Innlegg

DMARC- underdomenedelegering kan hjelpe domeneeiere med å delegere underdomener eller et toppnivådomene til en tredjepart på en måte som er DMARC-kompatibel. Dette kan hjelpe eierens domenenavn å reflektere i avsenderens Mail Fra:-adresse.

Når du delegerer underdomener til en tredjeparts DNS-leverandør, blir den delegerte organisasjonen ansvarlig for alle DNS-forespørsler knyttet til disse underdomenene. Den delegerte organisasjonen har også tilgang til underdomenets MX-poster og TXT-poster, selv om de kanskje ikke ser disse innstillingene med mindre de er spesifikt konfigurert til å gjøre det.

Hva er DNS-sonedelegering?

DNS-delegering er prosessen der en DNS-server autoriserer en annen DNS-server til å utføre autoritative handlinger på vegne av den serveren. Dette gir mulighet for mer effektiv bruk av ressurser, spesielt når det kommer til storskala distribusjoner.

For eksempel, hvis bedriften din har hundrevis av servere på mange forskjellige nettsteder, kan det være lurt å delegere autoritet over disse serverne slik at bare én server er ansvarlig for alle poster i en sone. Dette betyr at hvis ett nettsted går ned, vil andre nettsteder fortsatt kunne løse navneserverne og få tilgang til dataene deres uten problemer.

Hvorfor er sonedelegering viktig eller nyttig?

Delegering av DNS-soner er en viktig del av DNS-infrastrukturen din.

DNS-sonen, eller domenet, er en samling av én eller flere DNS-servere som er autoritative for et gitt domene. Når du har en enkelt DNS-server, kalles det en primær DNS-server. Hvis du har flere DNS-servere, kalles de alle sekundære servere.

Sonedelegering lar deg angi én eller flere navnetjenere som sekundære servere for sonen. Hovedmålet med sonedelegering som rettmessig påpekt av Microsoft i deres Zonedelegeringsdokument , er å skape redundans i DNS-miljøet ditt og la deg legge til nye navneservere eller endre konfigurasjonen deres uten å forstyrre resten av nettverket ditt.

Hva er underdomenedelegering?

Delegering av underdomene er en fin måte å delegere kontroll over domenet ditt til en annen person eller enhet. Det er også kjent som underdomeneoverføring, underdomeneadministrasjon og underdomeneproxy, og det kan brukes til mange forskjellige formål.

Hva betyr underdomenedelegering for deg?

Når du delegerer domenet ditt, gir du i hovedsak noen andre tillatelse til å administrere domenet ditt på dine vegne. Dette betyr at personen som mottar domenet ditt vil kunne gjøre hva de vil med det – enten det er å legge til flere domener eller endre DNS-innstillinger eller til og med slette hele greia. Det er opp til dem!

Hvordan fungerer underdomenedelegering?

Underdomener er akkurat som vanlige domener: de har navn og en IP-adresse. Forskjellen mellom et domene og et underdomene er at underdomener er under et annet domenenavn (som "example.com"). For å bruke dem effektivt, trenger du tre ting: et vertsnavn som samsvarer med det opprinnelige domenenavnet, en IP-adresse som samsvarer med det som ble tildelt da det opprinnelige domenet ble opprettet (som kanskje ikke er det samme som det gjeldende), og tilgang rettigheter gitt av den som kontrollerer den. 

Gjør DMARC Subdomain Delegation livet ditt enklere?

Det er flere grunner til hvorfor du kanskje vil delegere underdomenene dine til en tredjepartsleverandør. Nedenfor er noen av dem: 

  • Du vil at domenets identitet og navn skal gjenspeile e-postene dine tredjeparter sender ut gjennom deres navneservere
  • Dine e-poster vil være DMARC-kompatible ettersom de ser ut til å komme fra domenet ditt, og siden du vil ha full kontroll over underdomenet kan du gjøre DNS-endringer etter eget ønske
  • Alle e-poster som kommer fra navneservere med dine delegerte underdomener vil bestå SPF -autorisasjon og derfor DMARC
  • Dette vil sikre jevn og uavbrutt e-postlevering 

Hvordan delegere et underdomene til en tredjepartsleverandør?

Merk : For underdomenedelegering må du ha et underdomene registrert hos din nåværende DNS-leverandør og navneserverinformasjonen til tredjeparten. 

  • Logg på DNS-registratorens kontrollpanel 
  • Opprett en ny NS-post (navneserver) i DNS-sonefilen 
  • Skriv inn underdomenenavnet ditt i Navn-feltet, navneserverinformasjonen etterfulgt av en prikk (.) i Verdi-feltet og en TTL på 1800 eller 3600 
  • Lagre endringer i posten og vent til DNS-en din oppdaterer endringene

Du kan følge samme prosedyre for å delegere underdomenet til alle navneserverne til tredjepartsleverandøren din. 

