DMARC-opsætning: DMARC-indstillings- og konfigurationsvejledning
Da phishing og e-mail-baserede angreb bliver populære, skal du konfigurere dine DMARC-indstillinger for at styrke dit forsvar mod forestående cyberangreb. Opsætning af DMARC-protokollen (Domain-based Message Authentication Reporting and Conformance) er dit første skridt mod at opnå compliance med dine e-mails. Den hurtigst mulige måde at opnå dette på er ved at oprette en DNS-post og få den offentliggjort med hjælp fra din hostingudbyder.
Sådan konfigureres DMARCskal du starte med at oprette en DMARC-post. Så kompliceret som det måske lyder, er processen med at opsætte DMARC forholdsvis ligetil!
DMARC-opsætning forklaret
En DMARC-opsætning er en e-mail-godkendelsesproces, der hjælper organisationer med at bekæmpe e-mail-spoofing, phishing og e-mail-svindel. For at validere ægtheden af e-mail-kommunikation arbejder DMARC-indstillinger sammen med andre e-mail-godkendelsessystemer som SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail).
Hvorfor skal du konfigurere DMARC?
90% af phishing-angreb bruger e-mail som vektor, hvilket gør e-mail-godkendelse uundværlig. FBI's Internet Crime Complaint Center fra 2020 (FBI IC3-rapport 2020) rapporterede, at der blev modtaget 28.500 klager i USA om e-mail-baserede angreb. Dette bringer øjeblikkeligt DMARC i forgrunden.
Vidste du det?
- 75% af organisationsdomæner fra hele verden blev i 2020 forfalsket til at sende phishing-e-mails til ofre
- 74 % af disse phishing-kampagner lykkedes
- Hyppigheden af BEC er steget med 15 % siden sidste år
- IBM rapporterede, at en ud af hver 5 virksomheder i det sidste år har oplevet brud på datasikkerheden forårsaget af ondsindede e-mails
Tjek dit domæne lige nu for at se, hvor beskyttet du er mod e-mailsvindel!
Krav til en DMARC-opsætning
Hvis du opretter en DMARC-post og beslutter dig for at gøre det, er der visse forudsætninger, som du skal have på plads, før du går videre til implementering.
- Du skal have adgang til din DNS-administrationskonsol
- Sørg for, at du genkender alle dine autoriserede e-mailafsendere
- Offentliggjort SPF- og/eller DKIM-post i din DNS
Grundlæggende elementer i din DMARC-opsætning: Tilpasning af SPF og DKIM
Sådan konfigurerer du din DMARC-politik indstilling, skal du implementere enten Sender Policy Framework (SPF) eller DomainKeys Identified Mail (DKIM) eller begge dele.
SPF fortæller mailservere, hvilke IP-adresser eller afsenderkilder der har tilladelse til at sende udgående mail fra dit domæne. DKIM tilføjer en digital signatur til udgående mail for at forhindre ændringer i beskeden. Det forhindrer spam og svindelmails i at nå frem til dine e-mailklienter ved at udgive sig for at være dit brand i phishing-svindel.
Du kan konfigurere din domænejustering til at godkende delvise matches for dine SPF- og DKIM-headerfelter med From:-domænet, eller du kan vælge en mere stringent godkendelse ved at vælge et nøjagtigt match i stedet.
Hvordan opsætter man DMARC? En trin-for-trin-guide
For at kickstarte din DMARC DNS-opsætning skal du følge opsætningstrinnene nedenfor:
Trin 1: Opret DMARC-record
Du starter med at oprette en DNS-post, der definerer din politik og fastlægger implementeringen.
For at oprette en gratis record skal du bruge vores DMARC-generator værktøj som vist i skærmbilledet ovenfor. Når du åbner værktøjsskærmen, vil der være nogle obligatoriske kriterier, som du skal udfylde.
Trin 2: Vælg en passende DMARC-politik til dine e-mails
Tagget p= policy er et obligatorisk tag, der skal konfigureres i din DMARC-opsætning. Hvis du springer dette over, vil din post være ugyldig.
