For at beskytte dit domæne og din online identitet mod svindlere, der forsøger at gå videre som dig, skal du konfigurere DMARC til dine e-maildomæner. DMARC fungerer efter den kumulative e-mail-godkendelsesindsats for SPF- og DKIM-protokoller. Efterfølgende drager DMARC-brugere også fordel af at modtage rapporter om leveringsproblemer, godkendelse og justeringsfejl for deres e-mails. Læs mere om, hvad der er DMARC her.

Hvis din DMARC-samlede rapport siger "SPF-justering mislykkedes", lad os diskutere, hvad det betyder at have din SPF i overensstemmelse, og hvordan du kan løse dette problem.

Hvad er SPF-justering?

En e-mail består af flere forskellige overskrifter. Hvert sidehoved indeholder oplysninger om visse attributter i en mail, herunder den dato, der blev sendt, hvor den blev sendt fra, og hvem den blev sendt til. SPF beskæftiger sig med to typer af e-mail overskrifter:

  • The <From:> header
  • Headeren Retursti

Når domænet i overskriften Fra: og domænet i headeren for returstien svarer til en mail, passerer SPF-justeringen for den pågældende mail. Men når de to ikke er et match, det derfor mislykkes. SPF-justering er et vigtigt kriterium, der afgør, om en e-mail-besked er legitim eller falsk.

Vist ovenfor er et eksempel, hvor Fra: header er i overensstemmelse (nøjagtigt matcher) med Retursti header (Mail From), derfor SPF justering ville passere for denne e-mail.

Hvorfor mislykkes SPF-justeringen?

Sag 1: Din SPF-justeringstilstand er indstillet til streng

Mens standard-SPF-justeringstilstanden er afslappet, kan indstilling af en streng SPF-justeringstilstand føre til justeringsfejl, hvis returstidomænet tilfældigvis er et underdomæne for rodorgandomænet, mens headeren Fra: indeholder organisationsdomænet. Dette skyldes, at hvis SPF kan justere i en streng tilstand, skal domænerne i de to overskrifter være et nøjagtigt match. Men for afslappet tilpasning, hvis de to domæner deler det samme domæne på øverste niveau, vil SPF-justeringen passere.

Vist ovenfor er et eksempel på en e-mail, der deler det samme domæne på øverste niveau, men domænenavnet er ikke et nøjagtigt match ( Mail From-domænet er et underdomæne for det organisationsdomæne, company.com). I dette tilfælde, hvis din SPF-justeringstilstand er indstillet til "afslappet", vil din e-mail passere SPF-justering, men for en streng tilstand vil den mislykkes det samme. 

Sag 2: Dit domæne er blevet forfalsket

En meget almindelig årsag til SPF justering fejl er domæne spoofing. Dette er fænomenet, når en cyberkriminelle overtager din identitet ved at forfalske dit domænenavn eller adresse for at sende e-mails til dine modtagere. Mens Domænet Fra: stadig bærer din identitet, viser headeren retursti den oprindelige identitet af spooferen. Hvis du har SPF-godkendelse på plads for dit forfalskede domæne, mislykkes e-mailen uundgåeligt på modtagerens side.

Rettelsen af "SPF-justering mislykkedes"

Sådan rettes SPF-justeringsfejl: 

  • Indstil justeringstilstanden til "afslappet" i stedet for "streng" 
  • Konfigurer DMARC til dit domæne, på toppen af SPF og DKIM, så selvom din e-mail fejler SPF-headerjustering og passerer DKIM-justering, passerer den DMARC og leveres til din modtager

Vores DMARC-rapportanalysator kan hjælpe dig med at få 100% DMARC-overholdelse på dine udgående e-mails og forhindre spoofingforsøg eller justeringsfejl på grund af protokolfejlkonfigurationer. Få en sikrere og pålidelig godkendelsesoplevelse ved at tage din gratis DMARC-prøveperiode i dag!

