fbpx
04/11/2020

Hvad er DMARC og hvordan forbedrer det din email-sikkerhed

Omkring 50 % af al email der sendes i dag er spam i følge Statista.

DMARC en internetstandard, der forhindrer falske emails i at nå frem til modtagerne og dermed bekæmper spam og phishing.

DMARC forklaret på 35 sekunder:

DMARC bygger oven på to andre standarder, nemlig SPF og DKIM så lad os starte med at se på dem.

Hvad er SPF?

SPF står for "Sender Policy Framework" og er det første du skal have på plads på dit domæne.

Når du sender en mail er der i virkeligheden to "fra"-felter:

  • Alm. fra-felt - den afsender modtageren ser.
  • "Reply-to" - også kaldet "envelope from" eller "return-path". Hvis modtageren trykker reply, er det denne mail der sendes til. Dette felt kan man ikke umiddelbart se som modtager, men det er i indeholdt i emailens header.

Begge disse felter kan kriminelle forfalske, og det er derfor at du måske har fået en mail fra dig selv, som du helt sikkert ikke selv har skrevet.

Det kan også være, at kriminelle sender mails ud i dit navn, uden at du nogensinden opdager det.

SPF tjekker om "reply-to" feltet stemmer overens med de tilladte ip-adresser, der er defineret som godkendt til at sende mails på vegne af domænet.

Når en email server modtager en mail, laver den et SPF check, og hvis "reply-to" feltet ikke matcher SPF, fejler mailen SPF checket.

Et fejlet SPF tjek er dog ikke ensbetydende med, at mailen ikke kan leveres, det er bare én af flere faktorer.

Der er også et par andre problemer med SPF:

  • SPF hjælper ikke hvis det er den "almindelige" "fra"-adresse der forfalskes.
  • SPF virker ikke hvis en mail forwardes.

Skal vi holde kontakten?

Tilmeld dig vores populære nyhedsbrev om video og digital markedsføring. Ingen spam. Kun e-mails der gør dig klogere.

Afmeld dig når som helst med ét klik.

Hvad er DKIM?

DKIM står for "DomainKeys Identified Mail" og er næste skridt i processen og nok den mest komplicerede.

DKIM virker ved at bruge kryptografiske nøgler, en privat nøgle og en offentlig nøgle.

DKIM tilføjer et digital signatur, via den private nøgle til alle udgående emails.

En matchende offentlig nøgle offentliggøres i domænets DNS.

Modtagerens server kan ved modtagelse af en signeret email, dekryptere mailen ved hjælp af den offentlige nøgle og verificere afsenderen.

Hvis mailen verificeres ved vi:

  • DKIM-domænet "ejer" emailen, ellers ville det ikke være muligt at dekryptere den.
  • Email-headeren er ikke ændret efter afsendelsen.

Problemet med DKIM er, at fordi det er relativt besværligt at implementere, har det ikke den helt store udbredelse.

Det betyder igen, at bare fordi et domæne ikke bruger DKIM betyder det ikke nødvendigvis at en given email er falsk.

Hvad er DMARC?

DMARC står for "Domain-based Message Authentication, Reporting and Conformance" og er en sikkerhedsstandard for email, der bygger ovenpå de to andre standarder, SPF og DKIM.

  • DMARC kan sikre, at en given email kommer fra dén den udgiver sig for at komme fra.
  • DMARC kan rapportere tilbage til domæneejeren, hvem der prøver at sende mails fra hans/hendes domæne.
  • DMARC kan offentliggøre på internettet at kun autentiske emails fra domænet skal accepteres.

Når du implementerer DMARC, offentliggør du en politik for, hvad der skal ske med dine mails der ikke "består" DKIM eller SPF tjek.

Du kan vælge:

  • none - ingen politik, gør ikke noget
  • quarantine - læg i spam-folderen
  • reject - afvis mailen

Du kan med DMARC samtidig bede den modtagne mail-server om at sende rapporter tilbage, hvor du kan følge med i, om mails bliver leveret og hvis ikke, hvorfor.

Rapporterne bliver sendt pr. mail i et særligt format, som bedst læses i et dertil indrettet værktøj.

Illustration af DMARC
Illustration: Center for Cybersikkerhed

Implementering

Jeg vil anbefale af implementere DMARC i flere trin, og over en periode.

