I den här artikeln kommer vi att utforska hur du enkelt optimerar SPF-posten för din domän. För företag såväl som småföretag som har en e-postdomän för att skicka och ta emot meddelanden bland sina kunder, partners och anställda är det mycket troligt att det finns en SPF-post som standard, som har konfigurerats av din inkorgstjänstleverantör. Oavsett om du har en befintlig SPF-post eller om du behöver skapa en ny, måste du optimera din SPF-post korrekt för din domän för att säkerställa att den inte orsakar några problem med e-postleverans.

Vissa e-postmottagare kräver strikt SPF, vilket indikerar att om du inte har en SPF-post publicerad för din domän kan dina e-postmeddelanden markeras som skräppost i mottagarens inkorg. Dessutom hjälper SPF till att upptäcka obehöriga källor som skickar e-postmeddelanden för din domäns räkning.

Låt oss först förstå vad som är SPF och varför behöver du det?

SPF (Sender Policy Framework)

SPF är i huvudsak ett standardprotokoll för e-postautentisering som anger de IP-adresser som har behörighet att skicka e-postmeddelanden från din domän. Den fungerar genom att jämföra avsändaradresser med listan över auktoriserade sändande värdar och IP-adresser för en viss domän som publiceras i DNS för den domänen.

SPF, tillsammans med DMARC (Domänbaserad meddelandeautentisering, rapportering och konformation) är utformad för att upptäcka förfalskade avsändaradresser under e-postleverans och förhindra förfalskning av attacker, nätfiske och e-postbedrägerier.

Det är viktigt att veta att även om standard-SPF som är integrerat i din domän av din värdleverantör säkerställer att e-postmeddelanden som skickas från din domän autentiseras mot SPF om du har flera tredjepartsleverantörer för att skicka e-postmeddelanden från din domän, måste denna befintliga SPF-post skräddarsys och ändras för att passa dina krav. Hur kan du göra det? Låt oss utforska två av de vanligaste sätten:

  • Skapa en helt ny SPF-post
  • Optimera en befintlig SPF-post

Instruktioner om hur du optimerar SPF-post

Skapa en helt ny SPF-post

Att skapa en SPF-post är helt enkelt att publicera en TXT-post i domänens DNS för att konfigurera SPF för din domän. Detta är ett obligatoriskt steg som kommer innan du börjar med hur du optimerar SPF-posten. Om du precis har börjat med autentisering och osäker på syntaxen kan du använda vår kostnadsfria SPF-postgenerator online för att skapa en SPF-post för din domän.

En SPF-postpost med rätt syntax ser ut ungefär så här:

v=spf1 ip4:38.146.237 inkludera:exempel.com -all

v=spf1Anger vilken version av SPF som används
ip4/ip6Den här mekanismen anger giltiga IP-adresser som har behörighet att skicka e-post från din domän.
inbegripaDen här mekanismen talar om för de mottagande servrarna att inkludera värdena för SPF-posten för den angivna domänen.
-allaDen här mekanismen anger att e-postmeddelanden som inte är SPF-kompatibla skulle avvisas. Det här är den rekommenderade taggen du kan använda när du publicerar SPF-posten. Men det kan ersättas med ~ för SPF Soft Fail (icke-kompatibla e-postmeddelanden skulle markeras som mjukt fel men skulle fortfarande accepteras) Eller + som anger att alla servrar skulle tillåtas att skicka e-postmeddelanden för din domäns räkning, vilket är starkt avskräckt.

Om du redan har konfigurerat SPF för din domän kan du också använda vår kostnadsfria SPF-postkontroll för att slå upp och validera din SPF-post och upptäcka problem.

Vanliga utmaningar och fel när du konfigurerar SPF

1) 10 DNS-uppslagsgräns 

Den vanligaste utmaningen för domänägare när de konfigurerar och antar SPF-autentiseringsprotokoll för sin domän är att SPF har en gräns för antalet DNS-sökningar, som inte får överstiga 10. För domäner som förlitar sig på flera tredjepartsleverantörer överskrider gränsen för 10 DNS-sökning lätt vilket i sin tur bryter SPF och returnerar en SPF PermError. Den mottagande servern ogiltigförklarar i sådana fall automatiskt din SPF-post och blockerar den.

Mekanismer som initierar DNS-sökningar: MX, A, INCLUDE, REDIRECT modifier

2) SPF Void-sökning 

Annullerade sökningar refererar till DNS-sökningar som antingen returnerar NOERROR-svar eller NXDOMAIN-svar (ogiltigt svar). När du implementerar SPF rekommenderas att se till att DNS-sökningar inte returnerar ett ogiltigt svar i första hand.

