I denne artikel vil vi undersøge, hvordan du optimerer SPF-rekord let til dit domæne. For virksomheder såvel som små virksomheder, der er i besiddelse af et e-mail-domæne til afsendelse og modtagelse af meddelelser blandt deres kunder, partnere og medarbejdere, er det højst sandsynligt, at der som standard findes en SPF-post, som er oprettet af din indbakketjenesteudbyder. Uanset om du har en eksisterende SPF-post, eller du har brug for at oprette en ny, skal du optimere din SPF-post korrekt til dit domæne for at sikre, at den ikke forårsager problemer med e-mail-levering.

Nogle e-mail-modtagere kræver strengt SPF, hvilket indikerer, at hvis du ikke har en SPF-post offentliggjort for dit domæne, kan dine e-mails blive markeret som spam i din modtagers indbakke. Desuden hjælper SPF med at opdage uautoriserede kilder, der sender e-mails på vegne af dit domæne.

Lad os først forstå, hvad der er SPF, og hvorfor har du brug for det?

SPF (Sender Policy Framework)

SPF er i det væsentlige en standard e-mail-godkendelsesprotokol, der angiver de IP-adresser, der er godkendt til at sende e-mails fra dit domæne. Den fungerer ved at sammenligne afsenderadresser med listen over autoriserede afsendelsesværter og IP-adresser for et bestemt domæne, der er udgivet i DNS for det pågældende domæne.

SPF er sammen med DMARC (Domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse) designet til at registrere forfalskede afsenderadresser under levering af e-mail og forhindre spoofing-angreb, phishing og e-mail-svindel.

Det er vigtigt at vide, at selvom standardSPF, der er integreret i dit domæne af din hostingudbyder, sikrer, at e-mails, der sendes fra dit domæne, godkendes mod SPF, hvis du har flere tredjepartsleverandører til at sende e-mails fra dit domæne, skal denne allerede eksisterende SPF-post skræddersys og ændres, så den passer til dine krav. Hvordan kan du gøre det? Lad os udforske to af de mest almindelige måder:

  • Oprette en helt ny SPF-post
  • Optimere en eksisterende SPF-post

Instruktioner om, hvordan du optimerer SPF Record

Opret en helt ny SPF-post

Oprettelse af en SPF-post udgiver blot en TXT-post i domænets DNS for at konfigurere SPF til dit domæne. Dette er et obligatorisk trin, der kommer, før du starter på, hvordan du optimerer SPF-posten. Hvis du lige er startet ud med godkendelse og usikker på syntaksen, kan du bruge vores gratis online SPF record generator til at oprette en SPF rekord for dit domæne.

En SPF-post med en korrekt syntaks ser nogenlunde sådan ud:

v=spf1 ip4:38.146.237 omfatter:eksempel.com -all

v=spf1Angiver den version af SPF, der bruges
ip4/ip6Denne mekanisme angiver de gyldige IP-adresser, der har tilladelse til at sende e-mails fra dit domæne.
OmfatterDenne mekanisme fortæller de modtagende servere, at de skal medtage værdierne for SPF-posten for det angivne domæne.
-AlleDenne mekanisme specificerer, at e-mails, der ikke er SPF-kompatible, vil blive afvist. Dette er den anbefalede kode, du kan bruge, når du udgiver din SPF-post. Men det kan erstattes med ~ for SPF Soft Fail (ikke-overensstemmende e-mails ville blive markeret som bløde mislykkes, men vil stadig blive accepteret) Eller + som angiver, at enhver og hver server ville få lov til at sende e-mails på vegne af dit domæne, som er stærkt afskrækket.

Hvis du allerede har konfigureret SPF til dit domæne, kan du også bruge vores gratis SPF-postkontrol til at slå din SPF-post op og registrere problemer.

Almindelige udfordringer og fejl under konfiguration af SPF

1) 10 DNS-opslagsgrænse 

Den mest almindelige udfordring, som domæneejere står over for, mens de konfigurerer og vedtager SPF-godkendelsesprotokol for deres domæne, er, at SPF leveres med en grænse for antallet af DNS-opslag, som ikke kan overstige 10. For domæner, der er afhængige af flere tredjepartsleverandører, overstiger grænsen på 10 DNS-opslag let, hvilket igen bryder SPF og returnerer en SPF PermError. Den modtagende server ugyldiggør i sådanne tilfælde automatisk din SPF-post og blokerer den.

Mekanismer, der starter DNS-opslag: MX, A, INCLUDE, REDIRECT-modifikator

2) SPF Void Opslag 

Ugyldige opslag henviser til DNS-opslag, der enten returnerer NOERROR-svar eller NXDOMAIN-svar (ugyldigt svar). Under implementering af SPF anbefales det at sikre, at DNS-opslag ikke returnerer et ugyldigt svar i første omgang.

3) SPF Rekursiv løkke

Denne fejl angiver, at SPF-posten for det angivne domæne indeholder rekursive problemer med en eller flere INCLUDE-mekanismer. Dette sker, når et af de domæner, der er angivet i INCLUDE-koden, indeholder et domæne, hvis SPF-post indeholder INCLUDE-koden for det oprindelige domæne. Dette fører til en uendelig løkke, der får e-mail-servere til løbende at udføre DNS-opslag for SPF-posterne. Dette fører i sidste ende til at overskride grænsen på 10 DNS-opslag, hvilket resulterer i e-mails, der svigter SPF.

4) Syntaksfejl 

Der findes muligvis en SPF-post i domænets DNS, men den er ikke til nogen nytte, hvis den indeholder syntaksfejl. Hvis SPF TXT-posten indeholder unødvendige blanktegn, mens du skriver domænenavnet eller mekanismenavnet, ignoreres strengen før den ekstra plads fuldstændigt af den modtagende server, mens der udføres et opslag, hvorved SPF-posten annulleres.

