DMARC-tilpasning: Afslappede vs. strenge justeringstilstande
Ved at aktivere DMARC (Domain-based Message Authentication Reporting and Conformance) indføres en række verifikationstjek for at afgøre, om en e-mail stammer fra den påståede kilde. DMARC tilbyder utrolig fleksibilitet med hensyn til politikker og justeringstilstande, der kan konfigureres af domæneejeren til at forme det sikkerhedsniveau, de ønsker at opnå.
DMARC identifikatorjustering bekræfter, at domænenavnet, der er knyttet til forskellige dele af en e-mailbesked, er korrekt justeret, hvilket indikerer, at e-mailen er legitim og sandsynligvis ikke er en del af phishing- eller spoofing-forsøg.
Hvad er DMARC-justering?
DMARC-tilpasning er processen med at tilpasse (eller matche) domæner under forskellige sektioner af din e-mail-header under godkendelseskontrol. DMARC justerer for din e-mail, hvis meddelelsen passerer enten eller både SPF- og DKIM-identifikationsjusteringer.
For at sikre, at dine e-mails er legitime og beskyttet mod en række e-mail-svindelangreb, der omfatter phishing, spoofing, ransomware og meget mere.
DMARC-godkendelsesprotokollen kontrollerer, om DMARC-identifikatoren er justeret for at fastslå, om et e-mail-domæne potentielt er spoofet. Når din e-mail bliver valideret, kontrollerer DMARC 3 identifikatorer:
- Fra-overskriften
- Retur-sti-adressen
- Domænenavnet i DKIM-signaturen
Hvis identifikatorerne for enten SPF- eller DKIM-godkendelsesidentifikatorer er på linje, opnår e-mailen DMARC-tilpasning og består DMARC-godkendelse og leveres sikkert til brugerens indbakke.
Hvordan fungerer DMARC Alignment?
For at forstå DMARC-tilpasning er vi nødt til at forstå, hvordan det fungerer. Når du implementerer DMARC, binder du resultaterne af SPF og DKIM for at autentificere alle e-mails, der kommer fra dit domæne. For en given e-mail bruger DMARC det, der er kendt som den 'centrale identitet', som er det domæne, der findes i From-headeren. Dette betragtes som oprindelsesdomænet for din e-mail og vil have din organisations domænenavn i det.
Når en e-mail fra dit domæne når frem til den modtagende server, SPF dens Return Path, og DKIM validerer den krypterede signatur. Begge disse kontroller finder sted separat på to forskellige domæner. DMARC tager godkendelsesresultatet af hver og kontrollerer, om det domæne, der bruges i enten SPF eller DKIM, matcher From-domænet (den centrale identitet). Hvis en af delene er sand, er der opnået DMARC-tilpasning.
Men der er bare et lille problem. Alle, også kriminelle, kan købe et domæne og implementere SPF og DKIM. Så teoretisk set burde det være muligt for nogen at sende en e-mail med din organisations domæne i From:-adressen (den centrale identitet) og få deres eget domænes Return Path til at bestå SPF-godkendelse. Brugere ser normalt kun From: -adressen og ikke Return Path, så de vil ikke engang vide, at der er en uoverensstemmelse mellem de to.
Betydningen af SPF og DKIM Identifier Alignment
Din autentifikationsidentifikationstilpasning betyder, om din e-mailafsender er autoriseret til at sende e-mailen på vegne af dit domæne. Dette kan afgøres ved at tjekke e-mailens autenticitet i forhold til SPF (Sender Policy Framework) eller DKIM (DomainKeys Identified Mail). Justerede e-mails passerer i sidste ende afsenderverifikationstjek, som kan bruges som et basiseksempel af modtagende mailservere til at afgrænse ondsindede eller uautoriserede e-mails og filtrere dem ud.
Hos PowerDMARC tager vi det et skridt videre ved at justere dine meddelelser mod både SPF- og DKIM-identifikatorer for at hjælpe dig med at nå 100% DMARC-compliance for dine e-mails, mens du har en p=reject-politik. Dette hjælper dig med at se synlige forbedringer i din e-mails leveringsevne og observere markante forskelle i din spam- og afvisningsprocent på bare et par uger med tilstrækkelig overvågning og hjælp fra vores dedikerede tekniske supportteam.
