Hvad er DMARC og hvordan forbedrer det din e-mail-levering

Af Kevin Christensen
Sidst opdateret: 24. januar 2024

Omkring 50 % af al e-mail der sendes i dag er spam i følge Statista.

Det er selvsagt et problem for modtagere af mails (os alle sammen), men det kan faktisk også hurtigt blive et problem for afsendere.
For hvordan sikrer man sig at ens e-mails rent faktisk når frem til modtageren, og ikke ender i spam-folderen?  

Den dårlige nyhed er, at der ikke er en 100 % sikker måde at sikre, at alle mails når frem til modtageren.   

Den gode nyhed er, at du kan komme rigtig langt med relativt simple midler. 

Hvorfor ender mails i spam?

E-mailen har efterhånden mere end 50 år på bagen, og på den tid var der ikke nogen der tænkte på spam, phishing osv. 

E-mailens store styrke er, at alle kan skrive til alle. Det er også dens store svaghed. 

For hvordan afgøres det om en e-mail er spam eller ej?

Det er overraskende kompliceret og alle mail-udbydere har deres egen måde at afgøre det på. 

Når en mail bliver modtaget af en mail-server, skal den træffe et valg: Spam eller ikke spam. Det gør den på baggrund af en række tjeks.

E-mail indhold

  • Bliver der brugt mange "spam-ord" såsom "gratis", "tilbud", "penge", "vind" osv. Pas særligt på i emnelinjen. Kaldes også "spammy content".
  • Er der et fornuftigt forhold mellem tekst og billeder. Undgå et stort billede og meget lidt tekst. 
  • Hvis det er en nyhedsmail er der så afmeldingslink, virksomhedsnavn, adresse, telefonnummer.
  • Bliver der brugt mange specialtegn, såsom # !! 

Historisk tjek

Der fortages en række historiske tjek og tjek af afsender-domæne, fx:

  • Har modtageren tidligere kommunikeret med afsenderen
  • Har andre brugere markeret afsenderen som spammer, afsender af falske e-mails eller rapporteret phishing

Teknisk tjek 

Derudover foretages en række tekniske tjek, fx:

  • Er afsenderen eller ip-adressen black-listet - (der findes mange lister som man kan ende på af den ene eller anden grund)
  • Er der korrekt HTML-kodning
  • Er der vedhæftede filer og i så fald hvilken filtype
  • Virus/malware-scan
  • Korrekt opsat SPF-record (er afsenderen godkendt til at sende fra domænet - se nedenfor)
  • Korrekt opsat DKIM-record (er mailen digitalt signeret - se nedenfor)
  • Korrekt opsat DMARC-record (politik for hvad der skal ske hvis SPF og/eller DKIM fejler - se nedenfor)

Score og placering

Ud fra disse indholds-, historiske og tekniske tjeks får e-mailen en score og bliver placeret i enten inbox, spam-folderen eller helt afvist. 

Det foregår som sagt forskelligt fra mailudbyder til mailudbyder og de vil tillægge de forskellige tjeks forskellig vægt. Fx bliver Microsoft's spam-filter af mange anset som mere restriktivt end Google's ditto. 

Dog er det almindeligt accepteret at SPF/DKIM/DMARC er helt essentielle for at opnå god e-mail deliverability - eller leveringsfaktor på dansk. 

Hvad er SPF?

SPF står for "Sender Policy Framework" og er det første du skal have på plads på dit domæne.

Når du sender en mail er der i virkeligheden to "fra"-felter:

  • Alm. fra-felt - den afsender modtageren ser.
  • "Reply-to" - også kaldet "envelope from" eller "return-path". Hvis modtageren trykker reply, er det denne mail der sendes til. Dette felt kan man ikke umiddelbart se som modtager, men det er i indeholdt i e-mailens header.

Begge disse felter kan kriminelle forfalske, og det er derfor at du måske har fået en mail fra dig selv (som du helt sikkert ikke selv har skrevet).