Tagget p= policy er et obligatorisk tag, der skal konfigureres i din DMARC-opsætning. Hvis du springer dette over, vil din post være ugyldig.
For at forhindre, at dine e-mails bliver spoofet, skal du konfigurere en DMARC-politik på p=karantæne eller højere. Du kan dog vælge en "ingen" politik, hvis du ønsker at overvåge dine e-mails, før du forpligter dig til fuld håndhævelse.
Trin 3: Aktivér rapportering og klik på "Generer"
Resten af kriterierne er ikke obligatoriske, men hvis du vil konfigurere tilpasningsfleksibilitet for DKIM og SPF eller aktivere DMARC-rapportering, kan du gøre det. RUA- og RUF-rapporter kan hjælpe dig med at spore dit mailflow og godkendelsesresultater for hurtigt at opdage uoverensstemmelser.
Klik til sidst på knappen "generer" for at færdiggøre dine DMARC-indstillinger og afslutte processen med at oprette din post.
Trin 4: Udgiv og valider rekordopsætningen
Når du er færdig med at oprette TXT-posten, skal du bruge knappen "kopier" til direkte at kopiere syntaksen og derefter gå over til din DNS-administrationskonsol. Indsæt posten på din DNS for at afslutte din DMARC-opsætning.
Læs vores detaljerede guide til, hvordan du udgiver en DMARC-post på din DNS for at lære mere.
Eksempel på DMARC-opsætning
Her er et eksempel på en typisk DMARC-opsætning:
v=DMARC1; p=afvise; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;
Bemærk: Mens du begynder din e-mail-godkendelsesrejse, kan du holde din DMARC-politik (p) på ingen i stedet for afvisning for at overvåge dit e-mail-flow og løse problemer, før du skifter til en streng politik.
Aflivning af Record-syntaksen
Syntaksen for din DMARC-opsætning er den vigtigste del af din implementering, da den bestemmer, hvordan dine e-mails vil blive godkendt, og den handling, der vil blive foretaget efter verifikation. Lad os udforske nogle primære mekanismer:
- Feltet "v" bestemmer protokolversionen af DMARC, som er DMARC1.
- Feltet "p" er det obligatoriske DMARC-politikfelt, der kan indstilles til ingen/afvis/karantænepolitik.
- Felterne "rua" aggregate feedback og "ruf" forensic reports er DMARC-rapporteringsmuligheder, der hjælper modtagende ESP'er med at give feedback på e-mails sendt til dine modtagere, som vil blive sendt til din definerede e-mailadresse eller dedikerede postkasse.
Dette er blot nogle få, du kan udforske mere i vores detaljerede blog om DMARC-tags.
Bekræftelse af din DMARC Record-opsætning
Når du har konfigureret DMARC, skal du verificere dine konfigurationer for at sikre, at protokollen fungerer efter dine behov. Uden ordentlig kontrol og overvågning på plads kan autentificering af dine e-mails blive meget udfordrende og føre til falske positiver eller fejl, hvilket påvirker din mailleveringsydelse.
For at verificere din opsætning kan du bruge PowerDMARCs DMARC checker-værktøj gratis. Det er et øjeblikkeligt og effektivt værktøj til at validere din DNS TXT-post, der ikke kun viser status for din posts gyldighed, men også fremhæver fejl og foreslår forbedringer for at opnå compliance hurtigere!
Sådan bruger du den:
- Indtast dit domænenavn i destinationsfeltet (dvs. hvis dit websteds URL er https://company.com vil dit domænenavn være firma.com)
- Klik på knappen "Opslag"
- Se dine resultater vist på skærmen
Vi anbefaler denne verifikationsmetode som et alternativ til manuel verifikation for en hurtigere, mere præcis og problemfri oplevelse.
Kan du opsætte DMARC uden DKIM eller SPF?
Nej, du skal konfigurere en af de to for at sikre, at dine e-mails er autentificerede. Du kan vælge at konfigurere begge, hvilket er den anbefalede fremgangsmåde for maksimal sikkerhed, men det er helt valgfrit.
Vi har dækket begge tilgange i dybden i vores vidensbase.
