Epost på avveie

  • ikt

En epost fra artikkelforfatteren til redaksjonen var opprinnelsen for denne saken. Alt virket normalt inntil en melding tilbake varslet at eposten var kommet til feil adressat. Et nytt forsøk ga samme resultat. Det viste seg at eposten ble kopiert og dumpet i en fremmed postkasse. Feilen lå i en uheldig kombinasjon av epostleverandør Tele2 og Microsoft-versjonene Outlook 5.0x og Outlook Express 5.0x.

Sikkerhetseksperter som ble konfrontert med hendelsen, advarer folk mot å stole blindt på eposten.

Tele2 forklarer

Adressen var stavet rett. Systemet ga ingen feilmelding, og rett mottaker fikk posten. Likevel havnet kopi av meldingen i feil hender.

Tele2 Norge AS tok saken på alvor. En testoppstilling ga svar på hva som hadde forgått, ifølge teknisk sjef Ole Martin Gunhildsbu:

Adressen fra avsender inneholdt både visningsnavn (her et fiktivt navn) og en epostadresse: Nordmann, Ola . Når et epostprogram sender en epost som inneholder både epostadresse og et visningsnavn, er normen at navnet skal ha anførselstegn rundt seg slik at epostserveren skal forstå at visningsnavnet ikke er en adresse.

I dette tilfelle sendte Outlook Express ikke noe " " rundt navnet. Tele2s posttjener oppfattet dette som tre meldinger; én til Nordmann, én til Ola og én til ola.nordmann@tekblad.no. Siden det ikke var noe domene knyttet opp til de to første adressene, leverte den eposten til det lokale domenet c2i.net. Og fordi nordmann@c2i.net er en eksisterende adresse hos Tele2, ble posten levert dit.

Tele2 klarte å reprodusere feilen med både Outlook ver. 5.0x og Outlook Express 5.0x, men ikke med de nyere versjonene, og det ble antydet at problemet egentlig skyldes en feil i avsenders epostprogram – de manglende anførselstegnene.

Microsoft erkjenner

De faktiske forholdene blir erkjent av produktsjef Rune Lystad hos Microsoft Norge AS. Outlook og Outlook Express i de omtalte versjonene sender ikke visningsnavnet i anførselstegn. Men benekter at bruke av anførselstegn skal et standardkrav i programvaren. Problemet er uansett eliminert dersom man benytter de nyeste programversjonene, der tegnene blir brukt.

Microsoft har ingen tall på hvor mange av de eldre versjonene som er i bruk. Generelt er andelen av Outlook- og Outlook Express-brukere stor. I Norge har disse programmene godt over halvparten av markedet.

Eksperter advarer

Spesialrådgiver i security i Næringslivets Sikkerhetsorganisasjon, Berit Børset Solstad, mener det er helt uakseptabelt for brukerne at epost skal komme på avveier slik. – Kryptering er det eneste som sikrer at epost ikke blir lest av uvedkommende, advarer hun.

Informasjonsrådgiver i Datatilsynet, Gunnel Helmers, minner om at du ikke har lov til å lese en epost som ikke er til deg selv. Hun anbefaler også kryptering.

Seniorkonsulent i Symantec, Stein Møllerhaug, ser det tragiske i at folk stoler blindt på epost-systemene: – Dagens epost er ikke sikrere en et vanlig postkort. Du må regne med at underveis kan den komme på avveier, bli kopiert og bli lest av uvedkommende. Derfor må den krypteres hvis man vil være på den sikre siden.