3) SPF Rekursiv slinga

Det här felet indikerar att SPF-posten för den angivna domänen innehåller rekursiva problem med en eller flera av INCLUDE-mekanismerna. Detta sker när en av de domäner som anges i INCLUDE-taggen innehåller en domän vars SPF-post innehåller INCLUDE-taggen för den ursprungliga domänen. Detta leder till en oändlig slinga som gör att e-postservrar kontinuerligt utför DNS-sökningar för SPF-posterna. Detta leder i slutändan till att överskrida 10 DNS-uppslagsgränsen, vilket resulterar i att e-postmeddelanden misslyckas SPF.

4) Syntaxfel 

Det kan finnas en SPF-post i domänens DNS, men den är inte till någon nytta om den innehåller syntaxfel. Om din SPF TXT-post innehåller onödiga blanksteg när du skriver domännamnet eller mekanismnamnet ignoreras strängen före det extra utrymmet helt av den mottagande servern när du utför en sökning och därmed ogiltigförklarar SPF-posten.

5) Flera SPF-poster för samma domän

En enda domän kan bara ha en SPF TXT-post i DNS. Om din domän innehåller mer än en SPF-post ogiltigförklarar den mottagande servern dem alla, vilket gör att e-postmeddelanden misslyckas med SPF.

6) SPF-postens längd 

Den maximala längden på en SPF-post i DNS är begränsad till 255 tecken. Den här gränsen kan dock överskridas och en TXT-post för SPF kan innehålla flera strängar sammanfogade tillsammans, men inte över en gräns på 512 tecken, för att passa DNS-frågesvaret (enligt RFC 4408). Även om detta senare reviderades, skulle mottagare som förlitar sig på äldre DNS-versioner inte kunna validera e-postmeddelanden som skickas från domäner som innehåller en lång SPF-post.

Optimera SPF-posten

För att snabbt ändra din SPF-post kan du använda följande metodtips för SPF:

  • Försök att skriva ner dina e-postkällor i minska prioritetsordningen från vänster till höger i din SPF-post
  • Ta bort föråldrade e-postkällor från din DNS
  • Använd IP4/IP6-mekanismer istället för A och MX
  • Håll antalet INCLUDE-mekanismer så lågt som möjligt och undvik kapslade
  • Publicera inte mer än en SPF-post för samma domän i din DNS
  • Kontrollera att SPF-posten inte innehåller några redundanta blanksteg eller syntaxfel

Anmärkning: SPF-förenkling rekommenderas inte eftersom det inte är en engångsaffär. Om din e-postleverantör ändrar sin infrastruktur måste du ändra dina SPF-poster i enlighet därmed, varje gång.

Optimera din SPF-post enkelt med PowerSPF

Du kan gå vidare och försöka implementera alla dessa ovan nämnda ändringar för att optimera din SPF-post manuellt, eller så kan du glömma besväret och lita på vår dynamiska PowerSPF för att göra allt det för dig automatiskt! PowerSPF hjälper dig att optimera din SPF-post med ett enda klick, där du kan:

  • Lägg enkelt till eller ta bort sändarkällor
  • Uppdatera poster enkelt utan att behöva göra ändringar manuellt i din DNS
  • Få en optimerad automatisk SPF-post med ett enda klick på en knapp
  • Håll dig under gränsen för 10 DNS-sökningar hela tiden
  • Minska PermError
  • Glöm syntaxfel och konfigurationsproblem med SPF-post
  • Vi tar bort bördan av att lösa SPF-begränsningar för din räkning

Registrera dig hos PowerDMARC idag för att bjuda adieu till SPF-begränsningar för alltid!  

Den hastighet med vilken e-postmeddelanden tar sig igenom till mottagarnas inkorgar kallas e-post leveransfrekvensen. Denna hastighet kan saktas ner eller försenas eller till och med leda till fel i leveransen när e-postmeddelanden hamnar i skräppostmappen eller blockeras av mottagande servrar. Det är i huvudsak en viktig parameter för att mäta framgången för dina e-postmeddelanden som når dina önskade mottagares inkorgar utan att markeras som skräppost. E-postautentisering är definitivt ett av alternativen som autentiserings nybörjare där ute kan tillgripa, för att se en betydande förbättring av e-postavlösbarheten över tid.