Det kan også være, at kriminelle sender mails ud i dit navn, uden at du nogensinde opdager det.

SPF tjekker om "reply-to" feltet stemmer overens med de tilladte ip-adresser, der er defineret som godkendt til at sende mails på vegne af domænet.

Når en email server modtager en mail, laver den et SPF-check, og hvis "reply-to" feltet ikke matcher SPF, fejler mailen SPF-checket.

Et fejlet SPF-tjek er dog ikke ensbetydende med, at mailen ikke kan leveres, det er bare én af flere faktorer.

Der er dog et par "problemer" med SPF:

  • SPF hjælper ikke hvis det er den "almindelige" "fra"-adresse der forfalskes.
  • SPF virker ikke hvis en mail forwardes.

Hvad er DKIM?

DKIM står for "DomainKeys Identified Mail" og er næste skridt i processen og nok den mest komplicerede.

DKIM virker ved at bruge kryptografiske nøgler, en privat nøgle og en offentlig nøgle.

DKIM tilføjer en digital signatur, via den private nøgle til alle udgående emails.

En matchende offentlig nøgle offentliggøres i domænets DNS.

Modtagerens server kan ved modtagelse af en signeret email, dekryptere mailen ved hjælp af den offentlige nøgle og verificere afsenderen.

Hvis mailen verificeres ved vi:

  • DKIM-domænet "ejer" e-mailen, ellers ville det ikke være muligt at dekryptere den.
  • Email-headeren er ikke ændret efter afsendelsen.

Problemet med DKIM er, at fordi det er relativt besværligt at implementere, har det ikke den helt store udbredelse.

Det betyder igen, at bare fordi et domæne ikke bruger DKIM betyder det ikke nødvendigvis at en given email er falsk.

Hvad er DMARC?

DMARC står for "Domain-based Message Authentication, Reporting & Conformance" og er en sikkerhedsstandard for email, der bygger ovenpå de to andre standarder, SPF og DKIM.

  • DMARC kan sikre, at en given email kommer fra dén den udgiver sig for at komme fra.
  • DMARC kan rapportere tilbage til domæneejeren, hvem der prøver at sende mails fra hans/hendes domæne.
  • DMARC kan offentliggøre på internettet at kun autentiske emails fra domænet skal accepteres.
DMARC-standarden forklaret

Når du implementerer DMARC, offentliggør du en politik for, hvad der skal ske med dine mails der ikke "består" DKIM eller SPF tjek.

Du kan vælge:

  • none - ingen politik, gør ikke noget
  • quarantine - læg i spam-folderen
  • reject - afvis mailen

Du kan med DMARC samtidig bede den modtagne mail-server om at sende rapporter tilbage, hvor du kan følge med i, om mails bliver leveret og hvis ikke, hvorfor.

Rapporterne bliver sendt pr. mail i et særligt format, som bedst læses i et dertil indrettet værktøj, fx Dmarcian

Illustration af DMARC
Illustration: Center for Cybersikkerhed

Opsætning af SPF, DKIM og DMARC

Jeg vil anbefale af implementere DMARC i flere trin, og over en periode. Start med SPF, derefter DKIM og til sidst DMARC.

Det er lidt kompliceret hvis man ikke har prøvet det før, og evt. fejlsøgning bliver MEGET nemmere hvis du tager ét skridt af gangen.

Opsætning af SPF

SPF er relativt enkelt at implementere hvis du føler dig hjemme i DNS (hvis ikke du ved hvad DNS er eller ikke har arbejdet med det før, vil jeg anbefale professionel hjælp til implementering af SPF/DKIM/DMARC).

I din DNS-opsætning laver du en TXT-record som du finder hos din mail-udbyder.