5) Flere SPF-poster for det samme domæne

Et enkelt domæne kan kun have én SPF TXT-post i DNS. Hvis dit domæne indeholder mere end én SPF-post, gør den modtagende server dem alle ugyldige, hvilket medfører, at e-mails mislykkes spf.

6) Længden af SPF-posten 

Den maksimale længde på en SPF-post i DNS er begrænset til 255 tegn. Denne grænse kan dog overskrides, og en TXT-post for SPF kan indeholde flere strenge, der er sammenkædet, men ikke ud over en grænse på 512 tegn, så de passer til DNS-forespørgselssvaret (i henhold til RFC 4408). Selvom dette senere blev revideret, ville modtagere, der er afhængige af ældre DNS-versioner, ikke være i stand til at validere e-mails, der sendes fra domæner, der indeholder en lang SPF-post.

Optimering af din SPF-post

Hvis du straks vil ændre din SPF-post, kan du bruge følgende bedste fremgangsmåder for SPF:

  • Prøv at skrive dine mailkilder ned i faldende rækkefølge efter vigtighed fra venstre mod højre i din SPF-post
  • Fjerne forældede mailkilder fra din DNS
  • Brug IP4/IP6-mekanismer i stedet for A og MX
  • Hold antallet af INCLUDE-mekanismer så lavt som muligt, og undgå indlejrede
  • Udgiv ikke mere end én SPF-post for det samme domæne i din DNS
  • Sørg for, at SPF-posten ikke indeholder overflødige blanktegn eller syntaksfejl

Bemærk: SPF udfladning anbefales ikke, da det ikke er en engangs-aftale. Hvis din e-mail-udbyder ændrer sin infrastruktur, bliver du nødt til at ændre dine SPF-poster i overensstemmelse hermed, hver eneste gang.

Optimering af din SPF-post på den nemme måde med PowerSPF

Du kan gå videre og prøve at implementere alle de ovennævnte ændringer for at optimere din SPF-rekord manuelt, eller du kan glemme besværet og stole på, at vores dynamiske PowerSPF gør alt det for dig automatisk! PowerSPF hjælper dig med at optimere din SPF-post med et enkelt klik, hvor du kan:

  • Tilføje eller fjerne afsendelseskilder med lethed
  • Opdatere poster nemt uden at skulle foretage ændringer af DNS manuelt
  • Få en optimeret automatisk SPF-post med et enkelt klik på en knap
  • Hold dig altid under grænsen på 10 DNS-opslag
  • PermError er blevet afbødet
  • Glem alt om SPF-postsyntaksfejl og konfigurationsproblemer
  • Vi fjerner byrden ved at løse SPF-begrænsninger på dine vegne

Tilmeld dig med PowerDMARC i dag for at byde farvel til SPF begrænsninger for evigt!  

Den hastighed, hvormed e-mails kommer igennem til modtagernes indbakker, kaldes e-mail-leveringshastigheden. Denne hastighed kan blive bremset eller forsinket eller endda føre til manglende levering, når e-mails ender i spammappen eller bliver blokeret ved at modtage servere. Det er i det væsentlige en vigtig parameter til at måle succesen af dine e-mails nå dine ønskede modtagere 'indbakker uden at blive markeret som spam. E-mail-godkendelse er bestemt en af de muligheder, som nybegyndere derude kan ty til, for at se en betydelig forbedring i e-mail-leveringsevne over tid.

I denne blog er vi her for at tale med dig om, hvordan du nemt kan forbedre din e-mail-leveringshastighed og også diskutere den bedste branchepraksis for at sikre en jævn strøm af meddelelser på tværs af alle dine e-mail-kanaler!

Hvad er e-mail-godkendelse?

E-mail-godkendelse er den teknik, der bruges til at validere din e-mail for ægthed mod alle autoriserede kilder, der har tilladelse til at sende e-mails fra dit domæne. Det hjælper yderligere med at validere domæneejerskabet for enhver Mail Transfer Agent (MTA), der er involveret i overførsel eller ændring af en e-mail.

Hvorfor har du brug for e-mail-godkendelse?

SMTP (Simple Mail Transfer Protocol), som er internetstandarden for e-mail-overførsel, indeholder ingen funktion til at godkende indgående og udgående e-mails, så cyberkriminelle kan udnytte manglen på sikre protokoller i SMTP. Dette kan bruges af trusselsaktører til at begå e-mail phishing-svindel, BEC og domæne spoofing angreb, hvori de kan efterligne dit brand og skade dets omdømme og troværdighed. E-mail-godkendelse forbedrer sikkerheden på dit domæne mod efterligning og svindel, hvilket indikerer over for modtagende servere, at dine e-mails er DMARC-kompatible og stammer fra gyldige og autentiske kilder. Det fungerer også som et checkpoint for uautoriserede og ondsindede IP-adresser, der sender e-mails fra dit domæne.

For at beskytte dit brand image, minimere cybertrusler, BEC og sikre forbedret leveringsgrad, e-mail-godkendelse er et must!

Bedste fremgangsmåder for e-mail-godkendelse

SPF (Sender Policy Framework)

SPF findes i din DNS som en TXT-post og viser alle de gyldige kilder, der har tilladelse til at sende e-mails fra dit domæne. Hver e-mail, der forlader dit domæne, har en IP-adresse, der identificerer din server og den e-mail-tjenesteudbyder, der bruges af dit domæne, og som er registreret i din DNS som en SPF-post. Modtagerens mailserver validerer e-mailen i forhold til din SPF-post for at godkende den og markerer derfor e-mailen, når SPF passerer eller mislykkes.

Bemærk, at SPF har en grænse på 10 DNS-opslag, der overskrider, hvilket kan returnere et PermError-resultat og føre til SPF-fejl. Dette kan afhjælpes ved at bruge PowerSPF til at holde sig under opslagsgrænsen på alle tidspunkter!