DMARC er en standard e-mail-godkendelsesprotokol, der, når den konfigureres oven på eksisterende SPF- og DKIM-poster, hjælper dig med at bekræfte, om den ene eller begge godkendelseskontroller er mislykkedes. Hvorfor er DMARC vigtig? Lad os sige, at nogen sender en e-mail på vegne af din virksomhed, og det mislykkes DMARC, hvilket betyder, at du kan tage en autoritativ handling. Et af de vigtigste mål er at hjælpe virksomheder med at beskytte deres mærker og bevare deres omdømme. DMARC beskytter e-mails i transit og hjælper med at forhindre spoofing og phishing-angreb ved at afvise meddelelser, der ikke opfylder visse standarder. E-mail-servere kan også rapportere meddelelser, de modtager fra andre e-mail-servere, for at hjælpe afsenderen med at løse eventuelle problemer.

Beskyttelse af dine e-mails er vigtigt for at holde dine kunder sikre mod cyberkriminelle, der kan stjæle deres personlige oplysninger. I dette blogindlæg forklarer vi vigtigheden af DMARC, og hvad du kan gøre for at implementere det korrekt for dit domæne.

Hvorfor er DMARC vigtigt, og hvorfor skal du bruge DMARC?

Hvis du stadig er usikker på, om du skal bruge DMARC, lad os tælle ned et par fordele, som det giver:

  • DMARC handler om e-mail-sikkerhed og leveringsevne. Det giver robust godkendelsesrapportering, minimerer phishing og reducerer falske positiver.
  • Øg leverancen, og reducer hoppen
  • Modtage omfattende rapporter om, hvordan meddelelser godkendes
  • DMARC-protokollen hjælper med at identificere spammere og forhindrer falske meddelelser i at nå indbakker
  • DMARC hjælper med at reducere chancerne for, at dine e-mails bliver markeret eller markeret som spam
  • Giver dig bedre synlighed og autoritet over dine domæner og e-mail-kanaler

Hvem kan bruge DMARC?

DMARC understøttes af Microsoft Office 365, Google Workspace og andre populære skybaserede løsninger. Siden 2010 har DMARC været en del af e-mail-godkendelsesprocessen. Dens mål var at gøre det vanskeligere for cyberkriminelle at sende spam e-mails fra en gyldig adresse, bidrage til at bekæmpe epidemien af phishing-angreb. Domæneejere af små virksomheder såvel som virksomheder opfordres af brancheeksperter til at oprette en DMARC-post for at give instruktioner til, hvordan deres e-maildomæne skal beskyttes. Dette hjælper igen med at beskytte deres brand omdømme og identitet. 

Sådan etablerer du dit domænes DMARC-rekord? 

Trin til konfiguration af dit domæne med e-mail-godkendelsesprotokoller er som følger: 

  • Opret en SPF-post, og kontroller den ved hjælp af en SPF-kontrol for at sikre, at posten er funktionel og blottet for mulige syntaktiske fejl
  • Aktiver DKIM-godkendelse for dit domæne
  • Endelig oprette dit domæne med DMARC og aktivere DMARC rapportering ved at konfigurere vores DMARC rapport analysator gratis

DMARC har ikke kun fået betydelig betydning i de senere år, men nogle virksomheder stræber efter at gøre det obligatorisk for deres medarbejdere for at forhindre tab af følsomme data og ressourcer. Derfor er det på tide, at du tager hensyn til dens forskellige fordele og skiftede til en sikrere e-mail-oplevelse med DMARC. 

DMARC-poster er en sammenkogning af forskellige mekanismer eller DMARC-tags, der kommunikerer specifikke instruktioner til e-mail-modtagende servere under mailoverførsel. Hver af disse DMARC-koder indeholder en værdi, der er defineret af domæneejeren. I dag skal vi diskutere, hvad der er DMARC-tags, og hvad hver af dem står for. 

