E-mail logning

Hvad sker der med en e-mail der sendes forbi en server i DK der skal logge i henhold til logningsbekendtgørelsen.

Hvad ser serveren

Når du sender en e-mail ser det sådan ud

Hvis du trykker på billedet ser du følgende tekst - selve e-mailen som sendes mellem serverne.

 Mime-Version: 1.0 (Apple Message framework v752.2)
Content-Transfer-Encoding: quoted-printable
Message-Id: <DF107D2C-A58D-4B8D-B54A-F9E9D4FE99B2@security6.net>
Content-Type: text/plain;
 charset=ISO-8859-1;
 format=flowed
To: lund@diku.dk
From: =?ISO-8859-1?Q?Henrik_Lund_Kramsh=F8j?= <hlk@security6.net>
Subject: Dette er en mail uden kryptering
Date: Mon, 24 Sep 2007 16:58:54 +0200
 
Hej Lund
 
N=E5r vi sender e-mail normalt er det uden kryptering.
 
Mvh
 
Henrik
--
Henrik Lund Kramsh=F8j, Follower of the Great Way of Unix
hlk@security6.net, +45 2026 6000 cand.scient CISSP CEH
http://www.security6.net - IPv6, sikkerhed, netv=E6rk

Denne mail er for overskuelighedens skyld ikke skrevet med HTML og der er ikke vedhæftede filer. Princippet er dog det samme, altsammen oversættes til et tekstformat og overføres via internet og port 25 med protokollen SMTP.

Bemærk ligeledes at ovenstående er den tekst som mit e-mail-program sendte. Når det modtages ser det sådan ud:

 Return-Path: <lund@diku.dk>
X-Original-To: hlk@kramse.dk
Delivered-To: hlk@kramse.dk
Received: from mgw1.diku.dk (mgw1.diku.dk [130.225.96.91])
 by sunny.kramse.dk (Postfix) with ESMTP id 612F53BCD
 for <hlk@kramse.dk>; Wed, 26 Sep 2007 12:48:27 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
 by mgw1.diku.dk (Postfix) with ESMTP id E22175F0A3B
 for <hlk@kramse.dk>; Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
X-Virus-Scanned: amavisd-new at diku.dk
Received: from mgw1.diku.dk ([127.0.0.1])
 by localhost (mgw1.diku.dk [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id pMz--ijW2sWw for <hlk@kramse.dk>;
 Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
Received: from nhugin.diku.dk (nhugin.diku.dk [130.225.96.140])
 by mgw1.diku.dk (Postfix) with ESMTP id CA81D5F0A34
 for <hlk@kramse.dk>; Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
Received: by nhugin.diku.dk (Postfix, from userid 1558)
 id 0B35F6DFD26; Wed, 26 Sep 2007 12:43:21 +0200 (CEST)
X-Original-To: lund@diku.dk
Delivered-To: lund@diku.dk
Received: from mgw1.diku.dk (mgw1.diku.dk [130.225.96.91])
 by nhugin.diku.dk (Postfix) with ESMTP id D716E6DFD0A
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:43:20 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
 by mgw1.diku.dk (Postfix) with ESMTP id 7203A5F0A34
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
X-Virus-Scanned: amavisd-new at diku.dk
Received: from mgw1.diku.dk ([127.0.0.1])
 by localhost (mgw1.diku.dk [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id 4OoVzrn1VM9C for <lund@diku.dk>;
 Wed, 26 Sep 2007 12:48:23 +0200 (CEST)
Received: from sunny.kramse.dk (0x55519562.adsl.cybercity.dk [85.81.149.98])
 by mgw1.diku.dk (Postfix) with ESMTP id C836C5F0A37
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:48:22 +0200 (CEST)
Received: from [127.0.0.1] (localhost [127.0.0.1])
 by sunny.kramse.dk (Postfix) with ESMTP id 76EFF3BCC
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:48:17 +0200 (CEST)
Mime-Version: 1.0 (Apple Message framework v752.2)
Content-Transfer-Encoding: quoted-printable
Message-Id: <FB191042-3A23-4C63-8FB0-AA592F6078AF@security6.net>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
To: lund@diku.dk
From: =?ISO-8859-1?Q?Henrik_Lund_Kramsh=F8j?= <hlk@security6.net>
Date: Wed, 26 Sep 2007 12:48:15 +0200
X-Mailer: Apple Mail (2.752.2)
X-DSPAM-Result: Innocent
X-DSPAM-Processed: Wed Sep 26 12:48:30 2007
X-DSPAM-Confidence: 0.9994
X-DSPAM-Probability: 0.0000
X-DSPAM-Signature: 46fa38fe261091234514069
X-DSPAM-Factors: 27,
 IPv6, 0.00011,
 CISSP, 0.00028,
 Mvh, 0.00030,
 X-Mailer*Mail+(2.752.2), 0.00031,
 X-Mailer*(2.752.2), 0.00031,
 Mime-Version*v752.2), 0.00032,
 Mime-Version*framework+v752.2), 0.00032,
 er+det, 0.00037,
 Henrik+Lund, 0.00037,
 sikkerhed, 0.00044,
 Lund+Kramshøj, 0.00047,
 netværk, 0.00047,
 2026, 0.00048,
 cand, 0.00048,
 2026+6000, 0.00049,
 scient, 0.00049,
 cand+scient, 0.00049,
 Great+Way, 0.00049,
 scient+CISSP, 0.00049,
 IPv6+sikkerhed, 0.00049,
 Follower, 0.00049,
 Follower+of, 0.00049,
 of+Unix, 0.00051,
 sikkerhed+netværk, 0.00055,
 net+45, 0.00078,
 45+2026, 0.00080,
 6000+cand, 0.00091
Subject: Dette er en mail uden kryptering
 