Til slutt, for å fullføre underdomenedelegeringsprosessen må du legge til underdomenet ditt i DNS-sonefilen til tredjepartsleverandøren din, og du er ferdig! 

DMARC-samsvar og dine tredjeparter 

Å gjøre tredjeparts DMARC-kompatibel er en god måte å sikre at du ikke får falske negativer. Oftere enn ikke leverer en legitim e-post på mottakerens side og blir merket som spam på grunn av feilkonfigurert tredjeparts kildejustering for DMARC-protokollen. 

Vi har dekket en hel blogg om hvordan du gjør tredjepartsleverandørene DMARC-kompatible .

For mer informasjon, kontakt oss i dag og bestill en gratis konsultasjon med en DMARC-ekspert!

DKIM-nøkkelrotasjon er prosessen med å oppdatere DKIM-nøklene dine. Du bør rotere nøklene med jevne mellomrom - den nøyaktige perioden er ikke viktig, men selve prosessen er det. Hvorfor skal du gjøre det? Roterende nøkler refererer til å opprette nye nøkler og oppdatere DNS-poster med de nye nøklene. Hensikten med å rotere DKIM-nøklene dine ligner på hvorfor du kan endre passordene dine med jevne mellomrom: det er et sikkerhetstiltak som hjelper til med å forhindre at angripere utgir seg for å utgi seg for domenet ditt og sender spam eller phishing-e-post.

La oss ta en titt på hvorfor du bruker DKIM-nøkler i utgangspunktet.

Hvorfor bruker du DKIM-nøkler?

DKIM står for DomainKeys Identified Mail. Det er en måte å legge til et ekstra lag med sikkerhet til e-postserveren din, slik at e-postene dine ikke blir flagget som spam og havner i spam-mapper. Den beste måten å tenke på DKIM er som en kryptert identifikator knyttet til meldingene dine slik at mottakerne kan bekrefte at meldingen faktisk ble sendt av deg, personen den hevder å komme fra. Denne identifikatoren, eller nøkkelen, er det som lar dem bekrefte det.

Hvordan fungerer DKIM?

DKIM fungerer ved å legge til denne identifikatoren i hver e-post som sendes ut. Når noen mottar en av disse e-postene, kan de sjekke overskriften eller bunnteksten i meldingen og finne en streng med tall og bokstaver, som er den krypterte identifikatoren eller DKIM-nøkkelen. Før en e-post sendes til mottakeren, signerer avsenderens e-postserver hver e-post med en digital signatur, som deretter valideres av den mottakende e-postserveren. Denne prosessen beviser at e-posten ikke har blitt tuklet med eller endret på noen måte. 

Når du sender e-posten din, legges signaturen ved som en overskrift på slutten av meldingen. Mottakerservere bruker offentlige nøkler (levert av domeneeiere gjennom DNS-poster) for å dekryptere og bekrefte disse signaturene.

Hvorfor er DKIM-nøkkelrotasjon viktig for domenets sikkerhet?

DKIM-nøkkelrotasjon er når du begynner å bruke et nytt privat/offentlig nøkkelpar for å signere og autentisere meldingen – og deretter slutte å bruke det gamle private/offentlige nøkkelparet.

Hvorfor er dette viktig? Vel, hvis noen var i stand til å få tilgang til din private nøkkel, kunne de faktisk bruke den til å sende falske e-poster som ser ut til å være fra deg! For å forhindre denne typen ondsinnet aktivitet er det best å rotere nøklene med noen måneders mellomrom.

For å forstå viktigheten av DKIM-nøkkelrotasjon bedre, la oss ta en titt på dette eksemplet: 

La oss si at du sender ut en e-postkampanje for et feriesalg i butikken din. Du bruker DKIM-nøklene dine til å signere e-postene dine, men hvis du sender ut nok e-poster med samme nøkkelpar over tid, kan dårlige aktører til slutt fange opp og dekode en av dem, siden hver melding bruker den samme kryptografiske hash-algoritmen. Når de har fått den offentlige nøkkelen din, kan de begynne å signere phishing-e-postene sine med den uten at du en gang vet det! Det er derfor periodisk rotasjon av DKIM-nøkler er avgjørende for sikkerheten til domenet ditt.

Hvordan kan du rotere DKIM-nøklene?

