Slik bruker du MECSA

My Email Communications Security Assessment (MECSA) er et verktøy som er utviklet og driftes av EU-kommisjonens Joint Research Centre (JRC). Kildekoden for denne testen er publisert på nett.

Denne testen gjelder kun e-post. Den skiller seg fra hardenize og internet.nl ved at testverktøyet først sender en e-post til brukeren, og brukeren må svare på denne e-posten for at analysen kan fullføres. Følgende forvaltningsstandarder testes med dette verktøyet:

  • Anbefalt standard for transportsikring av e-post
  • Anbefalte standarder for å motvirke falske avsendere av e-post
  • Anbefalte standarder for sikker bruk av domenenavnsystemet

Testen startes med følgende adresse: https://mecsa.jrc.ec.europa.eu/

Forsiden til testverktøyet MECSA

Man starter testen med å legge inn sin egen e-postadresse i feltet nede til venstre på startsiden og verifiserer med å skrive inn captcha-koden siden for øyeblikket viser. Når man velger «Start analysis» sender verktøyet en e-post til adressen man har lagt inn og venter på at meldingen besvares. Når verktøyet mottar svaret på e-post fullføres analysen og viser en resultatside. Testsvaret får også et referansenummer slik at brukeren kan hente fram det arkiverte svaret på testen ved en senere anledning.

Svarsiden har to deler, et sammendrag og et detaljert svar. For Difi ser sammendrag ut som følger:

Sammendraget av test for e-post med testverktøyet MECSA

Sammendraget gir en karakter for hver av tre egenskaper som gjelder e-postsikkerhet.

Første del av det detaljerte svaret Difi får er som følger:

Detaljert svar av test for e-post med testverktøyet MECSA

Den eneste opplysningen som ikke er relevant for anbefalingene i referansekatalogen er MTA-STS. Rapporten for Difi viser at domenet til e-post server ikke er registrert med DNSSEC og da vil det ikke gjøres noen forsøk på analyse av DANE over SMTP ettersom DANE krever at DNSSEC er på plass.