Hej Lund
 
N=E5r vi sender e-mail normalt er det uden kryptering.
 
Mvh
 
Henrik
--
Henrik Lund Kramsh=F8j, Follower of the Great Way of Unix
hlk@security6.net, +45 2026 6000 cand.scient CISSP CEH
http://www.security6.net - IPv6, sikkerhed, netv=E6rk

E-mailen er blevet en del større, selvom du normalt ikke ser dette - prøv at se i menuerne om ikke du kan finde et menupunkt der hedder noget med "besked" "uformateret kildetekst" eller lignende.

Årsagen til dette er at for at nå fra e-mail programmet (mig) til min indbakke har denne besked været forbi DIKU. Alle beskeder der sendes gennem internet opsamler således information om de servere den passerer.

NB: du kan ikke stole på at det er rigtigt hvad der står i en e-mail, du kan rent faktisk kun stole på de servere som du selv kontrollerer.

Afsendelse af post med SMTP, Postfix

For fuldstændighedens skyld vises lige de informationer som min server loggede ved afsendelse af denne besked:

 Sep 26 12:48:19 sunny postfix/smtpd[28091]: 76EFF3BCC: client=localhost[127.0.0.1]
Sep 26 12:48:19 sunny postfix/cleanup[19985]: 76EFF3BCC: message-id=<FB191042-3A23-4C63-8FB0-AA592F6078AF@security6.net>
Sep 26 12:48:19 sunny postfix/qmgr[27]: 76EFF3BCC: from=<hlk@security6.net>, size=860, nrcpt=1 (queue active)
Sep 26 12:48:23 sunny postfix/smtp[12980]: 76EFF3BCC: to=<lund@diku.dk>, relay=mgw1.diku.dk[130.225.96.91], delay=6, status=sent (250 Ok: queued as C836C5F0A37) 
Sep 26 12:48:23 sunny postfix/qmgr[27]: 76EFF3BCC: removed

Bemærk at der er identifikation af samhørende loglinier med besked ID 76EFF3BCC og mailen er modtaget korrekt af serveren - der er statuskode 250 der betyder OK.

