FS Data

FS Data - webbhotell, domännamn, e-post, servrar

Nya viktiga åtgärder mot formulärspam

fsdata_hemsideformularVi arbetar fortlöpande för att kunna säkerhetställa och leverera en så hög teknisk kvalitet som möjligt på våra tjänster. I enlighet med detta har vi nyligen genomfört en teknisk förändring för att motverka sk. formulärspam.

Formulärspam innebär att formulär på hemsidor missbrukas för utskick av spam/skräppost, utan att innehavaren av hemsidan är medveten om det. Det sker via formulär som inte är ordentligt uppdaterade/säkra och medför att våra e-postservrar blockeras av spamtjänster runt om i världen.

Mängden formulärspam har ökat dramatiskt den senaste tiden. Vi har under en längre tid kontaktat och försökt hjälpa enskilda kunder med sårbara formulär, men det är inte tillräckligt för att lösa detta.

Därför har vi nu genomfört ytterligare begränsningar av e-postutskick på servernivå.

Den nya begränsningen innebär att e-post som skickas från våra e-postservrar måste ha en legitim avsändare (ett aktivt e-postkonto) hos oss. Merparten av våra kunders formulär hanteras redan på detta sätt, men kunder som inte gör det måste se över sina hemsideformulär.

En alternativ lösning är att använda spamsäkra formulär: Spamsäkert formulär i WordPress

Denna förändring infördes hos oss förra veckan och meddelades på vår driftstatus. Detta eftersom våra e-postservrar inte kunde leverera legitima e-postmeddelanden åt våra kunder pga den stora ökningen av formulärspam. Vi beklagar den korta framförhållningen och hoppas på förståelse.

Om ni har några frågor kring detta, lämna gärna en kommentar nedan eller kontakta vår kundtjänst.

Nya SMTP-regler på webbservrar

E-posten hos oss hanteras vanligtvis av våra e-postservrar, men e-post som skickas via t ex ett formulär på en hemsida hanteras istället av en webbserver. Den senaste tiden har vi noterat en rätt markant ökning av mängden skräppost/spam, som skickas via våra webbservrar.

När skräppost skickas ut via en webbserver så beror det till 99 % på att en hemsida på denna server är hackad. När en hemsida hackas så installeras det ofta sk. ”spambots”, som fjärrstyrs av hackare för att skicka ut skräppost.

Vi brukar upptäcka sådana här attacker och hackade hemsidor väldigt snabbt (och kontaktar då innehavaren av hemsidan om detta). Men då våra servrar är väldigt kraftfulla så hinner ändå 100 000-tals e-postmeddelanden skickas iväg innan vi får stopp på det.

Hur undviker man att få sin hemsida hackad? Här är vårt tips: Uppdatera er hemsida eller bli hackade!

När ett sådant här skräppostutskick sker, via en webbserver hos oss, så brukar det leda till att servern ifråga blir blockerad i olika spamlistor på nätet. Det i sin tur leder till merarbete för våra tekniker och svårigheter för kunder på denna webbserver att skicka legitima e-postmeddelanden.

Vi har därför beslutat oss för att uppdatera regelverket för SMTP (den teknik som används för att skicka e-post) på våra webbservrar. De nya SMTP-reglerna gäller för samtliga webbservrar inom vårt webbhotell samt för webbservrar med dedikerad drift.

Tisdag 5/3 (nästa servicefönster hos oss) så kommer vi att stoppa all trafik på port 25 FRÅN våra webbservrar. Det kommer att vara fortsatt möjligt att använda SMTP lokalt på webbserver, dvs att skicka e-post via formulär osv, så vanliga hemsidor berörs inte av de nya SMTP-reglerna.

Våra vanliga SMTP-servrar, som våra kunder använder för att skicka e-post via t ex ett e-postprogram, påverkas givetvis inte heller av detta.

Vi har i förebyggande syfte även loggat alla externa SMTP-anslutningar från våra webbservrar de senaste veckorna och våra tekniker håller på att kontakta de kunder vars hemsidor hos oss berörs av de nya SMTP-reglerna.

Om ni har några frågor om detta, lämna då gärna en kommentar här eller kontakta vår kundtjänst.

Datainspektionen stoppar smarta formulär

DatainspektionenDen stora nyheten i den svenska e-handelsbranschen denna vecka, det är Datainspektionens utlåtande om fackföreningen Unionens webbplats. Unionen har haft en funktion på sin webbplats där man har kunnat ange ett personnummer, för automatisk uppslagning och enkel komplettering av personuppgifter i ett medlemsformulär.

Denna funktion är dock, enligt Datainspektionen, inte tillåten enligt personuppgiftslagen.

Det finns en risk att en funktion som detta används som en adressupplysningstjänst. Då kan vem som helst, med tillgång till ett personnummer, använda funktionen för att få reda på en annan persons adress. Redan 2010 gav Datainspektionen ett identiskt utlåtande om Onoffs e-handelssida.

