DNS-asetuksesi heikkoudet – unohdettu hyökkäyspinta

DNS-tietueesi ovat kuin talonsi ulko-ovi, jonka avaimen kopioita on annettu tuhansille ohikulkijoille. Yrityksesi sähköpostit, aliverkkotunnuksesi ja API-päätepisteet nojaavat kaikki DNS:ään. Jos asetukset ovat hatarat, hyökkääjät eivät tarvitse palomuurisi murtamista. Riittää, kun he huijaavat internetin ohjaamaan liikennettä omille palvelimilleen.

Ongelma on yksinkertainen: harva firma on koskaan tarkistanut omia DNS-asetuksiaan kunnolla. Ne pistetään pystyyn alkuvaiheessa, lisätään ehkä SPF-tietue, ja sitten unohdetaan vuosiksi.

Mitä kunnollinen DNS-tarkastus kattaa?

Perustarkastus ei riitä – se vain varmistaa, että domain-resoluutio toimii. Tässä on ydinasioita:

Sähköpostin tunnistetiedot (SPF, DKIM, DMARC)

Väärät sähköpostit ovat phishingin ykköstyökalu. SPF määrittelee, mitkä palvelimet saavat lähettää viestejä puolestasi. DKIM allekirjoittaa viestit digitaalisesti. DMARC yhdistää nämä ja ohjeistaa vastaanottajia hylkäämään epäonnistuneet viestit.

Monilla SPF on liian löyhä: se käytännössä sallii kenelle tahansa viestien lähettämisen. Se on pahempaa kuin tyhjä tietue.

DNSSEC-suojaus

DNSSEC tuo kryptografisen kerroksen DNS:ään ja estää välistövetojen, joissa hyökkääjä syöttää vääriä vastauksia. Ilman sitä hyökkääjä samassa verkossa voi ohjata asiakkaasi feikkisivulle.

Käyttö on surkeaa. Useimmat eivät tunnekaan DNSSEC:ää.

Aliverkkotunnusten listaaminen ja roikkuvat domainit

Aliverkkotunnuksia on enemmän kuin luulet: api.firmasi.fi, staging.firmasi.fi, vanha-varmuuskopio.firmasi.fi. Jokainen on riski. Jos aliverkkotunnus osoittaa poistettuun pilvipalveluun, hyökkääjä voi ottaa sen haltuun.

CAA-tietueet

CAA-rajoittaa, mitkä Certificate Authorityt saavat myöntää SSL-sertifikaatteja domainillesi. Ilman niitä kuka tahansa CA voi tehdä sertifikaatin, ja selain hyväksyy sen.

Miksi tämä vaikuttaa lompakkoosi?

DNS-tarkastus ei ole pelkkää byrokratiaa. Se osuu suoraan bisnekseen:

• Toimitusvarmuus: Huonot sähköpostiasetukset heittävät viestisi roskapostiin ja tappavat liidit.
• Brändinsuoja: Phishing väärennetyllä domainillasi tuhoaa maineesi.
• Säädökset: GDPR, HIPAA ja SOC 2 vaativat DNS-kontrollit.
• Asiakasluottamus: Vahva suojaus on myyntivaltti.

DMARCbis – DMARC:n päivitys

DMARC tuli kuvioihin 2015, mutta DMARCbis eli versio 2.0 korjaa puutteita, kuten aliverkkotunnusten käsittelyä ja löyhempiä tiloja.

Seuraa kehitystä, jos hallitset jo DMARC:ää. Edelläkävijät erottuvat massasta.

Toimintasuunnitelma

Aloita helpolla. Tänä kuukautena:

1. Tarkista DNS-tietueesi – katso, mitä siellä oikeasti on.
2. Varmista SPF, DKIM ja DMARC. Aseta DMARC ensin monitorointiin (p=none), sitten tiukennuta.
3. Lisää CAA-tietueet ja nimeä luotettavat CA:t.
4. Listaa aliverkkotunnuksesi ja varmista jokainen.
5. Ota DNSSEC harkintaan, jos käsittelet arkaluontoista dataa.

Hyvä puoli? DNS-parannukset onnistuvat pala kerrallaan. Ei tarvi sammutella systeemejä tai kysyä lupia.

Mitä laiminlyönti maksaa?

DNS-suojauksen unohtaminen ei ole rohkeutta – se on lahjoitus hyökkääjille. Startupeille phishing on katastrofi, vakiintuneille säädösriski.

Ironista: täysi tarkastus kestää vähemmän kuin palaveri, jossa pohditaan sen tekemistä.

Älä odota. Tarkasta DNS, paikkaa reiät ja nuku rauhallisemmin.

Haluatko syventyä domainisi turvaan? NameOceanin työkalut auttavat DNS-tarkastuksissa, SSL-hallinnassa ja sähköpostitunnisteissa – koko portfoliolle, tekoälyvinkkeineen kohti parhaita käytäntöjä.