I den här bloggen är vi här för att prata med dig om hur du enkelt kan förbättra din e-post leveranshastighet och även diskutera de bästa branschpraxis för att säkerställa smidigt flöde av meddelanden över alla dina e-postkanaler!

Vad är e-postautentisering?

E-postautentisering är den teknik som används för att validera din e-post för äkthet mot alla auktoriserade källor som får skicka e-post från din domän. Det hjälper ytterligare till att validera domänägarskapet för alla MTA (Mail Transfer Agent) som är involverade i att överföra eller ändra ett e-postmeddelande.

Varför behöver du e-postautentisering?

Smtp (Simple Mail Transfer Protocol), som är internetstandarden för e-postöverföring, innehåller ingen funktion för att autentisera inkommande och utgående e-postmeddelanden, vilket gör det möjligt för cyberbrottslingar att utnyttja bristen på säkra protokoll i SMTP. Detta kan användas av hotaktörer för att begå phishing-bedrägerier via e-post, BEC och domänförfalskningsattacker där de kan utge sig för att vara ditt varumärke och skada dess rykte och trovärdighet. E-postautentisering förbättrar säkerheten för din domän mot personifiering och bedrägeri, vilket indikerar för mottagande servrar att dina e-postmeddelanden är DMARC-kompatibla och härrör från giltiga och autentiska källor. Det fungerar också som en kontrollpunkt för obehöriga och skadliga IP-adresser som skickar e-postmeddelanden från din domän.

För att skydda din varumärkesbild, minimera cyberhot, BEC och säkerställa förbättrad leveranshastighet är e-postautentisering ett måste!

Metodtips för e-postautentisering

SPF (Sender Policy Framework)

SPF finns i din DNS som en TXT-post och visar alla giltiga källor som har behörighet att skicka e-post från din domän. Varje e-postmeddelande som lämnar din domän har en IP-adress som identifierar din server och den e-postleverantör som används av din domän och som är värvad i din DNS som en SPF-post. Mottagarens e-postserver validerar e-postmeddelandet mot din SPF-post för att autentisera den och markerar därför e-postmeddelandet som SPF-pass eller misslyckas.

Observera att SPF har en 10 DNS-uppslagsgräns, vilket överskrider vilket kan returnera ett PermError-resultat och leda till SPF-fel. Detta kan mildras genom att använda PowerSPF för att alltid hålla sig under uppslagsgränsen!

Domäntangenter identifierad e-post (DKIM)

DKIM är ett standardprotokoll för e-postautentisering som tilldelar en kryptografisk signatur, skapad med en privat nyckel, för att validera e-postmeddelanden på den mottagande servern, där mottagaren kan hämta den offentliga nyckeln från avsändarens DNS för att autentisera meddelandena. Precis som SPF finns DKIM-den offentliga nyckeln också som en TXT-post i domänägarens DNS.

Domänbaserad meddelandeautentisering, rapportering och konformering (DMARC)

Att bara implementera SPF och DKIM räcker helt enkelt inte eftersom det inte finns något sätt för domänägare att styra hur mottagande servrar svarar på e-postmeddelanden som misslyckas med autentiseringskontroller.

DMARC är den mest använda e-postautentiseringsstandarden under den aktuella tiden, som är utformad för att ge domänägare möjlighet att ange hur de ska hantera meddelanden som misslyckas med SPF eller DKIM eller båda. Detta hjälper i sin tur till att skydda sin domän från obehörig åtkomst och e-postförfalskningsattacker.

Hur kan DMARC förbättra e-postens leveransbarhet?

  • När du publicerar en DMARC-post i domänens DNS begär domänägaren att ta emot servrar som stöder DMARC, för att skicka feedback på de e-postmeddelanden som de får för den domänen, vilket automatiskt anger till mottagande servrar att din domän utökar stödet mot säkra protokoll och autentiseringsstandarder för e-postmeddelanden, som DMARC, SPF och DKIM.
  • DMARC-aggregerade rapporter hjälper dig att få ökad insyn i ditt e-postekosystem, så att du kan visa dina e-postautentiseringsresultat, upptäcka autentiseringsfel och minska leveransproblemen.
  • Genom att tillämpa din DMARC-policy kan du blockera skadliga e-postmeddelanden som utger sig för att vara ditt varumärke från att landa i inkorgarna för dina mottagare.