Domænenøgler identificeret mail (DKIM)

DKIM er en standard e-mail-godkendelsesprotokol, der tildeler en kryptografisk signatur, der er oprettet ved hjælp af en privat nøgle, for at validere e-mails på den modtagende server, hvori modtageren kan hente den offentlige nøgle fra afsenderens DNS for at godkende meddelelserne. Ligesom SPF findes dkim-nøglen også som en TXT-post i domæneejerens DNS.

Domænebaseret meddelelsesgodkendelse, -rapportering og -overensstemmelse (DMARC)

Det er bare ikke nok blot at implementere SPF og DKIM, da der ikke er nogen måde for domæneejere at kontrollere, hvordan modtagende servere reagerer på e-mails, der ikke består godkendelseskontrol.

DMARC er den mest anvendte e-mail-godkendelsesstandard i den nuværende tid, som er designet til at give domæneejere mulighed for at specificere til at modtage servere, hvordan de skal håndtere meddelelser, der mislykkes SPF eller DKIM eller begge dele. Dette hjælper igen med at beskytte deres domæne mod uautoriserede adgangs- og e-mail-spoofingangreb.

Hvordan kan DMARC forbedre e-mail-leveringsevnen?

  • Når du udgiver en DMARC-post i dit domænes DNS, anmoder domæneejeren modtagerservere, der understøtter DMARC, om at sende feedback på de e-mails, de modtager for det pågældende domæne, og angiver automatisk til modtagende servere, at dit domæne udvider understøttelsen af sikre protokoller og godkendelsesstandarder for e-mails som DMARC, SPF og DKIM.
  • Samlede DMARC-rapporter hjælper dig med at få øget synlighed i dit e-mail-økosystem, så du kan se dine e-mail-godkendelsesresultater, registrere godkendelsesfejl og mindske leveringsproblemer.
  • Ved at håndhæve din DMARC-politik kan du blokere ondsindede e-mails, der udgiver sig for at være dit brand, fra at lande i dine modtageres indbakker.

Yderligere tip til forbedring af e-mail-leveringsmuligheder:

  • Aktiver visuel identifikation af dit brand i dine modtageres indbakker med BIMI
  • Sørg for TLS-kryptering af e-mails i transit med MTA-STS
  • Registrer og besvar problemer med levering af e-mail ved at aktivere omfattende rapporteringsmekanisme med TLS-RPT

PowerDMARC er en enkelt e-mail-godkendelse SaaS-platform, der kombinerer alle bedste fremgangsmåder for e-mail-godkendelse såsom DMARC, SPF, DKIM, BIMI, MTA-STS og TLS-RPT under samme tag. Tilmeld dig i dag med PowerDMARC og vidne til en betydelig forbedring i e-mail-leveringsmuligheder med vores forbedrede e-mail-sikkerhed og godkendelsespakke.

Business Email Compromise eller BEC er en form for e-mail-sikkerhedsbrud eller efterligningsangreb, der påvirker kommercielle, offentlige, non-profit organisationer, små virksomheder og nystartede virksomheder samt MPC'er og virksomheder for at udtrække fortrolige data, der kan påvirke brandet eller organisationen negativt. Spear phishing-angreb, faktura svindel og spoofing angreb er alle eksempler på BEC.

Cyberkriminelle er ekspert schemers, der bevidst målretter mod specifikke mennesker i en organisation, især dem i autoritære positioner som den administrerende direktør eller en lignende eller endda en betroet kunde. Den globale finansielle indvirkning på grund af BEC er enorm, især i USA, der har vist sig som det primære knudepunkt. Læs mere om den globale BEC fidus volumen. Løsningen? Skift til DMARC!

Hvad er DMARC?

Domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse (DMARC) er en branchestandard for e-mail-godkendelse. Denne godkendelsesmekanisme specificerer til at modtage servere, hvordan man reagerer på e-mails, der ikke er SPF- og DKIM-godkendelseskontroller. DMARC kan minimere chancerne for, at dit brand bliver offer FOR BEC-angreb med en betydelig procentdel, og hjælpe med at beskytte dit brands omdømme, fortrolige oplysninger og finansielle aktiver.

Bemærk, at før du udgiver en DMARC-post, skal du implementere SPF og DKIM til dit domæne, da DMARC-godkendelse gør brug af disse to standardgodkendelsesprotokoller til validering af meddelelser, der sendes på vegne af dit domæne.

Du kan bruge vores gratis SPF Record Generator og DKIM Record Generator til at generere poster, der skal offentliggøres i dit domænes DNS.

Hvordan optimerer du din DMARC-post for at beskytte mod BEC?

For at beskytte dit domæne mod business-e-mail-kompromiser samt aktivere en omfattende rapporteringsmekanisme til overvågning af godkendelsesresultater og få fuld synlighed i dit e-mail-økosystem anbefaler vi, at du offentliggør følgende DMARC-postsyntaks i dit domænes DNS:

v=DMARC1; p=afvise; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Om de koder, der bruges under oprettelse af en DMARC-post:

v (obligatorisk)Denne mekanisme angiver versionen af protokollen.
p (obligatorisk)Denne mekanisme angiver den DMARC-politik, der er i brug. Du kan indstille din DMARC-politik til:

p = ingen (DMARC ved overvågning kun, hvori e-mails ikke autentificering kontrol vil stadig lande i modtagernes indbakker). p=karantæne (DMARC ved håndhævelsen, hvor e-mails, der ikke godkendes, vil blive sat i karantæne eller indgivet til spammappen).

p=reject (DMARC ved maksimal håndhævelse, hvor e-mails, der ikke godkendes, vil blive kasseret eller slet ikke leveret).

