Hvis du er ny med e-mailgodkendelse og DMARC-analysatorer der nogle få DMARC-regler, som du skal følge fra i dag, og som kan vise sig at være afgørende for din e-mailgodkendelsesrejse. For at opsummere et par af de mest grundlæggende regler:

1. Brug ikke en politik, der ikke tillader nogen autentificering

4. Opsæt også SPF-poster for dit/dine domæne(r)

5. Opsætning af DKIM-signatur for dit/dine domæne(r)

Lad os nu gå dybere ned i dybden og undersøge disse DMARC-regler sammen med andre regler, så du kan styrke din overordnede autentificeringsinfrastruktur. 

Vi har alle hørt om DMARC, men hvad er det?

DMARC står for Domain-based Message Authentication, Reporting & Conformance. Det er en e-mailsikkerhedsprotokol, der hjælper med at sikre, at din e-mail er godkendt, før den leveres, for at minimere domæneforfalskning. Den blev skabt med det formål at forhindre phishing-angreb og andre e-mail-angreb ved at verificere, at afsenderen af en e-mail er den, de giver sig ud for at være.

Hvordan bruger du DMARC?

Det er ganske enkelt! Først skal du oprette DNS-poster for dit domæne, så det fremgår, at du ønsker at bruge DMARC. Hvis nogen derefter forsøger at sende en e-mail fra dit domæne uden at bruge DMARC, kan de ikke sende den, medmindre de har en offentlig nøgle tilknyttet deres domæne - hvilket kun er muligt, hvis de er autoriserede. Dette sikrer, at kun legitime e-mails når modtagernes indbakker, samtidig med at det giver folk mulighed for at indstille notifikationer for meddelelser, der kommer fra uden for deres netværk.

Processen fungerer på følgende måde: 

• En afsender opretter en DMARC-post for deres domæne med en SPF-post og aktiverer DKIM-signering (valgfrit, men anbefales) i deres DNS-poster.
• Når en e-mail sendes fra det pågældende domæne, indeholder den en header med oplysninger om, hvilke indstillinger der blev brugt, og hvad de blev indstillet til. Denne header kan bruges af modtagere som Gmail til at kontrollere, om meddelelsen er blevet sendt i det forventede format eller ej. 
• Hvis der er et problem med en af disse indstillinger, vil den blive markeret som enten mislykket eller blødt mislykket afhængigt af, om det var forsætligt fra afsenderens side eller ej. Hvis det er tilfældet, kan de vælge at ignorere den helt, indtil de har rettet den pågældende årsag.

En ting vi elsker ved DMARC er, hvor nemt det er at konfigurere - det kan gøres i få trin!

DMARC-regler 101 for virksomheder 

Når du opretter en DMARC-politiker der nogle få regler, du skal følge. Her er en liste over de 5 vigtigste DMARC-regler:

1. Politikken skal være en TXT-post, og den skal offentliggøres på din DNS. Hvis du ikke har en TXT-post i din DNS, har du ikke implementeret protokollen.
2. Politikken skal være p=reject eller p=quarantine, hvis du vil blokere meddelelser, der ikke er autentificeret. 
3. Hvis du bruger flere politikker og opretter forskellige godkendelsesniveauer for hver politik (f.eks. "mit brand" vs. "min organisation"), skal du sørge for, at de alle har unikke SPF-poster og DKIM-signaturer! Ellers bliver de alle slået sammen under én regel, og de vil ikke kunne synkroniseres godt.
4. DMARC kræver også, at du opretter SPF- og/eller DKIM-poster til dit domæne. Denne regel er obligatorisk, selv hvis du ikke vil bruge DMARC, fordi den hjælper med at forhindre spoofing-angreb, hvor en angriber kan bruge en andens e-mailadresse eller domænenavn til at sende phishing-e-mails, der ser legitime ud, men faktisk ikke er fra en autoriseret kilde.
5. En anden vigtig DMARC-regel kræver, at du offentliggør en DMARC-post, der indeholder din e-mail-adresse, så andre organisationer kan rapportere eventuelle problemer relateret til dine e-mails ved hjælp af dette system. Disse er kendt som DMARC-rapporter. 

Yderligere DMARC-regler for øget beskyttelse

1. Overvej at oprette en DMARC-politik for dine parkerede domæner (inaktive domæner), da selv de kan spoofes af angribere til at udgive sig for at være dit brand. 
2. Det frarådes strengt at oprette flere SPF- eller DMARC-poster for det samme domæne. Et enkelt domæne bør kun indeholde én SPF- og DMARC-post. Du kan dog vælge at konfigurere mere end én DKIM-record for det samme domæne for at muliggøre periodisk nøglerotation for at opnå bedre beskyttelse.  
3. Du kan springe over at oprette en politik for dine underdomæner, medmindre du ønsker at implementere en anden håndhævelsesmetode for dem. Dette skyldes, at DMARC-politikker for dit hoveddomæne automatisk arves af underdomæner. 
4. Hvis du vil modtage DMARC-rapporter uden for dit domæne (på en ekstern e-mail-adresse, der ikke hører til dit eget domæne), skal du aktivere ekstern domæneverifikation for at fortælle serverne, at det eksterne domæne accepterer at modtage disse rapporter. 
5. Endelig er det vigtigt at bemærke, at DMARC ikke er nogen mirakelkur og ikke beskytter dig mod alle angreb. Du skal have et pålideligt antivirusprogram og en pålidelig firewall på plads sammen med DMARC for at øge din sikkerhed. 

På hvilket tidspunkt i din autentificeringsproces skal du implementere disse DMARC-regler?

Hvis du lige er begyndt, behøver du ikke at overholde alle de ovennævnte DMARC-regler i begyndelsen af din godkendelsesproces. En p=reject-politik til at starte med kan f.eks. give komplikationer med hensyn til leveringsmuligheder. Det anbefales i stedet, at du starter med en ingen-politik for at overvåge dine e-mail-kanaler, før du forpligter dig til at håndhæve den.

Det er her, at det kan blive lidt kompliceret. Det er afgørende, at du finder en takt, der passer bedst til dig og din virksomhed. Start langsomt med at implementere afslappede politikker for dine protokoller, så du kan have fuld kontrol over dem, indtil du er klar til at vælge håndhævelse.

• Om
• Seneste indlæg

Ahona Rudra

Manager for digital markedsføring og indholdsskribent hos PowerDMARC

Ahona arbejder som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en passioneret forfatter, blogger og marketingspecialist inden for cybersikkerhed og informationsteknologi.

Nyeste indlæg af Ahona Rudra (se alle)

• Websikkerhed 101 - bedste praksis og løsninger - 29. november 2023
• Hvad er e-mail-kryptering, og hvad er dens forskellige typer? - 29. november 2023
• Hvad er MTA-STS? Opsæt den rigtige MTA STS-politik - 25. november 2023