Ytterligare tips om hur du förbättrar e-postens leveransbarhet:

  • Aktivera visuell identifiering av ditt varumärke i dina mottagares inkorgar med BIMI
  • Säkerställ TLS-kryptering av e-postmeddelanden som överförs med MTA-STS
  • Identifiera och svara på problem med e-postleverans genom att aktivera omfattande rapporteringsmekanism med TLS-RPT

PowerDMARC är en enda SaaS-plattform för e-postautentisering som kombinerar alla metodtips för e-postautentisering som DMARC, SPF, DKIM, BIMI, MTA-STS och TLS-RPT, under samma tak. Registrera dig idag med PowerDMARC och bevittna en betydande förbättring av e-postsäkerheten och autentiseringssviten.

Business Email Compromise eller BEC är en form av e-postsäkerhetsöverträdelse eller personifieringsattack som påverkar kommersiella, statliga, ideella organisationer, småföretag och nystartade företag samt MNCs och företag för att extrahera konfidentiella data som kan påverka varumärket eller organisationen negativt. Spear phishing-attacker, fakturabedrägerier och förfalskningsattacker är alla exempel på BEC.

Cyberbrottslingar är expertprogram som avsiktligt riktar in sig på specifika personer inom en organisation, särskilt de i auktoritära positioner som VD eller någon liknande, eller till och med en betrodd kund. De globala ekonomiska konsekvenserna på grund av BEC är enorma, särskilt i USA som har seglat upp som det främsta navet. Läs mer om den globala BEC-bedrägerivolymen. Lösningen? Byt till DMARC!

Vad är DMARC?

Domänbaserad meddelandeautentisering, rapportering och konformering (DMARC) är en branschstandard för e-postautentisering. Den här autentiseringsmekanismen anger för mottagande servrar hur de ska svara på e-postmeddelanden som misslyckas med SPF- och DKIM-autentiseringskontroller. DMARC kan minimera risken för att ditt varumärke faller offer FÖR BEC-attacker med en betydande procentandel och hjälpa till att skydda ditt varumärkes rykte, konfidentiell information och finansiella tillgångar.

Observera att innan du publicerar en DMARC-post måste du implementera SPF och DKIM för din domän eftersom DMARC-autentisering använder dessa två standardautentiseringsprotokoll för validering av meddelanden som skickas för din domäns räkning.

Du kan använda vår kostnadsfria SPF Record Generator och DKIM Record Generator för att generera poster som ska publiceras i din domäns DNS.

Hur optimerar du din DMARC-post för att skydda mot BEC?

För att skydda din domän mot business email compromise, samt aktivera en omfattande rapporteringsmekanism för att övervaka autentiseringsresultat och få fullständig insyn i ditt e-postekosystem, rekommenderar vi att du publicerar följande DMARC-postsyntax i domänens DNS:

v=DMARC1; p=avvisa; rua=mailto:[email protected]; ruf=mailto:[email protected] fo=1;

Förstå taggarna som används när du genererar en DMARC-post:

v (obligatoriskt)Den här mekanismen anger versionen av protokollet.
p (obligatoriskt)Den här mekanismen anger DMARC-principen som används. Du kan ställa in DMARC-principen på:

p=ingen (DMARC vid övervakning endast där e-postmeddelanden som inte fungerar med autentiseringskontroller fortfarande skulle landa i mottagarnas inkorgar). p=karantän (DMARC vid verkställighet, där e-postmeddelanden som inte fungerar med autentiseringskontroller kommer att sättas i karantän eller lämnas in i skräppostmappen).

p=avvisa (DMARC vid maximal verkställighet, där e-postmeddelanden som inte fungerar med autentiseringskontrollerna kommer att ignoreras eller inte levereras alls).

För autentiserings nybörjare rekommenderas att börja med principen endast vid övervakning (p=ingen) och sedan långsamt övergå till tvingande. Men för den här bloggen om du vill skydda din domän mot BEC är p = avvisa den rekommenderade principen för dig att säkerställa maximalt skydd.

sp (valfritt)Den här taggen anger underdomänprincipen som kan ställas in på sp=none/quarantine/reject och begär en princip för alla underdomäner där E-postmeddelanden misslyckas med DMARC-autentisering.

Den här taggen är bara användbar om du vill ange en annan princip för huvuddomänen och underdomänerna. Om det inte anges kommer samma princip att tas ut på alla dina underdomäner som standard.

adkim (valfritt)Den här mekanismen anger DKIM-identifierarens justeringsläge som kan ställas in på s (strikt) eller r (avslappnat).

Strikt justering anger att d=-fältet i DKIM-signaturen för e-posthuvudet måste justeras och matcha exakt med domänen som finns i från-huvudet.