For nybegyndere til godkendelse anbefales det at starte med din politik ved kun at overvåge (p = ingen) og derefter langsomt skifte til håndhævelse. Men i forbindelse med denne blog, hvis du ønsker at beskytte dit domæne mod BEC, p = afvise er den anbefalede politik for dig at sikre maksimal beskyttelse.

sp (valgfrit)Denne kode angiver den politik for underdomæner, der kan angives til sp=none/quarantine/reject, der anmoder om en politik for alle underdomæner, hvor e-mails mislykkes DMARC-godkendelse.

Denne kode er kun nyttig, hvis du vil angive en anden politik for hoveddomænet og underdomænerne. Hvis det ikke er angivet, vil den samme politik blive opkrævet på alle dine underdomæner som standard.

adkim (valgfrit)Denne mekanisme specificerer dkim-identifikatorjusteringstilstanden, som kan indstilles til s (streng) eller r (afslappet).

Streng justering angiver, at d=-feltet i E-mail-headerens DKIM-signatur skal justeres og svare nøjagtigt til det domæne, der findes i fra-headeren.

For at sikre en afslappet justering skal de to domæner dog kun dele det samme organisationsdomæne.

aspf (valgfrit) Denne mekanisme angiver den SPF-identifikatorjusteringstilstand, der kan indstilles til s (streng) eller r (afslappet).

Streng justering angiver, at domænet i headeren "Retursti" skal justeres og svare nøjagtigt til det domæne, der findes i fra-headeren.

For at sikre en afslappet justering skal de to domæner dog kun dele det samme organisationsdomæne.

rua (valgfrit, men anbefalet)Dette mærke specificerer DMARC samlede rapporter, der sendes til den adresse, der er angivet efter mailto: felt, der giver indsigt i e-mails passerer og ikke DMARC.
ruf (valgfrit, men anbefalet)Denne kode angiver de retsmedicinske DMARC-rapporter, der skal sendes til den adresse, der er angivet efter feltet mailto: . Retsmedicinske rapporter er rapporter på meddelelsesniveau, der indeholder mere detaljerede oplysninger om godkendelsesfejl. Da disse rapporter kan indeholde e-mail-indhold, er kryptering af dem den bedste praksis.
pct (valgfrit)Dette mærke angiver den procentdel af e-mails, som DMARC-politikken gælder for. Standardværdien er angivet til 100.
fo (valgfrit, men anbefalet)De retsmedicinske indstillinger for din DMARC-post kan indstilles til:

->DKIM og SPF ikke passere eller justere (0)

->DKIM eller SPF ikke passere eller justere (1)

->DKIM ikke passere eller justere (d)

->SPF består eller justerer ikke (r)

Den anbefalede tilstand er fo =1, der angiver, at retsmedicinske rapporter skal genereres og sendes til dit domæne, når e-mails mislykkes enten DKIM eller SPF-godkendelseskontrol.

Du kan generere din DMARC-post med PowerDMARC's gratis DMARC Record Generator, hvor du kan vælge felterne i henhold til det håndhævelsesniveau, du ønsker.

Bemærk, at det kun er en håndhævelsespolitik for afvisning, der kan minimere BEC og beskytte dit domæne mod spoofing og phishing-angreb.

Selvom DMARC kan være en effektiv standard for at beskytte din virksomhed mod BEC, kræver implementering af DMARC korrekt indsats og ressourcer. Uanset om du er en godkendelse novice eller en godkendelse aficionado, som pionerer inden for e-mail-godkendelse, PowerDMARC er en enkelt e-mail-godkendelse SaaS platform, der kombinerer alle e-mail-godkendelse bedste praksis såsom DMARC, SPF, DKIM, BIMI, MTA-STS og TLS-RPT, under samme tag for dig. Vi hjælper dig:

  • Skift fra overvågning til håndhævelse på ingen tid for at holde BEC i skak
  • Vores samlede rapporter genereres i form af forenklede diagrammer og tabeller, der hjælper dig med nemt at forstå dem uden at skulle læse komplekse XML-filer
  • Vi krypterer dine retsmedicinske rapporter for at beskytte dine oplysningers privatliv
  • Se dine godkendelsesresultater i 7 forskellige formater (pr. resultat, pr. afsendelseskilde, pr. organisation, pr. vært, detaljeret statistik, geolokaliseringsrapporter pr. land) på vores brugervenlige dashboard for optimal brugeroplevelse
  • Få 100% DMARC-overholdelse ved at tilpasse dine e-mails mod både SPF og DKIM, så e-mails, der ikke opfylder nogen af godkendelseskontrolpunkterne, ikke når frem til dine modtageres indbakker

Hvordan beskytter DMARC mod BEC?

Så snart du indstiller din DMARC-politik til maksimal håndhævelse (p=reject), beskytter DMARC dit brand mod e-mailsvindel ved at reducere risikoen for efterligningsangreb og domænemisbrug. Alle indgående meddelelser valideres mod SPF- og DKIM-e-mail-godkendelseskontroller for at sikre, at de stammer fra gyldige kilder.

SPF findes i din DNS som en TXT-post, der viser alle de gyldige kilder, der har tilladelse til at sende e-mails fra dit domæne. Modtagerens e-mail-server validerer e-mailen i forhold til din SPF-post for at godkende den. DKIM tildeler en kryptografisk signatur, der er oprettet ved hjælp af en privat nøgle, for at validere e-mails på den modtagende server, hvori modtageren kan hente den offentlige nøgle fra afsenderens DNS for at godkende meddelelserne.

Når din politik afvises, leveres e-mails slet ikke til modtagerens postkasse, når godkendelseskontrollen mislykkes, hvilket indikerer, at dit brand udgives. Dette holder i sidste ende BEC som spoofing og phishing-angreb i skak.