Modtagelse af post med SMTP, Postfix

... og ved modtagelse af samme:

 Sep 26 12:48:26 sunny postfix/smtpd[13752]: connect from mgw1.diku.dk[130.225.96.91]
Sep 26 12:48:28 sunny postfix/smtpd[13752]: 612F53BCD: client=mgw1.diku.dk[130.225.96.91]
Sep 26 12:48:28 sunny postfix/cleanup[19985]: 612F53BCD: message-id=<FB191042-3A23-4C63-8FB0-AA592F6078AF@security6.net>
Sep 26 12:48:28 sunny postfix/qmgr[27]: 612F53BCD: from=<lund@diku.dk>, size=2575, nrcpt=1 (queue active)
Sep 26 12:48:28 sunny postfix/smtpd[13752]: disconnect from mgw1.diku.dk[130.225.96.91]
Sep 26 12:48:30 sunny postfix/local[22870]: 612F53BCD: to=<hlk@kramse.dk>, relay=local, delay=3, status=sent (delivered to command: /usr/local/bin/dspam --deliver=innocent --user $USER -- -d %u)
Sep 26 12:48:30 sunny postfix/qmgr[27]: 612F53BCD: removed

Bemærk igen at samhørende loglinier er mærket med et process ID 13752 og et besked ID 612F53BCD. I praksis kan der godt modtages flere e-mail samtidigt fra forskellige servere, men ovenstående er renset lidt. (Dem der læser meget nøje kan så også se at der startes en ny Unix process 22870 idet e-mailen behandles af dspam anti-spam systemet.)

Der logges således allerede idag en væsentlig mængde information om e-mail, fordi man gerne vil kunne spore en mail og se om den blev afleveret til modtagerens server.

Hvad skal der så logges

Der skal logges:

  • afsender - From: ovenfor
  • modtager - To: ovenfor
  • maskine fra - IP-adressen på fra maskinen, kan logges både ved afsendelse og modtagelse
  • maskine til - IP-adressen på til maskinen, kan logges både ved afsendelse og modtagelse
  • msgid - besked ID som vist ovenfor
  • yderligere skal du gemme den logfil som indeholder ovenstående informationer

Dette giver anledning til at spørge - hvad kan jeg så gøre for at undgå logning?

Først ser vi lige på e-mailen igen, markeret med fed skrift er de informationer der logges:

 Return-Path: <lund@diku.dk>
X-Original-To: hlk@kramse.dk
Delivered-To: hlk@kramse.dk
Received: from mgw1.diku.dk (mgw1.diku.dk [130.225.96.91])
 by sunny.kramse.dk (Postfix) with ESMTP id 612F53BCD
 for <hlk@kramse.dk>; Wed, 26 Sep 2007 12:48:27 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
 by mgw1.diku.dk (Postfix) with ESMTP id E22175F0A3B
 for <hlk@kramse.dk>; Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
X-Virus-Scanned: amavisd-new at diku.dk
Received: from mgw1.diku.dk ([127.0.0.1])
 by localhost (mgw1.diku.dk [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id pMz--ijW2sWw for <hlk@kramse.dk>;
 Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
Received: from nhugin.diku.dk (nhugin.diku.dk [130.225.96.140])
 by mgw1.diku.dk (Postfix) with ESMTP id CA81D5F0A34
 for <hlk@kramse.dk>; Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
Received: by nhugin.diku.dk (Postfix, from userid 1558)
 id 0B35F6DFD26; Wed, 26 Sep 2007 12:43:21 +0200 (CEST)
X-Original-To: lund@diku.dk
Delivered-To: lund@diku.dk
Received: from mgw1.diku.dk (mgw1.diku.dk [130.225.96.91])
 by nhugin.diku.dk (Postfix) with ESMTP id D716E6DFD0A
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:43:20 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
 by mgw1.diku.dk (Postfix) with ESMTP id 7203A5F0A34
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:48:24 +0200 (CEST)
X-Virus-Scanned: amavisd-new at diku.dk
Received: from mgw1.diku.dk ([127.0.0.1])
 by localhost (mgw1.diku.dk [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id 4OoVzrn1VM9C for <lund@diku.dk>;
 Wed, 26 Sep 2007 12:48:23 +0200 (CEST)
Received: from sunny.kramse.dk (0x55519562.adsl.cybercity.dk [85.81.149.98])
 by mgw1.diku.dk (Postfix) with ESMTP id C836C5F0A37
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:48:22 +0200 (CEST)
Received: from [127.0.0.1] (localhost [127.0.0.1])
 by sunny.kramse.dk (Postfix) with ESMTP id 76EFF3BCC
 for <lund@diku.dk>; Wed, 26 Sep 2007 12:48:17 +0200 (CEST)
Mime-Version: 1.0 (Apple Message framework v752.2)
Content-Transfer-Encoding: quoted-printable
Message-Id: <FB191042-3A23-4C63-8FB0-AA592F6078AF@security6.net>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
To: lund@diku.dk
From: =?ISO-8859-1?Q?Henrik_Lund_Kramsh=F8j?= <hlk@security6.net>
Date: Wed, 26 Sep 2007 12:48:15 +0200
 X-Mailer: Apple Mail (2.752.2)
X-DSPAM-Result: Innocent
... anti-spam bla bla
 