För avslappnad justering måste dock de två domänerna endast dela samma organisationsdomän.

aspf (valfritt) Den här mekanismen anger justeringsläget för SPF-identifieraren som kan ställas in på s (strikt) eller r (avslappnat).

Strikt justering anger att domänen i huvudet "Retursökväg" måste justeras och matcha exakt med domänen som finns i från-huvudet.

För avslappnad justering måste dock de två domänerna endast dela samma organisationsdomän.

rua (valfritt men rekommenderas)Den här taggen anger DMARC-aggregerade rapporter som skickas till den adress som anges efter mailto: fältet, vilket ger insikt om e-postmeddelanden som skickar och misslyckas DMARC.
ruf (valfritt men rekommenderas)Den här taggen anger DMARC-kriminaltekniska rapporter som ska skickas till den adress som anges efter fältet mailto: . Kriminaltekniska rapporter är rapporter på meddelandenivå som ger mer detaljerad information om autentiseringsfel. Eftersom dessa rapporter kan innehålla e-postinnehåll är kryptering av dem den bästa metoden.
pct (tillval)Den här taggen anger hur många e-postmeddelanden som DMARC-principen är tillämplig på. Standardvärdet är inställt på 100.
fo (valfritt men rekommenderat)De rättsmedicinska alternativen för DMARC-posten kan ställas in på:

->DKIM och SPF passerar eller justerar inte (0)

->DKIM eller SPF passerar eller justerar inte (1)

->DKIM passerar eller justerar inte (d)

->SPF passerar eller justerar inte (s)

Det rekommenderade läget är fo=1 som anger att kriminaltekniska rapporter ska genereras och skickas till din domän när e-postmeddelanden misslyckas med antingen DKIM- eller SPF-autentiseringskontroller.

Du kan generera din DMARC-post med PowerDMARC:s kostnadsfria DMARC Record Generator där du kan välja fälten enligt den nivå av verkställighet du önskar.

Observera att endast en tvingande princip för avslag kan minimera BEC och skydda din domän från förfalsknings- och nätfiskeattacker.

DMARC kan vara en effektiv standard för att skydda ditt företag mot BEC, men att implementera DMARC kräver korrekt ansträngning och resurser. Oavsett om du är en autentiserings nybörjare eller en autentiseringsfantast, som pionjärer inom e-postautentisering, är PowerDMARC en enda saaS-plattform för e-postautentisering som kombinerar alla metodtips för e-postautentisering som DMARC, SPF, DKIM, BIMI, MTA-STS och TLS-RPT, under samma tak för dig. Vi hjälper dig:

  • Skifta från övervakning till verkställighet på nolltid för att hålla BEC i schack
  • Våra aggregerade rapporter genereras i form av förenklade diagram och tabeller som hjälper dig att förstå dem enkelt utan att behöva läsa komplexa XML-filer
  • Vi krypterar dina kriminaltekniska rapporter för att skydda integriteten för din information
  • Visa dina autentiseringsresultat i 7 olika format (per resultat, per sändande källa, per organisation, per värd, detaljerad statistik, geolokaliseringsrapporter, per land) på vår användarvänliga instrumentpanel för optimal användarupplevelse
  • Få 100% DMARC-efterlevnad genom att justera dina e-postmeddelanden mot både SPF och DKIM så att e-postmeddelanden som inte uppfyller någon av autentiseringskontrollpunkterna inte kommer till dina mottagares inkorgar

Hur skyddar DMARC mot BEC?

Så snart du ställer in din DMARC-policy på maximal efterlevnad (p=avvisa) skyddar DMARC ditt varumärke från e-postbedrägerier genom att minska risken för personifieringsattacker och domänmissbruk. Alla inkommande meddelanden valideras mot SPF- och DKIM-e-postautentiseringskontroller för att säkerställa att de härrör från giltiga källor.

SPF finns i din DNS som en TXT-post och visar alla giltiga källor som har behörighet att skicka e-post från din domän. Mottagarens e-postserver validerar e-postmeddelandet mot din SPF-post för att autentisera det. DKIM tilldelar en kryptografisk signatur, skapad med hjälp av en privat nyckel, för att validera e-postmeddelanden på den mottagande servern, där mottagaren kan hämta den offentliga nyckeln från avsändarens DNS för att autentisera meddelandena.

Med din policy vid avslag levereras inte e-postmeddelanden till mottagarens postlåda alls när autentiseringskontrollerna misslyckas, vilket indikerar att ditt varumärke personifieras. Detta håller i slutändan BEC som förfalskning och phishing-attacker i schack.

