DMARC uden DKIM

Svaret er ja, du kan konfigurere DMARC uden DKIM.

Men er det en god idé at gøre det?

I denne artikel undersøges dette spørgsmål. Og diskuterer konsekvenserne af at konfigurere DMARC uden DKIM.

Forståelse af DMARC-autentifikationsstandarder

DMARC er en protokol, der giver dig mulighed for at autentificere e-mails fra dit domæne. Den bruger et sæt regler til at afgøre, om en e-mail er legitim eller ej.

SPF og DKIM er to andre protokoller, der bruges til autentificering i forbindelse med DMARC.

SPF er en forkortelse for Sender Policy Framework - det angiver, hvordan mailudbydere kan verificere afsendernes identitet og blokere spam-meddelelser.

DKIM er en forkortelse for DomainKeys Identified Mail-Det fungerer ved at kryptere meddelelsen på det tidspunkt, hvor den sendes, og derefter bruge kryptografi med offentlige nøgler til at signere den igen, når den når destinationsserveren.

DMARC, SPF og DKIM - udgør tilsammen tre søjler i e-mail-godkendelse. De sikrer, at dine e-mails ikke forfalskes, manipuleres eller hackes af tredjeparter.

Algoritme til vurdering af DMARC 

DMARC-vurderingsalgoritmen er en boolsk værdi, der tager højde for godkendelsesresultaterne fra SPF og DKIM. Herefter afgør den, om en e-mail skal accepteres som legitim eller ej.

Resultatet afhænger af to mulige udfald:

1. Bestået: E-mailen passerer enten både SPF- og DKIM-godkendelse ELLER kun en af disse. Så den anses for at være ren. Og accepteres derfor af den modtagende server.

For at sætte algoritmen for "pass"-godkendelse ind i enkle ligninger:

DMARC-godkendelsespassage = SPF-post med en gyldig SPF-identifikatorjustering + DKIM-post med en gyldig DKIM-identifikatorjustering

ELLER (hvis DKIM mangler)

DMARC-godkendelsespass = SPF-record med en gyldig SPF-identifikatorjustering

ELLER (når SPF mangler)

DMARC-godkendelsespass = DKIM-record med en gyldig DKIM-identifikatortilpasning

2. Fail: Meddelelsen har ikke bestået både SPF- og DKIM-godkendelseskontrollen, hvilket indikerer, at den enten er misdannet eller indeholder skadeligt indhold.

Kan jeg opsætte DMARC uden DKIM?

DMARC godkendes i de tre følgende scenarier:

  1. både gyldig SPF og DKIM er der
  2. gyldig SPF uden DKIM er der
  3. gyldig DKIM uden SPF er der

Så ja, du kan oprette DMARC uden DKIM.

DMARC er bygget på SPF og DKIM med henblik på autentificering, men de er ortogonale teknologier.

Generelt set er SPF en "stiautoriseringsmekanisme", hvilket betyder, at den tillader en IP at sende meddelelser på vegne af et givet domæne. DKIM er på den anden side en "indholdsintegritetsmekanisme", hvilket betyder, at den sikrer, at det, du sender, ikke ændres, når det når serveren.

Det betyder, at de ikke er afhængige af hinanden for at være effektive; de kan anvendes parallelt eller endda uafhængigt af hinanden.

Det anbefales dog, at du bruger både SPF og DKIM sammen med DMARC, da de arbejder sammen for at give mere robuste DMARC-godkendelsesfunktioner. DMARC uden DKIM er ganske vist muligt, men anbefales ikke. 

Hvordan behandler e-mail-klienter e-mails uden DKIM?

De fleste e-mail-klienter behandler e-mails, der ikke har DKIM, som spam.

I nogle tilfælde kan dette resultere i, at beskeden bliver markeret af modtagerens e-mail-server og markeret som spam.

Nogle e-mail-udbydere kan også vise dine meddelelser til modtagerne som værende fra et andet domæne end det, du havde tænkt dig.