PowerDMARC's grundlæggende plan for små virksomheder

Vores grundlæggende plan starter fra kun 8 USD om måneden, så små virksomheder og nystartede forsøger at vedtage sikre protokoller som DMARC kan nemt benytte sig af det. De fordele, du vil have til din rådighed med denne plan er som følger:

  • Spar 20% på din årsplan
  • Op til 2.000.000 DMARC-kompatible e-mails
  • Op til 5 domæner
  • 1 års datahistorik
  • 2 Brugere af platformen
  • Vært BIMI
  • Vært MTA-STS
  • TLS-RPT

Tilmeld dig PowerDMARC i dag, og beskyt dit brands domæne ved at minimere chancerne for business-e-mail-kompromis og e-mail-svindel!

I 1982, da SMTP blev specificeret første gang, indeholdt den ingen mekanisme til sikring på transportniveau for at sikre kommunikationen mellem postoverførselsagenterne. I 1999 blev kommandoen STARTTLS imidlertid føjet til SMTP, som igen understøttede kryptering af e-mails mellem serverne, hvilket giver mulighed for at konvertere en ikke-sikker forbindelse til en sikker forbindelse, der er krypteret ved hjælp af TLS-protokollen.

Kryptering er dog valgfri i SMTP, hvilket indebærer, at e-mails kan sendes selv i almindelig tekst. MTA-STS (Mail Transfer Agent-Strict Transport Security) er en relativt ny standard, der gør det muligt for mailtjenesteudbydere at gennemtvinge TLS (Transport Layer Security) for at sikre SMTP-forbindelser og angive, om de sendende SMTP-servere skal nægte at levere e-mails til MX-værter, der ikke tilbyder TLS med et pålideligt servercertifikat. Det har vist sig at kunne afbøde TLS nedgradere angreb og Man-In-The-Middle (MITM) angreb. SMTP TLS Reporting (TLS-RPT) er en standard, der gør det muligt at rapportere problemer i TLS-forbindelse, der opleves af programmer, der sender e-mails og registrerer fejlkonfigurationer. Det gør det muligt at rapportere problemer med levering af e-mails, der finder sted, når en e-mail ikke er krypteret med TLS. I september 2018 blev standarden første gang dokumenteret i RFC 8460.

Hvorfor kræver dine e-mails kryptering i transit?

Det primære mål er at forbedre sikkerheden på transportniveau under SMTP-kommunikation og sikre privatlivets fred for e-mail-trafik. Desuden forbedrer kryptering af indgående og udgående meddelelser informationssikkerheden ved hjælp af kryptografi for at beskytte elektroniske oplysninger.  Desuden har kryptografiske angreb som Man-In-The-Middle (MITM) og TLS Downgrade vundet popularitet i den seneste tid og er blevet en almindelig praksis blandt cyberkriminelle, som kan omgås ved at håndhæve TLS-kryptering og udvide støtte til sikre protokoller.

Hvordan lanceres et MITM-angreb?

Da kryptering skulle eftermonteres i SMTP-protokollen, skal opgraderingen til krypteret levering baseres på en STARTTLS-kommando, der sendes i klartekst. En MITM-hacker kan nemt udnytte denne funktion ved at udføre et nedgraderingsangreb på SMTP-forbindelsen ved at manipulere med opgraderingskommandoen, hvilket tvinger klienten til at falde tilbage til at sende e-mailen i almindelig tekst.

Efter at have opsnappet kommunikationen kan en MITM-angriber nemt stjæle de dekrypterede oplysninger og få adgang til indholdet af e-mailen. Dette skyldes, at SMTP, der er branchestandarden for mailoverførsel, bruger opportunistisk kryptering, hvilket indebærer, at kryptering er valgfri, og e-mails stadig kan leveres i klartekst.

Hvordan lanceres et TLS-nedgraderingsangreb?

Da kryptering skulle eftermonteres i SMTP-protokollen, skal opgraderingen til krypteret levering baseres på en STARTTLS-kommando, der sendes i klartekst. En MITM-hacker kan udnytte denne funktion ved at udføre et nedgraderingsangreb på SMTP-forbindelsen ved at ændre opgraderingskommandoen. Hackeren kan blot erstatte STARTTLS med en streng, som klienten ikke kan identificere. Derfor falder klienten let tilbage til at sende e-mailen i almindelig tekst.

Kort sagt lanceres et nedgraderingsangreb ofte som en del af et MITM-angreb for at skabe en vej til at muliggøre et angreb, der ikke ville være muligt i tilfælde af en forbindelse, der er krypteret over den nyeste version af TLS-protokollen, ved at erstatte eller slette STARTTLS-kommandoen og rulle kommunikationen tilbage for at rydde tekst.

Ud over at forbedre informationssikkerheden og afbøde omsiggribende overvågningsangreb løser kryptering af meddelelser i transit også flere SMTP-sikkerhedsproblemer.

Opnåelse af tvungen TLS-kryptering af e-mails med MTA-STS

Hvis du undlader at transportere dine e-mails via en sikker forbindelse, kan dine data blive kompromitteret eller endda ændret og manipuleret af en cyberangriber. Her træder MTA-STS ind og løser dette problem, hvilket muliggør sikker transit til dine e-mails samt med succes afbøder kryptografiske angreb og forbedrer informationssikkerheden ved at håndhæve TLS-kryptering. Kort sagt håndhæver MTA-STS de e-mails, der skal overføres over en TLS-krypteret vej, og i tilfælde af at en krypteret forbindelse ikke kan etableres, leveres e-mailen slet ikke i stedet for at blive leveret i klartekst. Desuden gemmer MTA'er MTA-STS-politikfiler, hvilket gør det vanskeligere for angribere at starte et DNS-spoofingangreb.

 

MTA-STS yder beskyttelse mod:

  • Nedgradere angreb
  • Man-In-The-Middle (MITM) angreb
  • Det løser flere SMTP-sikkerhedsproblemer, herunder udløbne TLS-certifikater og manglende understøttelse af sikre protokoller.

Store mailudbydere som Microsoft, Oath og Google understøtter MTA-STS. Google er den største aktør i branchen, når centrum, samtidig med at vedtage en protokol, og vedtagelsen af MTA-STS af Google viser en udvidelse af støtten til sikre protokoller og fremhæver betydningen af e-mail-kryptering i transit.