PowerDMARC:s grundplan för småföretag

Vår grundplan börjar från endast 8 USD per månad, så småföretag och nystartade företag som försöker anta säkra protokoll som DMARC kan enkelt utnyttja det. De fördelar som du kommer att ha till ditt förfogande med denna plan är följande:

Registrera dig med PowerDMARC idag och skydda ditt varumärkes domän genom att minimera risken för affärs-e-postkompromiss och e-postbedrägeri!

År 1982, när SMTP först specificerades, innehöll det ingen mekanism för att tillhandahålla säkerhet på transportnivå för att säkra kommunikationen mellan postöverföringsagenterna. Men 1999 lades STARTTLS-kommandot till SMTP som i sin tur stödde kryptering av e-postmeddelanden mellan servrarna, vilket ger möjlighet att konvertera en icke-säker anslutning till en säker som krypteras med TLS-protokoll.

Kryptering är dock valfritt i SMTP vilket innebär att e-postmeddelanden kan skickas även i klartext. Mail Transfer Agent-Strict Transport Security (MTA-STS) är en relativt ny standard som gör det möjligt för e-posttjänstleverantörer att genomdriva Transport Layer Security (TLS) för att säkra SMTP-anslutningar och att ange om de sändande SMTP-servrarna ska vägra att leverera e-postmeddelanden till MX-värdar som inte erbjuder TLS med ett tillförlitligt servercertifikat. Det har visat sig framgångsrikt mildra TLS nedgraderingsattacker och Man-In-The-Middle (MITM) attacker. SMTP TLS Reporting (TLS-RPT) är en standard som möjliggör rapportering av problem i TLS-anslutning som upplevs av program som skickar e-postmeddelanden och upptäcker felkonfigurationer. Det möjliggör rapportering av e-postleveransproblem som uppstår när ett e-postmeddelande inte krypteras med TLS. I september 2018 dokumenterades standarden först i RFC 8460.

Varför kräver dina e-postmeddelanden kryptering under överföringen?

Det primära målet är att förbättra säkerheten på transportnivå under SMTP-kommunikation och säkerställa integriteten för e-posttrafik. Dessutom förbättrar kryptering av inkommande och utgående meddelanden informationssäkerheten med hjälp av kryptografi för att skydda elektronisk information.  Dessutom har kryptografiska attacker som Man-In-The-Middle (MITM) och TLS Downgrade blivit populära på senare tid och har blivit en vanlig praxis bland cyberbrottslingar, som kan undvikas genom att genomdriva TLS-kryptering och utöka stödet till säkra protokoll.

Hur lanseras en MITM-attack?

Eftersom kryptering måste eftermonteras till SMTP-protokoll måste uppgraderingen för krypterad leverans förlita sig på ett STARTTLS-kommando som skickas med klartext. En MITM-angripare kan enkelt utnyttja den här funktionen genom att utföra en nedgraderingsattack på SMTP-anslutningen genom att manipulera uppgraderingskommandot, vilket tvingar klienten att falla tillbaka till att skicka e-postmeddelandet i klartext.

Efter att ha snappat upp kommunikationen kan en MITM-angripare enkelt stjäla den dekrypterade informationen och komma åt innehållet i e-postmeddelandet. Detta beror på att SMTP är branschstandarden för postöverföring använder opportunistisk kryptering, vilket innebär att kryptering är valfritt och e-postmeddelanden fortfarande kan levereras i klartext.

Hur startas en TLS-nedgraderingsattack?

Eftersom kryptering måste eftermonteras till SMTP-protokoll måste uppgraderingen för krypterad leverans förlita sig på ett STARTTLS-kommando som skickas med klartext. En MITM-angripare kan utnyttja den här funktionen genom att utföra en nedgraderingsattack på SMTP-anslutningen genom att manipulera uppgraderingskommandot. Angriparen kan helt enkelt ersätta STARTTLS med en sträng som klienten inte kan identifiera. Därför faller klienten lätt tillbaka till att skicka e-postmeddelandet i klartext.

Kort sagt, en nedgraderingsattack startas ofta som en del av en MITM-attack, för att skapa en väg för att aktivera en attack som inte skulle vara möjlig i händelse av en anslutning som krypteras över den senaste versionen av TLS-protokollet, genom att ersätta eller ta bort STARTTLS-kommandot och rulla tillbaka kommunikationen till klartext.