Detta har dock inte stoppat e-handlare runt om i Sverige från att erbjuda sådana här smarta formulär. Ett smart formulär underlättar nämligen processen att fylla i ett orderformulär, vilket ökar sannolikheten för försäljning.

Det finns 100-tals, om inte 1 000-tals, svenska e-handelssidor med smarta formulär som detta.

Reaktionerna på Datainspektions utlåtande om Unionens webbplats har inte låtit vänta på sig. Diskussioner om detta pågår både hos Ehandel.se och hos Ehandel.org. Frågan är om Datainspektions utlåtande här kommer att bli lika tandlös som lagen om skräppost och cookies på webbplatser.

Ett företag som erbjuder en alternativ lösning för sådana här smarta formulär, det är det svenska betalningsföretaget Klarna. Med deras tjänst Klarna Checkout kan man fylla i ett formulär utifrån en e-postadress och ett postnummer. Det ska bli intressant att se hur den tjänsten utvecklas och om den omfattas av Datainspektionens agerande.

Innan vi lanserade vår nuvarande hemsida så hade vi även planer på att erbjuda ett smart orderformulär. Vi gjorde om hela vårt orderformulär, så att det blev enklare/tydligare, men utelämnade den automatiska uppslagningen av personuppgifter. Till viss del så berodde det på rådande oklarheter i vår lagstiftning.

Har ni ett smart formulär på er hemsida idag? Hur tycker ni att det fungerar och planerar ni att anpassa er efter Datainspektionens utlåtanden? Lämna gärna en kommentar här nedan.

Nya krafttag mot spam: SPF

Våra tekniker arbetar fortlöpande med att utveckla och förbättra vår tekniska miljö. Förutom våra planerade arbeten, som ofta inkluderar nya säkerhets- och funktionsuppgraderingar, så gör vi även fokuserade insatser inom områden där vi ser att extra behov finns.

Ett av de områden som har varit lite mer aktuellt den senaste tiden, det är spam/skräppost. Även om vi har fungerade skydd mot skräppost och virus så har vi sett att dessa behöver förbättras ytterligare. Vi har testat och kört olika nya lösningar för detta och funnit ett flertal väl fungerande alternativ.

Därför inleder vi nu en extra satsning mot spam/skräppost. Först ut, redan denna vecka, är en introduktion av SPF.

SPF står för Sender Policy Framework och är en teknisk lösning där man förhindrar att e-post skickas med förfalskade avsändare. Genom en e-postserver som har SPF-stöd kan enbart den som har kontroll över t ex ”kalle@foretaget.se” skicka e-post från ”kalle@foretaget.se”. Inte alla e-postmiljöer har stöd för SPF, men vi inför nu detta i vår e-postmiljö.

Detta är en uppdatering som sker tidigt i morgon fredag. Det kommer inte orsaka något avbrott i våra e-posttjänster och våra e-postanvändare behöver inte anpassa sina e-postprogram på något sätt. De kunder som redan har SPF i våra system, t ex om de använder externa e-postlösningar, kommer inte heller att påverkas av detta.

Rent konkret så kommer detta enbart att kraftigt minska mängden spam/skräppost hos våra kunder.

Vi kommer att introducera ytterligare förbättringar för att motverka och förhindra skräpposten här framöver. I takt med detta så kommer vi givetvis även att informera våra kunder om dessa saker. Om ni har några frågor om SPF, spam eller vår e-postmiljö, lämna då gärna en kommentar här nedan.

Redovisning av spamattack

Förra veckan drabbades ett större antal kunder hos oss, samt flera andra e-postleverantörer, av en omfattande spamattack. Attacken bestod av e-postmeddelanden med ett erbjudande om extra inkomst, som var adresserade från e-postadresser som hanteras av våra e-postservrar.

Meddelandena skickades dock inte ut av våra e-postservrar, utan från andra e-postservrar, enligt ett beteende som på engelska kallas för email spoofing (e-postförfalskning).

Det här beteendet är extremt svårt att begränsa, då vi som leverantör inte kan stoppa attacken. Det är istället upp till de avsändande e-postservrarna att stoppa och förhindra det hela. Många gånger är ägarna till dessa servrar inte medvetna om det hela, då sådana här attacker oftast uppstår pga säkerhetshål på servrarna

Nu har denna spamattack upphört och e-postmeddelandena som skickades ut innehöll inga farliga bilagor i form av virus, trojaner eller liknande. Våra e-postservrar är likaså uppdaterade och säkrade så att de inte kan missbrukas till sådana här spamattacker.

Vi vill oavsett beklaga det inträffade och vi hoppas att ni har förståelse för denna situation. Om ni drabbades av denna spamattack, så att era e-postadresser falskt användes för utskick, så får ni gärna hänvisa till detta inlägg. Lämna gärna en kommentar eller kontakta vår kundtjänst om ni har ytterligare frågor om detta.