Subject: Dette er en mail uden kryptering
 
Hej Lund
 
N=E5r vi sender e-mail normalt er det uden kryptering.
 
Mvh
 
Henrik
--
Henrik Lund Kramsh=F8j, Follower of the Great Way of Unix
hlk@security6.net, +45 2026 6000 cand.scient CISSP CEH
http://www.security6.net - IPv6, sikkerhed, netv=E6rk

Det ser jo helt tilforladeligt ud, indholdet af vores e-mail gemmes ikke - kun kuverten. Jeg synes personligt ikke det vedkommer nogen hvem jeg skriver til og derfor synes jeg stadig ikke det er OK.
Men kan indholdet af e-mailen ikke gemmes? Jo, indholdet af e-mailen kan fint gemmes og der findes programmer der kan gøre dette automatisk.

Undgå logning

Nu er logningsbekendtgørelsen jo fyldt med huller, så heldigvis kan jeg undgå en del af logningen ved blot at opsætte min egen e-mail-server, så er det kun hvis den server der modtager posten skal logge at mine informationer ryger i loggen.
NB: Lene Espersen er citeret på Version2 for følgende udtalelse:

»Formålet med reglerne om logning er som bekendt at forebygge og opklare meget alvorlig kriminalitet, og jeg har derfor meget vanskeligt ved at forestille mig, at dataloger og it-uddannede ingeniører generelt skulle have et ønske om at forsøge at omgå reglerne på dette område.«

Fuldstændigt absurd, ved at bruge min egen postserver bliver jeg måske sat under lup - fordi dette jo omgår logningen?!

  • Opsæt din egen mailserver (og opsæt din egen rekursive DNS server hvis du samtidig vil undgå andre danske DNS filtre)
  • Brug biblioteket - de er undtaget
  • Brug en internetcafe
  • Brug en server i en mindre boligforening
  • Brug et åbent trådløst netværk hos en af ovenstående, om lovligheden af dette kan du ikke på forhånd vide om det er med vilje det er åbent eller på grund af en fejl - det kan derfor være svært at erklære dette for værende ulovligt!
  • Brug hotmail eller gmail eller en anden e-mail service udenfor Danmark, husk at bruge den over HTTPS/SSL

Der kan være mange grunde til at man benytter ovenstående, rent praktisk foretrækker jeg at afvikle min egen server fordi jeg sender rapporter og faktura til kunder, og derfor gerne vil se returkoden 250 OK på at de rent faktisk har modtaget den pågældende e-mail. Derudover er jeg konsulent og vil gerne rådgive om instrastruktursikkerhed og flere erfaringer fra mit eget setup hjælper mig.

Beskyt dig selv med kryptering

Istedet for at sende e-mail i klar tekst kan du sende krypteret mail, hvor DU bestemmer hvem der må læse med på indholdet. Det er skræmmende at e-mail i Danmark idag sendes ukrypteret og mange sender via trådløse netværk uden nogen form for beskyttelse.

Du kan starte med præsentationen Beskyt dig selv - lær at kryptere

Hvis du vil lære mere om PGP/GPG kan du så fortsætte med præsentationen PGP tutorial