ALTINN

Peter ble forbannet da bounce-meldingen fra Altinn tikket inn

– Dette kan fikses på en time!

Peter Hansteen etterlyser bedre sikkerhetsrutiner hos Altinn.
Peter Hansteen etterlyser bedre sikkerhetsrutiner hos Altinn. Bilde: Privat
24. okt. 2016 - 09:40

Da Peter Hansteen fikk en melding om faktura for restskatt i august i år reagerte han på utformingen: eneste dato i meldingen var forvirrende nok hans egen fødselsdato, ikke forfallsdato for fakturaen.

Dette syntes han var uheldig, og prøvde derfor å kontakte Altinn med bugrapport via deres kontaktskjema på nett.

Takler ikke SPF

Da skjemaet var ferdig utfylt trykket Hansteen på send, og sekunder senere dukket det en bounce-melding opp i innboksen hans: Altinn prøvde nemlig å sende sin interne avviksmelding via Hansteen sin epostserver som har Sender Policy Framework (SPF) aktivert.

– I stedet for å gjøre noe fornuftig fungerer applikasjonen bak kontaktskjemaet på den måten at det tar innmelder sin avsenderadresse og bruker den som avsender til sine bakenforliggende systemer. I praksis utgir webskjemaet seg for å være deg, sier Hansteen som driver bloggen «That grumpy BSD guy». 

Hvorfor gjør de de sånn?

Hansteen sier at SPF er en tjeneste som kom 20 år etter at epostprotokollen ble tatt i bruk.

Ifølge ham har det aldri har vært noen grunn til å se seg tilbake. Hvorfor gjør da Altinn det på denne måten spurte han seg selv, og sendte derfor enda en forespørsel til tilbyderen i mai. 

Svaret fikk han tilbake denne uken. Der kunne han lese at saken var løst, og at det kunne se ut som om han hadde SPF aktivert på sin mailserver.

Svaret gjorde ham forbannet

Ifølge eposten han fikk fra kundebehandleren var dette en kjent svakhet i den statlige tilbyderens systemer. 

– Jeg ble rett og slett overrasket og forbannet av det hele. At de velger å gjøre det på denne måten og attpåtil påstår at det er riktig er tragisk. Alle kan gjøre feil, men dette er noe en kompetent person kan fikse og gjøre rett på under en time. Da er jeg svært generøs, sier han og fortsetter:

– Det er helt tåpelig at man skal straffe de som har satt opp sending for epost på korrekt måte, sier han. 

Kommunikasjonsansvarlig Jørgen Ferkingstad i Altinn sier at flere har rapportert inn feilen, og den vil bli utbedret snart. <i>Foto: Espen Zachariassen</i>
Kommunikasjonsansvarlig Jørgen Ferkingstad i Altinn sier at flere har rapportert inn feilen, og den vil bli utbedret snart. Foto: Espen Zachariassen

Nå etterlyser han bedre rutiner hos Altinn. 

– En kompetent utvikler ville puttet min epostadresse i svar til-feltet, og sendt selve meldingen fra en intern Altinn-adresse, konstaterer han. 

Altinn vil utbedre feilen

Ifølge kommunikasjonsansvarlig Jørgen Ferkingstad i Altinn vil problemet bli rettet opp snart.

Etaten har nemlig mottatt flere henvendelser om måten systemet fungerer på.

– Dette er en feil som vil bli rettet så snart som mulig. Vi beklager hvis innsenderen har fått inntrykk av at vi ikke kommer til å rette feilen.

Ferkingstad er nemlig enig i at dette er en feil i systemet som er enkel å utbedre.

– Peter har helt rett i beskrivelsen av feilen. Dette er en relativt liten endring, men som vil bli rettet i nærmeste framtid. Både små og litt større ting rettes fortløpende, og denne feilen har bare ikke blitt prioritert foreløpig. Det kan ha sammenheng med at vi står midt oppe i prosessen med å bytte ut det bakenforliggende Service Management-systemet, forklarer han. 

SPF forhindrer spam

Ifølge Hansteen er beste praksis for en epostserver å kjøre med SPF aktivert. Dette er blant annet en kontrolltjeneste for å sjekke om avsender har lov til å sende epost fra et gitt domene.

Er man ikke godkjent på serverside, får man heller ikke sendt epost med angitt domene som avsender. 

– Kort og god så legger man informasjon om IP-adressene som får lov til å sende fra domenet i DNSen for å blant annet forhindre at utenforstående kan sende spam via dine servere, argumenterer han. 

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.