Fejlfinding af problemer i forbindelse med levering af e-mail med TLS-RPT

SMTP TLS Reporting giver domæneejere diagnostiske rapporter (i JSON-filformat) med detaljerede oplysninger om e-mails, der er sendt til dit domæne og står over for leveringsproblemer, eller som ikke kunne leveres på grund af et nedgraderingsangreb eller andre problemer, så du kan løse problemet proaktivt. Så snart du aktiverer TLS-RPT, begynder samtykkende mailoverførselsagenter at sende diagnosticeringsrapporter om problemer med levering af e-mails mellem kommunikation af servere til det angivne e-mail-domæne. Rapporterne sendes typisk en gang om dagen, der dækker og formidler MTA-STS-politikker observeret af afsendere, trafikstatistik samt oplysninger om fejl eller problemer i e-mail-levering.

Behovet for at implementere TLS-RPT:

  • I tilfælde af at en e-mail ikke sendes til din modtager på grund af problemer med levering, får du besked.
  • TLS-RPT giver øget synlighed på alle dine e-mail-kanaler, så du får bedre indsigt i alt, hvad der foregår i dit domæne, herunder meddelelser, der ikke leveres.
  • TLS-RPT leverer dybdegående diagnostiske rapporter, der giver dig mulighed for at identificere og komme til roden af e-mail-leveringsproblemet og løse det uden forsinkelse.

Vedtagelse MTA-STS og TLS-RPT gjort nemt og hurtigt ved PowerDMARC

MTA-STS kræver en HTTPS-aktiveret webserver med et gyldigt certifikat, DNS-poster og konstant vedligeholdelse. PowerDMARC gør dit liv meget lettere ved at håndtere alt dette for dig, helt i baggrunden - fra at generere certifikater og MTA-STS-politikfil til politikhåndhævelse, hjælper vi dig med at undgå de enorme kompleksiteter, der er involveret i vedtagelsen af protokollen. Når vi hjælper dig med at konfigurere det med blot et par klik, behøver du aldrig engang at tænke over det igen.

Ved hjælp af PowerDMARC's e-mail-godkendelsestjenester kan du implementere Hosted MTA-STS i din organisation uden besvær og i et meget hurtigt tempo, hvorved du kan håndhæve e-mails, der skal sendes til dit domæne via en TLS-krypteret forbindelse, hvilket gør din forbindelse sikker og holder MITM-angreb i skak.

PowerDMARC gør dit liv lettere ved at gøre processen med implementering af SMTP TLS Reporting (TLS-RPT) nem og hurtig lige ved hånden! Så snart du tilmelder dig PowerDMARC og aktiverer SMTP TLS-rapportering for dit domæne, tager vi smerten ved at konvertere de komplicerede JSON-filer, der indeholder dine rapporter om e-mail-leveringsproblemer, til enkle, læsbare dokumenter (pr. resultat og pr. afsendelseskilde), som du nemt kan gå igennem og forstå! PowerDMARC's platform registrerer automatisk og formidler efterfølgende de problemer, du står over for i e-mail-levering, så du hurtigt kan adressere og løse dem på ingen tid!

Tilmeld dig for at få din gratis DMARC i dag!

Hvis du er her for at læse denne blog, chancer er du stødt på en af de tre fælles prompter:

  • Ingen DMARC-post 
  • Der blev ikke fundet nogen DMARC-post 
  • DMARC-post mangler
  • DMARC-posten blev ikke fundet 
  • Der er ikke udgivet nogen DMARC-post 
  • DMARC-politik er ikke aktiveret
  • DMARC-posten blev ikke fundet

Uanset hvad betyder dette kun, at dit domæne ikke er konfigureret med den mest roste og populært anvendte e-mail-godkendelsesstandard- Domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse eller DMARC. Lad os se på, hvad det er:

Hvad er DMARC, og hvorfor har du brug for e-mail-godkendelse til dit domæne?

For at lære om, hvordan du løser problemet "Ingen DMARC-post fundet", lad os lære, hvad DMARC handler om. DMARC er den mest anvendte e-mail-godkendelsesstandard i den aktuelle tid, som er designet til at give domæneejere mulighed for at angive til modtagende servere, hvordan de skal håndtere meddelelser, der ikke opfylder godkendelseskontroller. Dette hjælper igen med at beskytte deres domæne mod uautoriserede adgangs- og e-mail-spoofingangreb. DMARC bruger populære standardgodkendelsesprotokoller til at validere indgående og udgående meddelelser fra dit domæne.

Beskyt din virksomhed mod personefterligningsangreb og spoofing med DMARC

Vidste du, at e-mail er den nemmeste måde cyberkriminelle kan misbruge dit brand navn?

Ved at bruge dit domæne og udgive sig for dit brand kan hackere sende ondsindede phishing-e-mails til dine egne medarbejdere og kunder. Da SMTP ikke eftermonteres med sikre protokoller mod falske "Fra"-felter, kan en hacker forfalske e-mail-headere for at sende falske e-mails fra dit domæne. Dette vil ikke kun kompromittere sikkerheden i din organisation, men det vil alvorligt skade dit brand omdømme.

E-mail-spoofing kan føre til BEC (Business Email Compromise), tab af værdifulde virksomhedsoplysninger, uautoriseret adgang til fortrolige data, økonomisk tab og reflektere dårligt over dit brands image. Selv efter implementering af SPF og DKIM til dit domæne kan du ikke forhindre cyberkriminelle i at udgive sig for at være dit domæne. Derfor har du brug for en e-mail-godkendelsesprotokol som DMARC, der godkender e-mails ved hjælp af både de nævnte protokoller og specificerer til at modtage servere for dine kunder, medarbejdere og partnere, hvordan de skal svare, hvis en e-mail er fra en uautoriseret kilde og ikke godkender godkendelseskontrol. Dette giver dig maksimal beskyttelse mod angreb på eksakte domæner og hjælper dig med at have fuld kontrol over din virksomheds domæne.