Hvilke faktorer kan påvirke tilpasningen af SPF- og DKIM-identifikatorer?
- Dine tredjepartsleverandørers e-mailklienter og e-mailtjenesteudbydere kan skabe komplikationer og fejljusteringer.
- Dine videresendte beskeder kan ikke justeres
Hvad er løsningen?
PowerDMARC hjælper dig med at justere alle dine tredjepartsleverandører korrekt og nøjagtigt og nemt ændre og opdatere dine poster på portalen, når du tilføjer flere tjenester og leverandører, for at sikre, at din legitime e-mail har den største sandsynlighed for at nå dine kunder.
PowerDMARC hjælper dig med at konfigurere SPF, DKIM og ARC sammen med DMARC for at tackle de vanskelige videresendelsesscenarier, hvor mellemliggende servere kan foretage ændringer i dine e-mails - hvilket fører til uønskede godkendelsesfejl.
PowerDMARC's intuitive interface hjælper dig med nemt at opgradere din policy record til maksimal håndhævelse, hvilket sikrer, at dit domæne er tilstrækkeligt beskyttet mod e-mail-spoofing og phishing-angreb.
DMARC Tilpasningstyper: Strenge vs. afslappede identifikationstilpasninger
DMARC-identifikationsjustering kan være af to typer baseret på det niveau af alvorlighed og præcision, som du ønsker at udføre dine godkendelseskontroller med. Her er, hvad de er:
1. DMARC afslappet tilpasning
SPF- og DKIM-tilpasning har specifikt 2 slags: afslappet og streng. Hvis afslappet tilpasning er konfigureret til begge, betyder det i det væsentlige, at du har implementeret afslappet tilpasning til din overordnede DMARC-implementering.
For både SPF og DKIM gælder det, at selvom domænet i Mail From-kommandoen og domænerne i Return-path-headeren eller bounce-e-mail-adressen (for SPF) og DKIM-signaturen (for DKIM) i en afslappet alignment-tilstand er et organisatorisk match - så er DMARC alignment et match. Efterfølgende, i dette scenarie, vil selv underdomæner blive justeret mod DMARC.
E-mailen bør bestå DMARC-godkendelse på e-mailmodtagerens side, hvis header-domænet stemmer overens med et af justeringskravene.
Eksempel på afslappet tilpasning af DMARC
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r
Alignment-indstillinger afkodet: DMARC-taggene "aspf" og "adkim" er de respektive alignment-tags til at definere den tilstand, du vælger, og "r" står for relaxed.
2. DMARC streng tilpasning
Hvis domæneejerne aktiverer strict alignment for både SPF og DKIM, betyder det i bund og grund, at du har implementeret en strict mode for din overordnede DMARC-implementering.
For begge protokoller gælder det, at kun hvis domænet i From-headeren og domænerne i Return-path (for SPF) og DKIM-signatur (for DKIM) headerne er et nøjagtigt match - er DMARC alignment check et match. I dette scenarie vil underdomæner derfor ikke blive justeret i forhold til DMARC.
DMARC streng tilpasning med eksempler
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s
Alignment-indstillinger afkodet: DMARC-taggene "aspf" og "adkim" er de respektive alignment mode-tags til at definere den valgte tilstand, og "s" står for alignment-målet, som er strict.
Hvilken DMARC-tilpasningstilstand er bedst?
Valget mellem afslappede og strenge DMARC-justeringstilstande afhænger af din organisations e-mail-godkendelsesprotokolpolitikker, din tolerance for falske positiver og dine overordnede sikkerhedsmål.
Den afslappede tilstand giver mere fleksibilitet og er mindre tilbøjelig til at producere falske positiver. Det kan være nyttigt, når du har flere e-mailsystemer eller -tjenester, der sender e-mails på vegne af dit domæne, og de kan bruge forskellige underdomæner. Men den er også mindre streng og kan lade nogle e-mails med mindre uoverensstemmelser passere, hvilket potentielt giver plads til spoofing eller phishing-forsøg.
Strict-modellen håndhæver en strengere tilpasningspolitik, der sikrer, at det nøjagtige domæne i "From"-headeren matcher de domæner, der er angivet i SPF og DKIM. Selvom dette giver stærkere beskyttelse mod spoofing og phishing, kan det være mindre tilgivende, hvis din e-mailinfrastruktur bruger forskellige underdomæner til legitime formål. Implementering af streng tilpasning kan kræve omhyggelig konfiguration og overvågning for at undgå blokering af legitime e-mails.