Förutom att förbättra informationssäkerheten och mildra genomgripande övervakningsattacker löser kryptering av meddelanden under överföring också flera SMTP-säkerhetsproblem.

Uppnå tvingad TLS-kryptering av e-postmeddelanden med MTA-STS

Om du misslyckas med att transportera dina e-postmeddelanden via en säker anslutning kan dina data äventyras eller till och med ändras och manipuleras av en cyberanfallare. Här kliver MTA-STS in och åtgärdar det här problemet, vilket möjliggör säker transitering för dina e-postmeddelanden samt framgångsrikt mildrar kryptografiska attacker och förbättrar informationssäkerheten genom att genomdriva TLS-kryptering. Enkelt uttryckt upprätthåller MTA-STS de e-postmeddelanden som ska överföras över en TLS-krypterad väg, och om en krypterad anslutning inte kan fastställas levereras e-postmeddelandet inte alls, istället för att levereras med klartext. Dessutom lagrar MTA-STS-principfiler, vilket gör det svårare för angripare att starta en DNS-förfalskningsattack.

 

MTA-STS erbjuder skydd mot:

  • Nedgradera attacker
  • Man-in-the-Middle (MITM) attacker
  • Det löser flera SMTP-säkerhetsproblem, inklusive utgångna TLS-certifikat och brist på stöd för säkra protokoll.

Stora leverantörer av e-posttjänster som Microsoft, Oath och Google stöder MTA-STS. Google är den största branschaktör, uppnår centrum samtidigt som man antar något protokoll, och införandet av MTA-STS av google indikerar förlängningen av stödet mot säkra protokoll och belyser vikten av e-postkryptering under överföringen.

Felsökningsproblem i e-postleverans med TLS-RPT

SMTP TLS Reporting ger domänägare diagnostiska rapporter (i JSON-filformat) detaljerad information om e-postmeddelanden som har skickats till din domän och står inför leveransproblem, eller inte kunde levereras på grund av en nedgraderingsattack eller andra problem, så att du kan lösa problemet proaktivt. Så snart du aktiverar TLS-RPT kommer medgivande e-postöverföringsagenter att börja skicka diagnostiska rapporter om problem med e-postleverans mellan att kommunicera servrar till den angivna e-postdomänen. Rapporterna skickas vanligtvis en gång om dagen, vilket täcker och förmedlar MTA-STS-policyerna som observerats av avsändare, trafikstatistik samt information om fel eller problem i e-postleverans.

Behovet av att distribuera TLS-RPT:

  • Om ett e-postmeddelande inte skickas till din mottagare på grund av problem i leveransen kommer du att meddelas.
  • TLS-RPT ger ökad synlighet på alla dina e-postkanaler så att du får bättre insikt om allt som händer i din domän, inklusive meddelanden som inte levereras.
  • TLS-RPT tillhandahåller djupgående diagnostiska rapporter som gör att du kan identifiera och komma till roten till problemet med e-postleverans och åtgärda det utan dröjsmål.

Anta MTA-STS och TLS-RPT enkelt och snabbt med PowerDMARC

MTA-STS kräver en HTTPS-aktiverad webbserver med ett giltigt certifikat, DNS-poster och konstant underhåll. PowerDMARC gör ditt liv mycket enklare genom att hantera allt detta för dig, helt i bakgrunden - från att generera certifikat och MTA-STS-policyfil till policyövervakning, hjälper vi dig att undvika de enorma komplexiteterna i att anta protokollet. När vi hjälper dig att ställa in det med bara några klick behöver du aldrig ens tänka på det igen.

Med hjälp av PowerDMARC:s e-postautentiseringstjänster kan du distribuera värdbaserade MTA-STS i din organisation utan krångel och i mycket snabb takt, med hjälp av vilka du kan genomdriva e-postmeddelanden som ska skickas till din domän via en TLS-krypterad anslutning, vilket gör din anslutning säker och håller MITM-attacker i schack.

PowerDMARC gör ditt liv enklare genom att göra implementeringsprocessen för SMTP TLS Reporting (TLS-RPT) enkel och snabb, till hands! Så snart du registrerar dig med PowerDMARC och aktiverar SMTP TLS-rapportering för din domän tar vi smärtan av att konvertera de komplicerade JSON-filerna som innehåller dina rapporter om e-postleveransproblem, till enkla, läsbara dokument (per resultat och per sändande källa), som du enkelt kan gå igenom och förstå! PowerDMARC: s plattform upptäcker automatiskt och förmedlar därefter de problem du står inför i e-postleverans, så att du snabbt kan adressera och lösa dem på nolltid!

