1002 Flyttes e-mailafsendelse til STAR.Foundation
- Knud de Place (STAR)
https://starwiki.atlassian.net/browse/ISB-113
Indholdsfortegnelse
Målgruppe for dokumentet
Navne på interessenter omfattet af projektet |
Baggrund og forretningsmål
Indklip fra fra Notat om SMTP (der ligger på lukket område)
Baggrund
Den Aug 19, 2021 blev der opdaget et sikkerhedsproblem i Jobnet hvilket betød at en ondsindet person kunne sende en email til en selvbestemt email-adresse med vilkårlig tekst - men med Jobnet som afsender adresse, hvilket vil gøre mailen troværdig for en ikke mistroisk modtager. Dette kunne misbruges til reklamer, phishing mv. Dette kunne endda udføres uden at den ondsindede person er logget ind. Sagen er beskrevet her.
I forlængelse af ovenstående observation blev mailserveren lukket, hvilket betød at ingen af STARs applikationer kunne sende mails til borgerne. Nogle mails gik tabt - andre blev blot gensendt senere. Dette afhænger af det enkelte systems konkrete kode.
Der er efterfølgende blevet identificeret følgende opfølgningspunkter:
Har vi en lignende risiko på sider og services uden login?
Har vi en lignende risiko på sider og services med login?
Kan vi iværksætte tiltag for at selv at opdage lignende situationer i fremtiden?
Hvad er fremtiden for "Tip en ven"?
Hvordan kan vi blive mere parate til at håndtere et tilsvarende issue i fremtiden?
Dette notat adresserer udelukkende punkt 5 og berører kun applikationer som ligger i Star City (SF er dog undtaget).
AS-IS
AS-IS ser arkitekturen ud som vist herunder.
Alle STARs systemer forbinder til samme email-server.
Hver enkelt system har ansvaret for at håndtere hvis kommunikationen med email-serveren fejler.
BI sender ikke emails til borgere
EESSI og systemer uden for star city er ikke medtaget
Det medfører bl.a. følgende udfordringer
Vi har meget “email-kode” som burde blive genbrugt på tværs, men som ikke bliver genbrugt.
Ingen ved hvilke konsekvenser det har at lukke email-serveren ned. Det samme gør sig gældende med f.eks. SMS eller e-boks. Dermed er det dyrt at analysere konsekvenserne af ovenstående sag.
Hvis en email-afsendelse fejler bliver e-mailen ikke gensendt medmindre at systemet eksplicit har kodet dette.
Scenarier (TO-BE):
Herunder er listet de opstillede scenarier
0: Gøre ingenting
Fordele |
|
Ulemper |
|
Risiko ved ændring | Ingen |
Økonomi for ændring | Ingen |
1: Etablere driftsprocedure.
Her er ingen tekniske ændringer. Blot etablering af skriftlige instrukser til driftsleverandøren som kan træde i kraft hvis et lignende incident skulle opstå.
Fordele |
|
Ulemper |
|
Risiko ved ændring | Tæt på ingen |
Økonomi for ændring | Ukendt |
2: En smtp server pr. system
Vi etablerer en udgående email server pr. system. Dvs. DFDG får sin egen, Vitas får sin egen ect. Hermed kan vi lukke for udgående mails meget mere målrettet.
Fordele |
|
Ulemper |
|
Risiko ved ændring | Mellem |
Økonomi for ændring | Ukendt |
3: Etablere centralisering af ekstern kommunikation
Alle systemer sender ikke mails direkte, men leverer en besked til EventBrokeren. Hermed kan komponenten “EmailSender-program“ centralisere udsendelsen, stå for regler, genudsende, måle antal mails mv.
Fordele |
|
Ulemper |
|
Risiko ved ændring | Middel |
Økonomi for ændring | ca. 100 timer (ball-park-figure) |
Indklip fra Mails via EventBroker - løsningsbeskrivelse
Løsningens grænseflader
Løsningens omfang
Anbefalinger/kommentarer vedr. arkitektur.