concept" tveklöst kan klassas som ett malware så är de flesta riktiga exempel som WeCloud noterat fortfarande av typen PUA's (Potential Unwated Applications" som visst kan klassas som malware, men som sällan bedöms vara en allvarligt hot. Under 2015 har mängden PUA's ökat markant och den största delen som Webroot Security Research har analyserat är av typen "Adware" (t.ex. VSearch, Genieo, IronCore, Bundlore, Wedownload). Adware gömmer sig bakom ett legitimt program och klickar i bakgrunden på länkar eller öppnar pop-ups.

Även om Adware inte ställer till med så stor skada visar de tydligt att Mac OS inte är 100% säkert och många gånger fungerar adware som en första "test" för mer avancerad malware. Nästa gång vi ser ett ransomware för Mac är det troligtvis inte bara ett försök att öka medvetenheten hos användare och administratörer.

Samtidigt som malware-utvecklarna gör framsteg utnyttjas också användarnas godtrogenhet av bedragare som valt att försöka lura användarna. Det senaste året har WeCloud uppmärksammat mängder av nya phishing-försök direkt riktade mot Mac-användare.



Förfalskade webbsidor lurar användaren att uppge sitt Apple-ID 














Ofta handlar de Mac-anpassade phishing-attackerna om att lura användaren att uppge sina inloggningsuppgifter till Appstore. Med mer än 85.000 nya skadliga IP-adresser varje dag händer det att de förfalskade webbsidorna inte blockeras i tid av webbfiltret, då gäller det att som användare vara uppmärksam.

WeCloud hjälper dig att säkra dina kunders Mac-system och erbjuder next-generation Endpoint Protection, Email Security och WebSecurity i molnet. Kontakta WeCloud för mer information!

www.wecloud.se
info@wecloud.se