Fordele og anvendelser af en DMARC-opsætning
En DMARC-opsætning kan være nyttig i følgende situationer:
- For at sikre, at kun autoriserede afsendere har tilladelse til at sende e-mails på dit e-maildomænes vegne
- For at forhindre phishing- og direkte domæneforfalskningsangreb via e-mail
- For at se de IP-adresser eller kilder, der sender e-mails på dine vegne.
- Sådan forhindrer du, at dine modtagere modtagerne får spam-beskeder
- At forbedre e-mailleveringsevnen for legitim e-mailtrafik
Hvad er de bedste DMARC-indstillinger?
Den bedste DMARC-indstilling, hvis du ønsker maksimal beskyttelse mod e-mail-baserede angreb, er p=reject (hvor p er den mekanisme, der bruges til at specificere din record-politik). En passende DMARC-indstilling afhænger af den mængde håndhævelse, du ønsker (hvor stringent du ønsker, at modtagere skal håndtere e-mails, der fejler DMARC).
Hvis du kun vil overvåge, kan du konfigurere DMARC med en "ingen" politik, mens du kan konfigurere "karantæne", hvis du vil gennemgå uautoriserede e-mails i din karantæne- eller spam-mappe, før du kasserer eller accepterer dem.
Udnyttelse af DMARC til at forhindre domænespoofing
Bemærk, at hvis du vil konfigurere DMARC til at forhindre dit domæne i at blive spoofet og holde phishing- og BEC-angreb på afstand, anbefaler vi, at du vælger følgende kriterium, mens du genererer din DMARC-post:
Indstil din DMARC-politik til p=afvis
Hvad betyder det?
Når du konfigurerer DMARC-håndhævelse i din organisation ved at vælge "afvis" DMARC-indstillinger, betyder det, at hver gang en e-mail, der sendes fra dit domæne, fejler DMARC-godkendelse, afvises den ondsindede e-mail øjeblikkeligt af den modtagende e-mailserver i stedet for at blive leveret til din e-mailmodtagers indbakke.
Hvordan slår man DMARC fra?
Det er vigtigt at huske på, at det ikke anbefales eller opfordres til at slå e-mail-godkendelse fra for dine domæner, da det efterlader dine domæner sårbare over for en lang række cyberangreb og giver cyberkriminelle åben adgang til at udgive sig for at være dit domæne. Hvis du alligevel ønsker at deaktivere protokollen, kan du følge nedenstående trin:
- Få adgang til din DNS-registrators administrationskonsol
- Naviger til den avancerede DNS-editor for at redigere dine DNS-indstillinger
- Find det domæne, som du vil deaktivere DMARC for.
- Slet DMARC TXT-record
- Gem ændringerne, og vent et stykke tid på, at ændringerne afspejles.
Du kan også kontakte din domæneregistrator, som kan hjælpe dig med at slette posten, hvis du ikke har adgang til konsollen.
Sletning af DNS-posten for DMARC deaktiverer automatisk protokollen for det pågældende domæne. Men hvis du har flere domæner med DMARC aktiveret, skal du manuelt slette DNS-poster for de nævnte domæner for at deaktivere dem for din organisation.
Nem opsætning af DMARC med PowerDMARC
Når du opretter opretter en konto på PowerDMARC, håndterer vi protokolimplementering og opsætning for dig. Vi administrerer og overvåger også dit domæne og dine e-mails, analyserer dine samlede rapporter og organiserer dine godkendelsesresultater på et dedikeret dashboard.
Hvis du ikke ønsker at gå igennem besværet med en manuel opsætning, kan du automatisere processen ved at tage en gratis 15-dages prøveperiode hos os. For at nyde fordelene ved e-mail-godkendelse og opsætte DMARC på en måde, der effektivt beskytter dit domæne, skal du tilmelde dig med DMARC-analysator i dag!
- Websikkerhed 101 - bedste praksis og løsninger - 29. november 2023
- Hvad er e-mail-kryptering, og hvad er dens forskellige typer? - 29. november 2023
- DMARC Black Friday: Forstærk dine e-mails i denne feriesæson - 23. november 2023