Desuden kan du ved hjælp af en effektiv e-mail-godkendelsesstandard som DMARC forbedre din e-mail-leveringshastighed, rækkevidde og tillid.

 


Tilføje den manglende DMARC-post for dit domæne

Det kan være irriterende og forvirrende at støde på prompter, der siger "Hostname returnerede en manglende eller ugyldig DMARC-post", når man kontrollerer for et domænes DMARC-post, mens du bruger onlineværktøjer.

For at løse problemet "Der blev ikke fundet nogen DMARC-post" for dit domæne er alt hvad du skal gøre at tilføje en DMARC-post for dit domæne. Tilføjelse af en DMARC-post udgiver i det væsentlige en tekstpost (TXT) i domænets DNS i underdomænet _dmarc.example.com i overensstemmelse med DMARC-specifikationerne. En DMARC TXT Record i din DNS kan se nogenlunde sådan ud:

v=DMARC1; p=ingen; rua=mailto:[email protected]

Og Voila! Du har løst prompten "Der blev ikke fundet en DMARC-post", da dit domæne nu er konfigureret med DMARC-godkendelse og indeholder en DMARC-post.

Men er det nok? Svaret er nej. Hvis du blot føjer en DMARC TXT-post til din DNS, kan det muligvis løse den manglende DMARC-prompt, men det er simpelthen ikke nok til at afbøde efterligningsangreb og spoofing.

Implementer DMARC på den rigtige måde med PowerDMARC

PowerDMARC hjælper din organisation med at opnå 100 % DMARC Compliance ved at tilpasse godkendelsesstandarderne og hjælpe dig med at skifte fra overvågning til håndhævelse på ingen tid og løse prompten "ingen DMARC-post fundet" på ingen tid! Desuden genererer vores interaktive og brugervenlige dashboard automatisk:

  • Aggregatrapporter (RUA) for alle dine registrerede domæner, som forenkles og konverteres til læsbare tabeller og diagrammer fra komplekst XML-filformat, så du kan forstå dem.
  • Retsmedicinske rapporter (RUF) med kryptering

For at afbøde "ingen DMARC-post fundet", er alt hvad du skal gøre:

  • Generer din gratis DMARC-post med PowerDMARC, og vælg nemt den ønskede DMARC-politik.

DMARC-politikken kan indstilles til:

  • p =none (DMARC er kun indstillet til overvågning, hvor e-mails, der ikke godkendes, stadig leveres til modtagerens indbakker, men du får samlede rapporter, der informerer dig om godkendelsesresultaterne)
  • p=karantæne (DMARC er indstillet på håndhævelsesniveau, hvor e-mails, der ikke godkendes, leveres til spamboksen i stedet for modtagerens indbakke)
  • p=reject (DMARC er indstillet til maksimalt håndhævelsesniveau, hvor e-mails, der ikke godkendes, enten slettes eller slet ikke leveres)

Hvorfor PowerDMARC?

PowerDMARC er en enkelt e-mail-godkendelse SaaS-platform, der kombinerer alle bedste fremgangsmåder for e-mail-godkendelse såsom DMARC, SPF, DKIM, BIMI, MTA-STS og TLS-RPT under samme tag. Vi giver optimal indsigt i dit e-mail-økosystem ved hjælp af vores detaljerede samlede rapporter og hjælper dig med automatisk at opdatere ændringer i dit dashboard, uden at du behøver at opdatere din DNS manuelt.

Vi skræddersyr løsninger til dit domæne og håndterer alt for dig helt i baggrunden, hele vejen fra konfiguration til opsætning til overvågning. Vi hjælper dig med at implementere DMARC korrekt for at hjælpe med at holde efterligningsangreb i skak!

tilmeld dig med PowerDMARC for at konfigurere DMARC til dit domæne korrekt i dag!

Domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse er den mest anerkendte e-mail-godkendelsesprotokol i nyere tid, der kan hjælpe små virksomheder såvel som multinationale virksomheder med at afbøde efterligning, e-mail-spoofing-angreb og BEC. DMARC gør brug af to af de eksisterende standardprotokoller inden for e-mail-godkendelse, nemlig SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail). DMARC-løsninger kan hjælpe med at validere alle indgående og udgående e-mails for ægthed og afbøde e-mail-baserede angreb og sikkerhedsbrud.

Når du vælger den bedste DMARC-softwareløsning til din virksomhed, skal du kigge efter et par grundlæggende funktioner, som løsningen skal indeholde! Lad os diskutere, hvad de er:

Et brugervenligt dashboard

Et brugervenligt dashboard, der giver dig fuld indsigt i dit e-mail-økosystem og effektivt viser rapporter om e-mails, der passerer og svigter DMARC-godkendelse fra dit domæne i et læsbart og forståeligt format, er afgørende. Dette er et af de vigtigste punkter, som du skal holde øje med, når du vælger den bedste DMARC-softwareløsning til din virksomhed.

Detaljeret samlet og retsmedicinsk rapportering

Det er absolut nødvendigt, at din DMARC-løsning har en omfattende rapporteringsmekanisme. Samlede og retsmedicinske rapporter er begge afgørende for at overvåge trusler og konfigurere godkendelsesprotokoller.

Detaljerede DMARC-aggregatrapporter genereres i et XML-filformat. For en ikke-teknisk person kan disse optegnelser virke uforståelige. Den bedste DMARC-softwareløsning til din organisation vil dække disse uforståelige samlede rapporter fra komplekse XML-filer til oplysninger, du nemt kan forstå, der giver dig mulighed for at analysere dine resultater og foretage de nødvendige ændringer

For SMV'er såvel som MNCs giver retsmedicinske rapporter værdifuld indsigt i dit e-mail-økosystem, som genereres, hver gang en e-mail sendt fra dit domæne mislykkes DMARC. De udleverer detaljerede oplysninger om individuelle e-mails, der ikke blev godkendt til at registrere spoofingforsøg og løse problemer i e-mail-levering i et hurtigt tempo.

