← Tilbake
Modul 5
E-post & Protokoller

Send SMTP-kommandoer, analyser phishing-headere, spoof en e-post, og bygg forsvar mot BEC-angrep.

5 labber Nivå 1–2: Lett Nivå 3: Middels Nivå 4–5: Hard
Fremgang0 / 5 fullført
01 SMTP-dialogen — send en e-post manuelt
LettNivå 1
Nivå 1 — SMTP grunnlag

Bruk SMTP-simulatoren til å sende en e-post manuelt — slik e-postservere kommuniserer med hverandre bak kulissene.

Mål
1
Gå gjennom full dialog: EHLOMAIL FROMRCPT TODATAQUIT
2
Hva betyr svarkodene 220, 250, 354, 221?
3
Prøv VRFY student@example.no — hva skjer?
4
Forklar: hva er konvolutt-avsender vs. header-avsender?
MAIL FROM = konvolutt-avsender (teknisk, brukes for bounce). From: i DATA = det brukeren ser. De kan være helt ulike — det er grunnlaget for e-postspoofing.
Svarkoder: 220=server klar, 250=OK, 354=start innhold, 221=avslutter.

VRFY deaktiveres for å hindre angripere i å kartlegge gyldige e-postadresser.

Spoofing: MAIL FROM:real@attacker.com men From: bank@dnb.no i headeren. Brukeren ser bare headeren.
Lab 1 fullført!
SMTP simulator — port 587
220 mail.cyberlab.no ESMTP Postfix (Ubuntu)
// Start med: EHLO dittdomene.no
CLIENT> 
02 SPF, DKIM og DMARC — hva gjør hva?
LettNivå 2
Nivå 2 — E-postsikkerhet

Til høyre er en interaktiv quiz om de tre viktigste e-postsikkerhetsmekanismene. Test forståelsen og se forklaringen for hvert svar.

Mål
1
Svar på alle spørsmål til høyre
2
Forklar: hva er forskjellen på SPF og DKIM?
3
Hvilken orden bør du implementere dem i, og hvorfor?
SPF sjekker om sending-IP er autorisert for domenet (DNS-oppslag).
DKIM signerer e-posten kryptografisk — bevis at innholdet ikke er endret.
DMARC kombinerer begge og sier hva mottaker skal gjøre ved feil.

Rekkefølge: SPF → DKIM → DMARC(none) → DMARC(quarantine) → DMARC(reject)
Lab 2 fullført!
E-post sikkerhet quiz
Q1: Du mottar en e-post. Hvem sjekker om sending-IP er autorisert?
Q2: Hva beviser en gyldig DKIM-signatur?
Q3: Hvilken DMARC-policy bør du starte med?
03 Analyser phishing-header — e-post fra "DNB"
MiddelsNivå 3
Nivå 3 — Header-analyse

En ansatt har mottatt en e-post som later som å være fra DNB. Klikk på headerlinjene til høyre for å se detaljer — finn alle røde flagg.

Mål
1
Klikk på headerlinjene — les detaljforklaringene
2
Finn alle 5 røde flagg
3
Forklar: hva avslører Return-Path?
4
Hvorfor hjelper ikke hengelåsen (HTTPS) her?
Røde flagg funnet: 0 / 5
Røde flagg:
1. Return-Path peker til mail-promo247.ru — ikke dnb.no
2. Sending-IP 185.220.101.88 er Tor-tilknyttet server
3. SPF FAIL — IP ikke autorisert av dnb.no
4. Ingen DKIM-signatur
5. DMARC FAIL — burde vært avvist automatisk

Hengelåsen betyr kun at forbindelsen er kryptert — ikke at avsenderen er legitim.
Lab 3 fullført!
e-postheader — klikk for detaljer
From: DNB Nettbank <sikkerhet@dnb.no>
Return-Path: <bounce@mail-promo247.ru> 🔍
Received: from mail-promo247.ru (185.220.101.88) 🔍
Authentication-Results: spf=FAIL — 185.220.101.88 not authorized 🔍
DKIM-Signature: NONE — ikke signert 🔍
DMARC: FAIL — policy=reject (burde avvist) 🔍
To: kunde@bedrift.no
Subject: VIKTIG: Bekreft din identitet innen 24 timer ⚠
Date: Mon, 24 Mar 2026 03:14:33 +0300
04 E-postspoofing — send som noen andre
HardNivå 4
Nivå 4 — E-postspoofing

SMTP-simulatoren til høyre er konfigurert slik at du kan sette MAIL FROM til hva som helst. Se hva som skjer — og forstå hvorfor SMTP historisk har hatt null autentisering.

⚠ Simulert — ingen ekte e-poster sendes
Mål
1
Sett MAIL FROM til en kjent bank (dnb.no) men legg inn annen From: i DATA
2
Hvilke av SPF/DKIM/DMARC ville ha oppdaget dette?
3
Forklar: hvorfor er SMTP designet uten autentisering?
4
Hva er Business Email Compromise (BEC)?
SMTP ble designet i 1982 da internett var et nettverk av betrodde universiteter. Autentisering var ikke et krav. SPF/DKIM/DMARC kom 20–30 år senere.
SPF feiler fordi din IP ikke er autorisert for dnb.no.
DKIM feiler fordi du ikke har dnb.no sin private nøkkel.
DMARC håndhever policy basert på begge.

BEC: Angriper spoofer leder-e-post til økonomi: "Overfør 500 000 kr til kontonummer X, haster." Koster globalt milliarder hvert år.
Lab 4 fullført!
SMTP spoofing demo — ingen ekte e-poster
220 demo-smtp.cyberlab.no ESMTP (spoofing demo)
// Prøv: EHLO, MAIL FROM:<bank@dnb.no>, RCPT TO:<offer@bedrift.no>, DATA
CLIENT> 
05 BEC-angrep — forsvar et selskap
HardNivå 5
Nivå 5 — BEC og avansert forsvar

Selskapet har blitt utsatt for tre vellykkede phishing-angrep. Du er sikkerhetskonsulent — analyser hvert angrep og foreslå forsvarstiltak.

Mål
1
Klikk på hvert angrep og analyser hvorfor det lyktes
2
Velg riktig forsvarstiltak for hvert
3
Forklar: hvilke angrep kan SPF/DKIM/DMARC IKKE stoppe?
4
Lag en prioritert liste med 5 tiltak for selskapet
Angrep 1 (spoofing): Stopp med SPF+DKIM+DMARC reject.
Angrep 2 (lookalike): SPF/DKIM hjelper ikke (ekte domene). Krev lookalike-monitoring.
Angrep 3 (kompromittert konto): All autentisering bestått. Stopp med MFA + brukeropplæring.

Top 5: MFA, SPF+DKIM+DMARC, DMARC-rapportering, phishing-simuleringer, lookalike-overvåking.
Lab 5 fullført!
BEC Attack Analyzer
Angrep 1: E-postspoofing
Fra: ceo@selskap.no | SPF: FAIL | DKIM: FAIL | DMARC: ikke konfigurert
→ Ingen SPF/DKIM/DMARC på plass. Angriper spoofet CEO.
Angrep 2: Lookalike-domene
Fra: ceo@se1skap.no | SPF: PASS | DKIM: PASS | DMARC: PASS
→ Ekte domene registrert av angriper. Alle sjekker passerte.
Angrep 3: Kompromittert leverandørkonto
Fra: faktura@legitleverandor.no | SPF: PASS | DKIM: PASS | DMARC: PASS
→ Ekte konto hacket. Alt ser legitimt ut.
← IDS/IPS Tilbake til oversikten →