Det er lidt kompliceret hvis man ikke har prøvet det før, og evt. fejlsøgning bliver MEGET nemmere hvis du tager ét skridt af gangen.

Implementer SPF

SPF er relativt enkelt at implementere hvis du føler dig hjemme i DNS (hvis ikke du ved hvad DNS er eller ikke har arbejdet med det før, vil jeg anbefale professionel hjælp til implementering af SPF/DKIM/DMARC).

I din DNS-opsætning laver du en TXT-record som du finder hos din mail-udbyder.

Hvis du bruger Google Workspace (G Suite) er det fx:

v=spf1 include:_spf.google.com ~all

Hvis du bruger Simply.com er det:

v=spf1 include:spf.simply.com -all

VIGTIGT: Hvis du bruger andre services til at sende mail på vegne af dit domæne, fx nyhedsbreve, bookingsystemer eller lign. skal de have deres egen TXT-record.

Implementer DKIM

Her skal man holde tungen lige i munden og processen er meget afhængig af, hvor man har hostet sin email.

Vi bruger Google Workspace som eksempel.

  1. Log ind på admin.google.com
  2. Gå til Apps > G Suite > Gmail > Authenticate email
  3. Tryk på Generate new record

Du får så en TXT-record du skal skrive i din DNS-opsætning i stil med denne:

G Suite DKIM

Når du har opdateret din DNS-opsætning så vent 48 timer og tryk på Start authentication.

Tjek at alt virker som det skal ved at bruge Google Admin Toolbox

Hvis du IKKE bruger Google Wordspace så kan du bruge mail-tester.com

Igen: Hvis du bruger andre services til at sende mail på vegne af dit domæne, fx nyhedsbreve, bookingsystemer eller lign. skal de have deres egen TXT-record.

Implementer DMARC

Når både SPF og DKIM er implementeret korrekt og har kørt i minimum nogle dage uden problemer, kan du implementere DMARC.

  1. Opret en konto på dmarcian.com (gratis for op til 2 domæner)
  2. Tryk på Add DMARC
Add DMARC

3. Kopier linjen ind i en TXT-record i din DNS-opsætning.

Nu begynder DMARC at samle rapporter, som du kan læse på dmarcian.com, uden at på virke leveringen af mails.

"p=none" gør, at mails der fejler DMARC tjek ikke automatisk sendes til spam eller afvises.

Du kan nu se:

  • Hvilke servere eller tredjeparter der sender mails på dit domæne
  • Hvilken procentdel af mails der består DMARC tjek
  • Hvilke servere eller tredjeparter der sender mails der fejler DMARC

Sørg for at løse alle eventuelle problemer før du går videre til næste skridt, som er at indføre en hårdere politik for mails der fejler DMARC tjek.

Start fx med at sende 5 procent af mails der fejler til spam:

v=DMARC1; p=quarantine; pct=5; rua=mailto:eksempel@dmarcian.eu;

Afhængig af hvor komplekst dit setup er, kan du gradvist øge procentsatsen og til sidst afvise alle ikke godkendte mails:

p=reject

Konklusion

DMARC er et fantastisk værktøj til at bekæmpe spam, phishing, malware og meget andet.

Desværre har det ikke den helt store udbredelse på trods af, at det blev lanceret i 2012.

DMARC er ikke den eneste faktor der afgør om dine mails ryger i spam-folderen, men med korrekt implementeret DMARC vil du have meget større sandsynlighed for, at dine mails bliver leveret til modtageren.

Og det er uanset om vi taler nyhedsbreve, email-kvitteringer eller helt almindelige mails fra dit mailprogram.

Hvis du har spørgsmål eller har brug for hjælp til implementering af DMARC er du meget velkommen til at kontakte mig.

Skal vi holde kontakten?

Tilmeld dig vores populære nyhedsbrev om video og digital markedsføring. Ingen spam. Kun e-mails der gør dig klogere.

Afmeld dig når som helst med ét klik.

Kevin Christensen er ejer af Yardbird.

Skal vi holde dig opdateret?

Tilmeld dig vores populære nyhedsbrev om online markedsføring, video og SoMe. 
Ingen spam. Afmeld med et enkelt klik
Persondatapolitik

Relaterede indlæg

Vil du vide mere?

Du er mere end velkommen til at kontakte os for en uforpligtende snak.
Kontakt os nu
databaseflaglicensecamera-videocameraphonesmartphonelaptop-phonerocketbullhornmagnifiercross