Hvad er DMARC, SPF og DKIM?
DMARC er en e-mail-standard, der beskytter jeres domæne mod at blive misbrugt som falsk afsender. Sammen med SPF og DKIM udgør DMARC det tekniske forsvar mod mail spoofing, hvor svindlere sender mails, der ser ud til at komme fra jeres virksomhed. Uden de tre standarder kan enhver i princippet sende en mail med jeres domæne i afsenderfeltet, og det udnyttes flittigt i phishing-angreb mod både jeres kunder og jeres egne medarbejdere.
Sådan hænger SPF, DKIM og DMARC sammen
De tre standarder er lag, der bygger oven på hinanden:
- SPF (afsenderlisten): En DNS-record, der oplister de servere, som har lov til at sende mail fra jeres domæne. Modtagerens mailserver tjekker, om den afsendende server står på listen.
- DKIM (signaturen): En digital signatur, som jeres mailserver sætter på hver udgående mail. Modtageren kan med en offentlig nøgle i DNS verificere, at mailen faktisk kommer fra jer og ikke er ændret undervejs.
- DMARC (politikken): Reglen, der binder det hele sammen. Den fortæller modtagende servere, hvad de skal gøre med mails, der fejler SPF- og DKIM-kontrollen: ingenting (none), i karantæne (quarantine) eller afvis (reject). Samtidig sender modtagerne rapporter tilbage, så I kan se, hvem der sender mail i jeres navn.
SPF og DKIM alene er ikke nok, for uden en DMARC-politik er der ingen konsekvens, når kontrollen fejler. Omvendt kræver en skarp DMARC-politik, at SPF og DKIM er sat rigtigt op for alle jeres legitime afsendere, også nyhedsbrevssystemer og faktureringsværktøjer, ellers ryger jeres egne mails i spamfilteret.
Tjek jeres DMARC-record
Jeres DMARC-record ligger som en TXT-record i DNS på adressen _dmarc.jeresdomæne.dk. I kan slå den op i jeres DNS-administration eller fra en terminal med nslookup eller dig. Findes der ingen DMARC-record, har I ingen beskyttelse. Står der p=none, overvåger I kun uden at blokere noget, hvilket er et fint startpunkt, men ikke slutmålet. Målet er p=quarantine og til sidst p=reject, indført gradvist, mens I bruger DMARC-rapporterne til at sikre, at alle legitime afsendere er med.
DMARC og Microsoft 365
Bruger I Microsoft 365 til mail, er fundamentet på plads: Exchange Online understøtter SPF, DKIM og DMARC fuldt ud, og DKIM-signering for jeres eget domæne aktiveres i sikkerhedsindstillingerne. Microsofts vejledninger på learn.microsoft.com beskriver opsætningen trin for trin. Faldgruben er typisk tredjepartssystemer, der sender mail på jeres vegne, og gamle DNS-records, der aldrig er ryddet op. Derfor betaler det sig at gennemgå hele afsenderbilledet, før politikken strammes.
Sådan hjælper MI Support IT
Vi opsætter SPF, DKIM og DMARC korrekt, gennemgår alle jeres afsendersystemer og strammer politikken til reject i et kontrolleret forløb, som en del af en sikker Microsoft 365-opsætning og vores IT-sikkerhedsløsninger. Kontakt os, hvis I vil vide, om jeres domæne kan misbruges i dag.