Typer af DMARC-tags

Her er alle de tilgængelige DMARC-tags, som en domæneejer kan angive i deres DMARC-post:

DMARC-tag Type Standardværdi Hvad det betyder
V obligatorisk V-koden repræsenterer DMARC-protokolversionen og har altid værdien v=DMARC1 
pct. valgfri 100 Dette tag repræsenterer den procentdel af e-mails, som politiktilstanden gælder for. Læs mere om DMARC pct tag
P obligatorisk Dette tag adresserer DMARC-politiktilstanden. Du kan vælge mellem afvis, karantæne og ingen. Få mere at vide om, hvad der er DMARC-politik for at få klarhed over, hvilken tilstand du skal vælge til dit domæne.
Sp valgfri Den politiktilstand, der er konfigureret for hoveddomænet(p) Hvis du angiver underdomænepolitikken, er sp-koden konfigureret til at definere en politiktilstand for dine underdomæner. Få mere at vide om DMARC sp-tag for at forstå, hvornår du skal konfigurere det. 
Rua Valgfrit, men anbefalet Rua-tagget er et valgfrit DMARC-tag, der angiver den e-mailadresse eller webserver, hvor rapporteringsorganisationer skal sende deres DMARC aggregerede rua-data

Eksempel: rua=mailto:[email protected];

Ruf Valgfrit, men anbefalet På samme måde angiver RUF-mekanismen den adresse, som DMARC retsmedicinsk RUF rapport skal sendes. I øjeblikket er det ikke alle rapporteringsorganisationer, der sender retsmedicinske data. 

Eksempel: ruf=mailto:[email protected]

fo valgfri 0 Fo-tagget henvender sig til de tilgængelige fejl/ retsmedicinske rapporteringsmuligheder, som domæneejere kan vælge imellem. Hvis du ikke har aktiveret RUF for dit domæne, kan du ignorere dette. 

De tilgængelige muligheder at vælge imellem er: 

0: en DMARC-fejl/retsmedicinsk rapport sendes til dig, hvis din e-mail svigter både SPF- og DKIM-justering

1: en DMARC-fejl/retsmedicinsk rapport sendes til din, når din e-mail mislykkes enten SPF eller DKIM-justering

d: Der sendes en DKIM-fejlrapport, hvis e-mailens DKIM-signatur ikke valideres, uanset justeringen

s: En SPF-fejlrapport sendes, hvis e-mailen mislykkes SPF-evaluering, uanset justeringen.

aspf valgfri Dette DMARC-tag står for SPF-justeringstilstanden. Værdien kan enten være streng eller afslappet(r)
adkim valgfri På samme måde står adkim DMARC-mærket for DKIM-justeringstilstanden, hvis værdi kan være enten streng (r) eller afslappet (r) 
Rf valgfri afrf DMARC rf-mærket angiver de forskellige formater til retsmedicinsk rapportering.
Ri valgfri 86400 Ri-koden adresserer tidsintervallet i sekunder mellem to på hinanden følgende samlede rapporter, som rapporteringsorganisationen sender til domæneejeren.

Hvis du vil oprette en rekord for DMARC med det samme, skal du bruge vores gratis DMARC generatorværktøj. Hvis du har en eksisterende post, skal du kontrollere dens gyldighed ved at udføre et DMARC-opslag.

Tilmeld dig i dag for en gratis DMARC-prøveperiode for at få ekspertrådgivning om, hvordan du beskytter dit domæne mod spoofere.

DMARC pct tag er en del af denne post og fortæller en e-mail-modtager, hvor stor en procentdel af meddelelser under denne politik vil blive påvirket. Hvis du som domæneejer vil angive, hvad du skal gøre med en e-mail, der mislykkes, kan DMARC-poster hjælpe dig med det. Et firma kan udgive en tekstpost i DNS og angive, hvad de vil ske med e-mails, der ikke henter kildejustering, ved at afgøre, om den skal leveres, sætte den i karantæne eller endda afvise den direkte. 

Hvad betyder pct i DMARC?

En TXT-post for enhver e-mail-godkendelsesprotokol indeholder en masse mekanismer eller tags, der angiver instruktioner, der er dedikeret til de e-mail-modtagende servere. I en DMARC-post er pct et akronym for procentdel, der er inkluderet for at adressere den procentdel af e-mails, som DMARC-politikken, der er defineret af domæneejeren, anvendes på.

Hvorfor har du brug for DMARC pct tag?

Pct-tagget er en ofte overset, men ikke desto mindre effektiv måde at konfigurere og teste dit domænes DMARC-politikker på. En DMARC-post med en procentvis kode ser nogenlunde sådan ud: 

v=DMARC1; p=afvise; pct=100; rua=mailto:[email protected];

I DMARC DNS-posten vist ovenfor er procentdelen af e-mails, for hvilken DMARC-afvisningspolitikken er gældende, 100%. 

