Under torsdagen avslöjade SVT Nyheter hur mejl till polisen hade hamnat hos en helt utomstående privatperson. Enligt SVT rörde det sig om över hundra mejl från såväl privatpersoner som myndighetsanställda.
De berörda mejlen hade inte hamnat fel på grund av någon teknisk bugg utan på grund av att avsändarna hade skrivit fel mottagare i e-postadressfältet. I stället för att skicka mejl till mottagare på domänen poIisen.se råkade avsändarna mejla till någon på en liknande domän, exempelvis på poIisen.se stavat med C i stället för S. Personen som ägde den felstavade domänen hade konfigurerat sin e-postserver så att den tog emot alla mejl som skickades dit, oavsett vilket namn som stod framför @-tecknet i e-postadressen.
Polisen kan inte registrera alla domäner
Domänen i exemplet är tyvärr bara toppen av ett isberg. Med hjälp av webbtjänsten DNS Twister kan vi söka efter felstavade versioner av domäner och se huruvida de är registrerade. En snabb sökning detekterar 19 registrerade felstavningar av poIisen.se samt 224 förslag på felstavningar som är öppna för registrering.
Så som domänsystemet är uppbyggt idag finns det ingen möjlighet för polisen att registrera alla potentiella felstavningar av poIisen.se. Domänkostnaden hade blivit på tok för hög. Problemet hade dessutom funnits kvar (om än i mindre utsträckning) eftersom polisen omöjligen kan registrera alla relevanta domäner på samtliga toppdomäner (t.ex. .com och .net). Faktumet att liknande domäner förekommer är därför något vi får acceptera.
Problemet gäller all e-postkommunikation
Problemet med mejl som hamnar fel är inte på något vis unikt för polisen. Samma problem drabbar organisationer av alla typer och alla storlekar. E-posttekniken är i grunden osäker och vi som skickar e-post är lätta att lura. Denna artikel bevisar troligtvis det. I den har vi nämligen refererat till polisens domän fyra gånger utan att en enda gång skriva den riktiga domänen. Samtliga referenser är till en felstavad domän (poiisen.se i stället för polisen.se).
(När jag, Karl Emil Nikka, började skriva denna artikel upptäckte jag att domänen poiisen.se var oregistrerad. Det är en riktigt bra bluffdomän eftersom stora I och lilla l ser nästan likadana ut. Än så länge verkar de andra felstavade domänerna bara användas för att kränga kryptovalutabluffar och tjuvläsa e-post. Jag insåg dock att den här domänen skulle kunna användas till betydligt värre saker och jag köpte den därför innan någon annan hann före. Läs mer om vårt ansvar i slutet av artikeln.)
Genom detta tilltag hoppas vi kunna visa hur lätt det är att missa en felaktig bokstav. Få användare hade exempelvis upptäckt felet i adressen kontakt@poIisen.se (se bild nedan). Det är således orimligt att lägga hela skulden på användarna som råkar mejla fel.
Polisen skriver i ett pressmeddelande att de sedan incidenten har spärrat cirka 400 e-postadresser som påminner om polisen.se (vi förutsätter att de syftar på 400 domäner). Det är en bra åtgärd som minimerar risken för att poliser skriver fel, men det löser inte grundproblemet. Andra myndigheter och alla vanliga medborgare kan fortfarande mejla till dessa domäner. Den enda riktiga lösningen på problemet är minskat mejlande till förmån för säkrare kommunikationsmetoder.
Tips! Privatpersoner som vill skicka mejl till polisen bör i stället gå till polisens webbplats och använda formuläret som finns där.
Information till Polismyndigheten
Uppdatering: Vi har tagit bort vidarelänkningen till polisen.se så att besökare som går till den felaktiga domänen får ett felmeddelande i stället.
- Nikka Systems Sverige AB registrerade domänen poiisen.se 2020-02-06.
- Vi överför domänen till Polismyndigheten kostnadsfritt och utan onödiga fördröjningar. Kontakta Karl Emil Nikka för att få domänen överförd.
Webbläsare som går till poiisen.se skickas vidare till polisen.se.- Domänen har ingen kopplad e-postserver. Detta innebär att inga mejl kan skickas till adresser på den domänen. Om någon försöker mejla till domänen får avsändaren ett felmeddelande från sin egen utgående e-postserver. Inget mejl kan nå Nikka Systems Sverige AB:s servrar.
- Domänen är spärrad för utgående e-post. Detta innebär att varken vi eller någon annan kan skicka mejl från domänen.
När jag skall maila något känsligt till en ny mail skjuter jag ut en trevare först:
“Hej, var det du skulle få kopia på bokslutet? Ring eller messa mig isåfall. /NN 0707-xxxxxx”
I grund och botten är mail fel medium för känslig/kritisk information, men vi kör på i gamla banor.