Hvis du bruger Google Workspace er det fx:

  • v=spf1 include:_spf.google.com ~all

Hvis du bruger Simply.com er det:

  • v=spf1 include:spf.simply.com -all

VIGTIGT: Hvis du bruger flere services til at sende mail på vegne af dit domæne, fx nyhedsbreve, bookingsystemer eller lign. skal de inkluderes i din SPF-record fx:

  • v=spf1 include:servers.mail.net include:_spf.google.com ~all

Opsætning af SPF på Google Workspace

Opsætning af SPF på Office 365

Opsætning af DKIM

Her skal man holde tungen lige i munden og processen er meget afhængig af, hvor man har hostet sin e-mail.

Vi bruger Google Workspace som eksempel.

  1. Log ind på admin.google.com
  2. Gå til Apps > G Suite > Gmail > Authenticate email
  3. Tryk på Generate new record

Du får så en TXT-record du skal skrive i din DNS-opsætning i stil med denne:

G Suite DKIM

Når du har opdateret din DNS-opsætning så vent 48 timer og tryk på Start authentication.

Tjek at alt virker som det skal ved at bruge Google Admin Toolbox

Hvis du IKKE bruger Google Wordspace så kan du bruge mail-tester.com

Igen: Hvis du bruger andre services til at sende mail på vegne af dit domæne, fx nyhedsbreve, bookingsystemer eller lign. skal de have deres egen TXT-record.

Opsætning af DKIM på Google Workspace

Opsætning af DKIM på Office 365

Opsætning af DMARC

Når både SPF og DKIM er implementeret korrekt og har kørt i minimum nogle dage uden problemer, kan du implementere DMARC.

  1. Opret en konto på dmarcian.com (gratis for op til 2 domæner)
  2. Tryk på Add DMARC
Add DMARC

3. Kopier linjen ind i en TXT-record i din DNS-opsætning.

Nu begynder DMARC at samle rapporter, som du kan læse på dmarcian.com, uden at på virke leveringen af mails.

"p=none" gør, at mails der fejler DMARC tjek ikke automatisk sendes til spam eller afvises.

Du kan nu se:

  • Hvilke servere eller tredjeparter der sender mails på dit domæne
  • Hvilken procentdel af mails der består DMARC tjek
  • Hvilke servere eller tredjeparter der sender mails der fejler DMARC

Sørg for at løse alle eventuelle problemer før du går videre til næste skridt, som er at indføre en hårdere politik for mails der fejler DMARC tjek.

Start fx med at sende 5 procent af mails der fejler til spam:

  • v=DMARC1; p=quarantine; pct=5; rua=mailto:eksempel@dmarcian.eu;

Afhængig af hvor komplekst dit setup er, kan du gradvist øge procentsatsen og til sidst afvise alle ikke godkendte mails:

p=reject

Konklusion

DMARC er et fantastisk værktøj til at bekæmpe spam, phishing, malware og meget andet.

Desværre har det ikke den helt store udbredelse på trods af, at det blev lanceret i 2012.

DMARC er ikke den eneste faktor der afgør om dine mails ryger i spam-folderen, men med korrekt implementeret DMARC vil du have meget større sandsynlighed for, at dine mails bliver leveret til modtageren.

Og det er uanset om vi taler nyhedsbreve, email-kvitteringer eller helt almindelige mails fra dit mailprogram.

Hvis du har spørgsmål eller har brug for hjælp til implementering af DMARC er du meget velkommen til at kontakte mig.

Af Kevin Christensen
Ejer og tovholder hos Yardbird, hvor vi laver video, foto og digital kommunikation.

Skal vi holde dig opdateret?

Tilmeld dig vores populære nyhedsbrev om online markedsføring, video og SoMe. 
Nyhedsbrev -> FluentCRM
Ingen spam. Afmeld med et enkelt klik
Persondatapolitik

Relaterede indlæg

Læs også

Du kunne måske også være interesseret i:

Vil du vide mere?

Du er mere end velkommen til at kontakte os for en uforpligtende snak.
Kontakt os nu
crosschevron-down