Den tid, det tager for et domæne at gå fra slet ikke at bruge DMARC til at bruge de mest restriktive indstillinger, er en ramp-up periode. Dette er beregnet til at give domæner tid til at blive fortrolige med deres nye indstillinger. For nogle virksomheder kan det tage et par måneder. Det er muligt for domæner at lave en øjeblikkelig opgradering, men det er usædvanligt på grund af risikoen for højere fejl eller klager. Pct-mærket blev designet som en måde at gradvist håndhæve DMARC-politikker for at skære ned på udrulningsperioden for online-virksomheder. Hensigten er at være i stand til at implementere det til en mindre batch af e-mails først, før du installerer det fuldt ud til hele mail stream som i tilfældet vist nedenfor: 

v=DMARC1; p=afvise; pct=50; rua=mailto:[email protected];

I denne DMARC DNS-post gælder afvisningspolitikken for DMARC kun for 50% af e-mails, mens den anden halvdel af volumen er underlagt en karantænepolitik for DMARC, som er den næst strengeste politik i rækken. 

Hvad sker der, hvis du ikke inkluderer et pct-tag i din DMARC-rekord?

Mens du opretter en DMARC-post ved hjælp af en DMARC-postgenerator, kan du vælge ikke at definere en pct-tag og lade dette kriterium være tomt. I dette tilfælde er standardindstillingen for pct indstillet til 100, hvilket betyder, at din definerede politik gælder for alle dine e-mails. Derfor, hvis du ønsker at definere en politik for alle dine e-mails, en enklere måde at gå om det ville være at forlade pct kriterium tom, som i dette eksempel:

v=DMARC1; p=karantæne; rua=mailto:[email protected];

Advarsel: Hvis du vil have en tvungen politik for DMARC, skal du ikke udgive en post med pct=0

Logikken bag dette er enkel: Hvis du vil definere en afvisnings- eller karantænepolitik i din post, ønsker du i det væsentlige, at politikken skal opkræves på dine udgående e-mails. Hvis du indstiller din pct. til 0, annulleres din indsats, da din politik nu gælder for nul e-mails. Dette er det samme som at have din politiktilstand indstillet til p =ingen. 

Bemærk: For at beskytte dit domæne mod spoofing-angreb og stoppe enhver chance for, at dit domæne udgives af angribere, skal den ideelle politik være DMARC ved p = reject; pct = 100;

Skift sikkert til DMARC-håndhævelse ved at starte din DMARC-rejse med PowerDMARC. Tag en gratis DMARC-prøveperiode i dag!

Attributten "sp" er en forkortelse for underdomænepolitikken og er i øjeblikket ikke en meget anvendt attribut. Det gør det muligt for et domæne at angive, at en anden DMARC-post skal bruges til underdomæner for det angivne DNS-domæne. For at holde tingene enkle anbefaler vi, at 'sp'-attributten udelades fra selve organisationsdomænet. Dette vil føre til en reservestandardpolitik, der forhindrer spoofing på underdomæner. Det er vigtigt at huske, at underdomæneadfærd altid bestemmes af den overordnede organisationspolitik. 

Underdomæner arver det overordnede domænes politik, medmindre det udtrykkeligt tilsidesættes af en politikpost for underdomæne. Attributten 'sp' kan tilsidesætte denne nedarvning. Hvis et underdomæne har en eksplicit DMARC-post, har denne post forrang for DMARC-politikken for det overordnede domæne, selvom underdomænet bruger standardindstillingen p=none. Hvis der f.eks. defineres en DMARC-politik for prioriteten 'alle', vil 'sp'-elementet påvirke DMARC-behandling på underdomæner, der ikke er omfattet af nogen specifik politik.

Hvorfor har du brug for DMARC sp tag?

Hvis du har din DMARC-rekord som: 

v=DMARC1; p=afvise; sp=none; rua=mailto:[email protected];

I dette tilfælde, mens dit roddomæne er beskyttet mod spoofing-angreb, vil dine underdomæner, selvom du ikke bruger dem til at udveksle oplysninger, stadig være sårbare over for efterligningsangreb.