I Outlook og Gmail vil din e-mail uden DKIM f.eks. blive vist i modtagerens indbakke med den korrekte FROM-adresse, men som "sendt af" eller "via" en anden person.

Det kan være forvirrende for modtagerne og kan endda få dem til at tro, at det er en anden person, der har sendt dem beskeden i stedet for dig.

Eksempel #1 (Outlook)

Fig.1 Uden DKIM: Outlook viser "sendt af"-adressen i modtagerens indbakke.

Fig.2 Med DKIM: Outlook viser kun FROM-adressen.

Eksempel nr. 2 (Gmail)

Fig.3 Uden DKIM: Gmail viser "via"-adressen i modtagerens indbakke.

Fig.4 Med DKIM: Gmail viser kun FROM-adressen.

Hvis DKIM er til stede i din e-mail, er det dog ikke sandsynligt, at de ovennævnte problemer opstår. Den afsendende server vises ikke længere på klientens skærm, så der er mindre risiko for, at den havner i spam- eller junkmapper. Og de eneste oplysninger, de har, er FROM-adressen - hvilket betyder høje tillidsfaktorer for afsendende virksomheder, der søger kunder via e-mailmarkedsføringsstrategier.

Konsekvenser af at opsætte DMARC med og DMARC uden DKIM

Hvis du opretter DMARC med DKIM, kan du forhindre, at dine e-mails bliver markeret af spamfiltre og blokeret.

Men hvis du opretter DMARC uden DKIM, kan det resultere i en stigning i antallet af falske positive resultater og forsinkelser, når en modtager forsøger at verificere afsenderens e-mailadresse.

I dette afsnit vil vi se på nogle af de mulige konsekvenser af at opsætte DMARC med og DMARC uden DKIM.

1. Når du verificerer e-mail tillid

Med den SPF-baserede tilgang vil DMARC-beskyttelsen kun være begrænset til de usynlige "kuvertafsender"-adresser (MAIL FROM eller Return-path). Disse bruges til at modtage afvisninger (Non-Delivery Reports) fra afsendere.

Men når DKIM kombineres med SPF, er DMARC-beskyttelsen aktiveret for "header From:"-adressen samt de adresser, som er synlige for modtagerne. Derved opnås der en større tillid til e-mailen end ved at bruge DMARC med SPF alene.

2. Når du videresender e-mails

SPF-godkendelse fungerer ved at sende en e-mail, der indeholder din SPF-record (IP-adressen på den server, du vil sende e-mails fra), til en anden server. Den anden server bekræfter derefter, om denne IP-adresse er registreret hos dem, og vender tilbage med deres egen SPF-rekord - hvis de ikke har en, afviser de anmodningen.

I tilfælde af e-mailvideresendelse kan SPF-godkendelsen mislykkes, fordi der ikke er nogen garanti for, at den mellemliggende servers IP-adresse er på SPF-listen for det afsendende domæne. Som følge af dette kan en legitim e-mail uden en DKIM-signatur ikke godkendes ved DMARC-godkendelsen, hvilket resulterer i et falsk negativt resultat.

Hvis DKIM var blevet konfigureret på dette domæne, ville det falsk negative resultat ikke være opstået.

Men hvorfor?

DKIM-signaturen (d=) er knyttet til selve e-mailen, mens SPF er knyttet til "Return-Path"-headeren.

I tilfælde af videresendelse af e-mail røres eller ændres e-mailens krop ikke, og derfor forbliver DKIM-signaturen (d=) i e-mailens krop intakt. Det betyder, at afsenderens identitet kan verificeres med det offentlige nøgle- og private nøglepar, der er indeholdt i e-mail-teksten, og at DMARC-godkendelsen er bestået.

SPF er på den anden side knyttet til "Return-Path"-headeren, som ændres i forbindelse med videresendelse af e-mail. Så dens gyldighed kontrolleres ikke, hvilket resulterer i et falsk negativt resultat.