Hvordan overvåger man e-mails med streng DMARC-tilpasning?
PowerDMARC hjælper dig med at overvåge dine e-mails, mens du følger en streng DMARC-tilpasningspolitik ved hjælp af vores DMARC-analysator værktøj. Vi hjælper dig med at spore dine e-mail-afsendelseskilder, kontrollere for justeringsfejl og optimere din godkendelseskonfiguration direkte fra vores dashboard.
Kontakt os allerede i dag for at komme i gang!
Hvordan tjekker man DMARC-tilpasning for e-mails?
For at verificere DMARC-tilpasning til dine e-mailbeskeder kan du tilmelde dig PowerDMARC-portalen og følge nedenstående trin:
- Gå til Rapportering i hovedmenuen
- Klik på DMARC Aggregate Reports, og udvid rullelisten.
- Vælg Per resultat fra listen
- Overvåg dine afsendelseskilder pr. resultat for at se DMARC-overholdelse og justeringsdetaljer for hvert enkelt resultat.
Når DMARC-tilpasningen består
DMARC-tilpasning vil bestå for e-mailen, hvis enten DKIM- eller/og SPF-identifikationstilpasning består,
Hvorfor DMARC-tilpasning fejler
DMARC alignment failure opstår, når hverken DKIM- eller SPF-identifikatorer stemmer overens for e-mailen. Det sker typisk, når domænet i Mail From-headeren hverken matcher domænet i return-path-headeren eller domænet i DKIM-signaturheaderen.
Nogle vigtige oplysninger i forbindelse med DMARC-tilpasning
Hvad er et returvejs-domæne?
Et return-path-domæne, også kendt som bounce-adressen eller Envelope From-domænet, er det domæne, der vil modtage dine ikke-leverede eller bouncede beskeder. I situationer, hvor en e-mail bliver sendt tilbage eller ikke bliver leveret, indeholder det skjulte header-felt Envelope From-domænet, som e-mailen returneres til. Selv hvis du som domæneejer anvender tredjepartstjenester til at route dine e-mails, kan e-mailen spores tilbage til det overordnede domæne ved hjælp af bounce-adressen. Dette er en klar afgrænsning mellem beskeder, der sendes af dårlige aktører, og en faktisk afsender, der har gode intentioner.
SPF-domæne SPF-tilpasning under et DMARC-tjek bestemmes af domænet i returadressen.
Hvad er et DKIM-signaturdomæne?
Et DKIM-signaturdomæne er det domænenavn, der bruges under oprettelsen af DKIM-signaturer til dine meddelelser, dvs. signeringsdomænet. Når DKIM-domænejusteringsvalideringen er i gang under et DMARC-tjek, kontrollerer afsenderen, om DKIM-signaturdomænet er i overensstemmelse med From-domænet. DMARC-tilpasning vil passere i en afslappet DKIM-tilstand, hvis organisationsdomænet er et match. I en streng DKIM-tilstand passerer DMARC-tilpasning kun, hvis der er etableret et nøjagtigt domænematch.
Hvordan videresendelse af e-mails påvirker DMARC-tilpasning
Videresendelse af e-mail-servere og e-mail-diskussionslister skaber komplikationer i forbindelse med DMARC-tilpasning ved at omskrive "header from"-adressen til adressen på videresendelsesserveren samt ved at inkludere nye elementer i meddelelsens brødtekst og indhold. Disse forårsager SPF-tilpasning og DKIM-tilpasningsfejl på grund af Mail From-domæneidentiteten, der ikke matcher den omskrevne bounce-adresse og det ændrede meddelelsesindhold.
Hvordan overvåger man fejl i justeringen?
For at overvåge alignment kan du aktivere samlede rapporter og retsmedicinsk rapportering (fejlrapportering), som vil hjælpe dig med at overvåge og nå dine alignment-mål og løse leveringsproblemer hurtigere.
- Hvad er e-mail-godkendelse? Tjek og autentificer dine e-mails - 29. februar 2024
- Hvordan løser man "No SPF record found" i 2024? - 27. februar 2024
- DMARC forklaret: Hvad er det, og hvordan fungerer det? - 25. februar 2024