Hvis du har din DMARC-rekord som: 

v=DMARC1; p=ingen; sp=afvis; rua=mailto:[email protected];

I dette tilfælde, mens du ikke forpligter dig til en afvisningspolitik på det roddomæne, du bruger til at sende dine e-mails, er dine inaktive underdomæner stadig beskyttet mod efterligning. 

Hvis domæne- og underdomænepolitikkerne skal være de samme, kan du lade sp-kodekriteriet være tomt eller deaktiveret, mens du opretter en post, og dine underdomæner arver automatisk den politik, der opkræves på hoveddomænet. 

Hvis du bruger vores DMARC-postgeneratorværktøj til at oprette en DMARC-post til dit domæne, skal du manuelt aktivere underdomænepolitikknappen og definere din ønskede politik, som det fremgår nedenfor:

 

Når du har oprettet din DMARC-post, er det vigtigt at kontrollere gyldigheden af din post ved hjælp af vores DMARC-postopslagsværktøj for at sikre, at din post er fejlfri og gyldig.

Start din DMARC-rejse med PowerDMARC for at maksimere dit domænes e-mail-sikkerhed. Tag din gratis DMARC-prøveperiode i dag!

På grund af de trusler, der lurer online, skal virksomheder bevise, at de er legitime ved at anvende stærke godkendelsesmetoder. En almindelig metode er via DomainKeys Identified Mail (DKIM), en e-mail-godkendelsesteknologi, der bruger krypteringsnøgler til at bekræfte afsenderens domæne. DKIM har sammen med SPF og DMARC drastisk forbedret e-mail-sikkerhedsstillingen hos organisationer globalt.

Læs mere om hvad der er DKIM.

Mens du konfigurerer DKIM til dine e-mails, er en af de primære beslutninger, du skal træffe, at bestemme DKIM-nøglelængden. I denne artikel fører vi dig gennem den anbefalede nøglelængde for bedre beskyttelse, og hvordan du opgraderer dine nøgler i Exchange Online Powershell.

Vigtigheden af at opgradere din DKIM-nøglelængde

At vælge 1024 bit eller 2048 bit er en vigtig beslutning, der skal træffes, når du vælger din DKIM-nøgle. I årevis har PKI (public key infrastructure) brugt 1024 bit DKIM-nøgler til deres sikkerhed. Men efterhånden som teknologien bliver mere kompleks, arbejder hackere hårdt på at finde nye metoder til at lamme sikkerheden. På grund af dette er vigtige længder blevet stadig vigtigere.

Som hackere fortsætter med at opfinde bedre måder at bryde DKIM nøgler. Nøglens længde er direkte korreleret med, hvor svært det er at bryde godkendelsen. Brug af en 2048 bit nøgle giver forbedret beskyttelse og forbedret sikkerhed mod nuværende og fremtidige angreb, hvilket understreger vigtigheden af at opgradere din bitness.

Manuel opgradering af dine DKIM-nøgler i Exchange Online Powershell

  • Start med at oprette forbindelse til Microsoft Office 365 PowerShell som administrator (sørg for, at din Powershell-konto er konfigureret til at køre signerede Powershell-scripts)
  • Hvis DKIM er forudkonfigureret, skal du køre følgende kommando på Powershell for at opgradere nøglerne til 2048 bit: 

Rotate-DkimSigningConfig -KeySize 2048 -Identitet {GUID for den eksisterende Signeringskonfiguration}

  • Hvis du ikke tidligere har implementeret DKIM, skal du køre følgende kommando på Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Endelig skal du køre følgende kommando for at kontrollere, at du har konfigureret DKIM med en opgraderet bithed på 2048 bit:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Bemærk: Sørg for, at du har forbindelse til Powershell under hele procedurens afslutning. Det kan tage op til 72 timer, før ændringerne implementeres. 

DKIM er ikke nok til at beskytte dit domæne mod spoofing og BEC. Opgrader dit domænes mailsikkerhed ved at konfigurere DMARC til Office 365.