Det kan konkluderes, at SPF-godkendelse mislykkes på grund af videresendelse af e-mail, men DKIM overlever videresendelse af e-mail, fordi den er knyttet til e-mailens krop. Derfor er det vigtigt også at opsætte DMARC med DKIM.

3. Ved opdatering af IP-adresse

Når du sender en e-mail, kontrollerer den modtagende server e-mailens header for at se, om der er blevet manipuleret med den. Hvis det er tilfældet, afviser den modtagende server din besked og sender dig en meddelelse.

Det er her, at SPF kommer ind i billedet. SPF kontrollerer, at din IP-adresse er opført som en gyldig adresse på den afsendende servers SPF-record (med andre ord, at der ikke er nogen forfalskede IP-adresser).

Hvis din IP-adresse ændres, skal din SPF-post opdateres med den nye adresse. Hvor lang tid det tager, afhænger af, hvor ofte du ændrer din IP-adresse - i de fleste tilfælde tager det op til 48 timer, før den nye SPF-post træder i kraft.

Hvad sker der så, hvis din e-mail-udbyder tilføjer en ny IP til sit sortiment? I dette tilfælde kan din e-maillevering blive forsinket på grund af udbredelsestiden for SPF-recordopdateringen.

Men når du har konfigureret både DKIM og SPF, kan du omgå dette problem ved at bruge DKIM's kryptografiske signatur til at bevise, at mailserveren på [email protected] har tilladelse til at sende den.

Det betyder, at DKIM stadig kan bekræfte, at e-mails fra bestemte domæner er autentiske og legitime, selv hvis deres IP-område ændres.

Brug af DMARC uden DKIM: De mulige OK/FAIL-scenarier

Når du bruger DKIM- og SPF-mekanismerne, bruger du faktisk to forskellige værktøjer til at nå det samme mål: at forhindre spoofing.

De arbejder begge uafhængigt af hinanden, men de kan også fejle uafhængigt af hinanden. F.eks. kan SPF fejle uafhængigt af DKIM, og DKIM kan fejle uafhængigt af SPF.

Her er de fire mulige OK/FAIL-scenarier for opsætning af DMARC uden eller uden DKIM:

 

Scenarie Betydning Status for levering af e-mail
SPF ok, DKIM ok Det sikrer, at e-mails er sendt fra en legitim kilde. Serveren har tilladelse til at sende post, fordi den har en gyldig SPF-post og en gyldig DKIM-signatur. Leveres i indbakken
SPF ok, DKIM mislykkes Det betyder, at mailen er leveret af en autoriseret server, men at valideringen af DKIM-signaturen ikke lykkes. Leveret i spam eller uønsket mappe
SPF mislykkes, DKIM ok Det betyder, at mailens DKIM-signatur er gyldig, men at den afsendende server ikke har tilladelse til at levere mailen. Leveret i spam eller uønsket mappe
SPF fejler, DKIM fejler Hvis både SPF og DKIM ikke virker, anses en e-mail for at være forfalsket og vil blive afvist af modtagerens DMARC-aktiverede mailserver. Ikke leveret / afvist

En komplet DMARC-implementering er et behov for tiden!

SPF og DKIM er de mest almindelige e-mail-beskyttelsesmekanismer, der bruges til at implementere en korrekt DMARC-post for at forhindre spoofing af e-mail. Når en korrekt DMARC-implementering anvendes på din eksisterende e-mail-infrastruktur, leveres dine e-mail-meddelelser efter hensigten. Det betyder færre spamklager, færre falske positive resultater på sortlisterne og bedre leveringsstatistikker for alle dine abonnenter.

PowerDMARC tilbyder komplet DMARC implementeringstjenester med DKIM-, SPF- og DMARC-politikker, der er oprettet for dit domæne. Derved hjælper du dig med at opnå mere pålidelige resultater fra dine e-mails.

Generer DKIM-rekord online eller hent din gratis DMARC-testversion for at få en komplet løsning til den komplekse og konstant skiftende verden af e-mailsikkerhed.

Nyeste indlæg af Ahona Rudra (se alle)