1. Manuell DKIM-tastrotasjon

Du kan rotere DKIM-nøklene manuelt fra tid til annen ved å opprette nye nøkler for domenet ditt. Følg disse trinnene for å gjøre det: 

  • Gå over til vårt gratis DKIM -postgeneratorverktøy
  • Skriv inn domenets informasjon og skriv inn ønsket DKIM-velger 
  • Trykk på "Generer"-knappen 
  • Kopier det splitter nye paret med DKIM-nøkler 
  • Den offentlige nøkkelen skal publiseres på DNS-en din, og erstatter den forrige posten
  • Den private nøkkelen skal enten deles med ESP-en din (hvis du outsourcer e-postene dine) eller lastes opp på e-postserveren din (hvis du håndterer e-postoverføring på stedet) 

2. Delegering av DKIM-nøkkel for underdomene

Domeneeiere kan outsource DKIM-nøkkelrotasjon ved å la en tredjepart håndtere det for dem. Dette er når eieren av domenet delegerer et dedikert underdomene til en e-postleverandør og ber dem generere et DKIM-nøkkelpar på deres vegne. Dette lar eiere unngå bryet med DKIM-nøkkelrotasjon ved å sette ut ansvaret til en tredjepart. 

Dette kan imidlertid forårsake policyoverstyringsproblemer med DMARC-oppføringer. Det anbefales at roterte nøkler overvåkes og gjennomgås av domenekontrollere for å sikre jevn og feilfri distribusjon. 

3. DKIM CNAME nøkkeldelegering

CNAME står for kanonisk navn, og er DNS-poster som brukes til å peke på data fra et eksternt domene. CNAME-delegering lar domeneeiere peke på DKIM-postinformasjon som vedlikeholdes av en ekstern tredjepart. Dette ligner på delegering av underdomene siden domeneeieren bare er pålagt å publisere noen få CNAME-poster på DNS, mens DKIM-infrastrukturen og DKIM-nøkkelrotasjonen deretter håndteres av tredjeparten som posten peker til. 

For eksempel, 

"domain.com" er domenet som opprinnende e-poster skal signeres fra, og "third-party.com" er leverandøren som skal håndtere signeringsprosessen. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Den ovennevnte CNAME-posten må publiseres i DNS-en til domeneeieren. 

Nå har s1.domain.com.third-party.com allerede en DKIM-post publisert på DNS som kan være: s1.domain.com.third-party.com TXT “v=DKIM1; p=MIG89hdg599...."

Denne informasjonen vil bli brukt til å signere e-poster som stammer fra domain.com. 

Merk : Du må publisere flere DKIM-poster (anbefalt: minst 3 CNAME-poster) med forskjellige velgere på DNS for å aktivere DKIM-nøkkelrotasjon. Dette vil tillate leverandøren din å bytte mellom nøkler mens du signerer og gi dem alternative alternativer.

4. Automatisk DKIM-tastrotasjon

De fleste e-postleverandører og tredjeparts e-postleverandører aktiverer automatisk DKIM-nøkkelrotasjon for kunder. For eksempel, hvis du bruker Office 365 for å rute e-postene dine, vil du gjerne vite at Microsoft støtter automatisk DKIM-nøkkelrotasjon for deres Office 365-brukere. 

Vi har dekket et fullstendig dokument om hvordan du aktiverer DKIM-nøkkelrotasjon for dine Office 365-e-poster i kunnskapsbasen vår. 

Fordeler med å rotere DKIM-nøkler automatisk

  • Du trenger ikke å gjøre noe fra din side hvis leverandøren din tillater automatisert rotasjon av DKIM-nøkler. Alt styres av dem. 
  • Manuelle konfigurasjoner er utsatt for menneskelige feil.
  • Automatisk nøkkelrotasjon er rask og effektiv, og krever ingen forstyrrelser fra din side. 
  • DKIM-styringssystemet er fullstendig outsourcet og håndtert av en tredjepart.

Implementering av en DKIM-nøkkelrotasjonsstrategi

Vi kaller det " 3 Ds of DKIM key rotation ":

  • Diskutere 
  • Bestemme seg for
  • Utplassere 

Dette oppsummerer en effektiv DKIM-nøkkelrotasjonsstrategi for domenene dine. Når du benytter deg av tredjepartstjenester for e-postene dine og leverandøren din håndterer rotasjon for deg, sørg for at du har en åpen og gjennomsiktig diskusjon om når og hvor ofte du vil rotere nøklene. Du bør ha en mening om tidslinjer samt størrelsen du vil bruke for velgernøkkelen (om du vil bruke 1024 biter eller 2048 biter for mer sikkerhet). 

Når diskusjonsfasen har passert, må du og leverandøren din gjensidig bestemme hva strategien din er og til slutt fortsette å implementere den samme.