DMARC Forensic Reports Kryptering

DMARC Retsmedicinske rapporter indeholder data om hver enkelt e-mail, der mislykkedes DMARC. Dette indebærer, at de potentielt kan indeholde fortrolige oplysninger, der var til stede i disse e-mails. Dette er grunden til, at når du vælger den bedste DMARC-softwareløsning til din virksomhed, skal du vælge en tjenesteudbyder, der værdsætter dit privatliv, og giver dig mulighed for at kryptere dine retsmedicinske rapporter, så kun autoriserede brugere har adgang til dem.

SPF- og DKIM-tilpasning

Selvom DMARC-overholdelse kan opnås ved SPF- eller DKIM-tilpasning, er det at foretrække at tilpasse dine e-mails til begge godkendelsesstandarder. Medmindre dine e-mails er justeret og godkendt i forhold til både SPF- og DKIM-godkendelsesprotokoller og kun er afhængige af SPF til validering, er der en chance for, at legitime e-mails stadig kan mislykkes DMARC-godkendelse (som i tilfælde af videresendte meddelelser). Dette skyldes, at IP-adressen på den mellemliggende server muligvis ikke medtages i domænets SPF-post, hvilket mislykkes SPF.

Men medmindre posthuset ændres under videresendelse, opbevares DKIM-signaturen via e-mailen, som kan bruges til at validere dens ægthed. Den bedste DMARC softwareløsning til din virksomhed vil sikre, at alle dine indgående og udgående meddelelser er justeret i forhold til både SPF og DKIM.

Forbliver under grænsen på 10 DNS-opslag

SPF-poster har en grænse på 10 DNS-opslag. Hvis din organisation har en bred base af operationer, eller du er afhængig af tredjepartsleverandører til at sende e-mails på dine vegne, kan din SPF-post let overskride grænsen og ramme permerroren. Dette ugyldiggør din SPF-implementering og får dine e-mails uundgåeligt til at mislykkes SPF. Derfor bør du søge efter en løsning, der hjælper dig med øjeblikkeligt at optimere din SPF-post for altid at holde dig under 10 DNS-opslagsgrænsen for at afbøde SPF-permerror!

Guiden Interaktiv og effektiv installation

Når man vælger den bedste DMARC-softwareløsning til din organisation, må man ikke glemme installationsprocessen. En interaktiv og effektiv setup guide, der er designet med enkelhed og brugervenlighed i tankerne, tager dig gennem processen med at indtaste dit domænenavn til at indstille din DMARC politik til at generere din egen DMARC rekord i en synkroniseret og metodisk måde, er behovet for time! Det hjælper dig med at blive afviklet problemfrit og forstå alle indstillinger og funktionaliteter på dit dashboard inden for den mindst mulige tid.

Planlægning af PDF-rapporter til administrerende direktør

Med en effektiv DMARC-løsning til din organisation kan du konvertere dine DMARC-rapporter til praktiske PDF-letlæselige dokumenter, der kan deles med hele dit team. Afhængigt af dine behov kan du få dem planlagt til at blive sendt til din e-mail regelmæssigt eller blot generere dem efter behov.

 

Vært for BIMI Record

BrandIndikatorer for meddelelsesidentifikation eller BIMI giver dine e-mail-modtagere mulighed for visuelt at identificere dit unikke brandlogo i deres indbakker og være sikker på, at e-mailen kommer fra en autentisk kilde. En effektiv serviceudbyder kan tilslutte dig BIMI-implementering sammen med standardgodkendelsesprotokoller som DMARC, SPF og DKIM, hvilket forbedrer dit brandtilbagekaldelse og opretholder dit brands omdømme og integritet.

Platformsikkerhed og -konfiguration

En effektiv DMARC-løsning vil gøre dit arbejde let ved automatisk at registrere alle dine underdomæner samt levere tofaktorgodkendelse for at muliggøre absolut sikkerhed på din godkendelsesplatform.

Trusselsefterretninger

For øget synlighed og indsigt er det, du har brug for, en AI-drevet Threat Intelligence (TI) motor, der aktivt udrydder mistænkelige IP-adresser og tjekker dem mod en live, opdateret sortliste over kendte misbrugere, så du kan få dem taget ned. Dette vil rustning dig mod ondsindede aktiviteter og gentagne forekomster af domæne misbrug i fremtiden.

Et proaktivt supportteam

Når du implementerer DMARC i din organisation og genererer samlede rapporter, har du brug for et proaktivt supportteam, der er tilgængeligt døgnet rundt for at hjælpe dig med at afhjælpe problemer i konfigurationen, selv efter onboarding, i hele den tid, du benytter dig af deres tjenester.

Værktøjet PowerDMARC Analyzer

Vores DMARC Analyzer Tool er effektivt nok til at føre dig gennem hele implementeringsprocessen og hjælpe dig med at skifte fra overvågning til DMARC-håndhævelse og 100% DMARC-overholdelse på den mindste tid. Vores avancerede DMARC-softwareløsning hjælper dig med at konfigurere dit domæne, DMARC-politik og samlede rapporter og hjælper dig tidligst med at få fuld synlighed i dit e-mail-økosystem. PowerDMARC er din one-stop destination for den ultimative e-mail-sikkerhedspakke, lige fra hostet BIMI-postgenerering til retsmedicinsk rapportering med kryptering.

Når du vælger en DMARC-løsning til din organisation, er det vigtigt at betro sig til en tjenesteudbyder, der tilbyder premium-teknologi til rimelige priser. Tilmeld dig for at få din gratis DMARC retssag i dag med PowerDMARC!