Registrera dig för att få din gratis DMARC idag!

Om du är här och läser den här bloggen är chansen stor att du har stött på någon av de tre vanliga anvisningarna:

  • Ingen DMARC-post 
  • Ingen DMARC-post hittades 
  • DMARC-posten saknas
  • DMARC-posten hittades inte 
  • Ingen DMARC-post publicerad 
  • DMARC-principen är inte aktiverad
  • Det gick inte att hitta DMARC-posten

Hur som helst innebär detta bara att din domän inte är konfigurerad med den mest hyllade och populärt använda e-postautentiseringsstandarden - Domänbaserad meddelandeautentisering, rapportering och konformation eller DMARC. Låt oss ta en titt på vad det är:

Vad är DMARC och varför behöver du e-postautentisering för din domän?

För att lära oss mer om hur du åtgärdar problemet "Ingen DMARC-post hittades" låt oss lära oss vad DMARC handlar om. DMARC är den mest använda standarden för e-postautentisering under den aktuella tiden, som är utformad för att ge domänägare möjlighet att ange hur de ska hantera meddelanden som misslyckas med autentiseringskontroller. Detta hjälper i sin tur till att skydda sin domän från obehörig åtkomst och e-postförfalskningsattacker. DMARC använder populära standardautentiseringsprotokoll för att validera inkommande och utgående meddelanden från din domän.

Skydda ditt företag från personifieringsattacker och förfalskning med DMARC

Visste du att e-post är det enklaste sättet cyberbrottslingar kan missbruka ditt varumärke?

Genom att använda din domän och utge sig för att vara ditt varumärke kan hackare skicka skadliga phishing-e-postmeddelanden till dina egna anställda och kunder. Eftersom SMTP inte eftermonteras med säkra protokoll mot falska "Från"-fält kan en angripare förfalska e-postrubriker för att skicka bedrägliga e-postmeddelanden från din domän. Detta kommer inte bara att äventyra säkerheten i din organisation, utan det kommer allvarligt att skada ditt varumärkes rykte.

E-postförfalskning kan leda till BEC (Business Email Compromise), förlust av värdefull företagsinformation, obehörig åtkomst till konfidentiella data, ekonomisk förlust och reflektera dåligt över ditt varumärkes image. Även efter att ha implementerat SPF och DKIM för din domän kan du inte förhindra att cyberbrottslingar utger sig för att vara din domän. Det är därför du behöver ett e-postautentiseringsprotokoll som DMARC, som autentiserar e-postmeddelanden med både de nämnda protokollen och anger till att ta emot servrar för dina kunder, anställda och partners hur du svarar om ett e-postmeddelande kommer från en obehörig källa och misslyckas med autentiseringskontroller. Detta ger dig maximalt skydd mot exakta domänattacker och hjälper dig att ha fullständig kontroll över ditt företags domän.

Dessutom, med hjälp av en effektiv e-postautentiseringsstandard som DMARC, kan du förbättra din e-postleveransfrekvens, räckvidd och förtroende.

 


Lägga till DMARC-posten saknas för din domän

Det kan vara irriterande och förvirrande att stöta på uppmaningar som säger "Hostname returnerade en saknad eller ogiltig DMARC-post" när du söker efter en domäns DMARC-post medan du använder onlineverktyg.

För att fixa problemet "Ingen DMARC-post hittades" för din domän behöver du bara lägga till en DMARC-post för din domän. Om du lägger till en DMARC-post publiceras i huvudsak en textpost (TXT) i domänens DNS,i underdomänen _ dmarc.example.com i enlighet med DMARC-specifikationerna. En DMARC TXT-post i din DNS kan se ut ungefär så här:

v=DMARC1; p=ingen; rua=mailto:[email protected]

Och Voila! Du har lyckats matcha frågan "Ingen DMARC-post hittades" eftersom din domän nu är konfigurerad med DMARC-autentisering och innehåller en DMARC-post.

Men räcker det här? Svaret är nej. Att bara lägga till en DMARC TXT-post i din DNS kan lösa den saknade DMARC-prompten, men det räcker helt enkelt inte för att mildra personifieringsattacker och förfalskning.

Implementera DMARC på rätt sätt med PowerDMARC

PowerDMARC hjälper din organisation att uppnå 100 % DMARC-efterlevnad genom att justera autentiseringsstandarder och hjälpa dig att gå från övervakning till tvingande på nolltid och lösa uppmaningen "ingen DMARC-post hittades" på nolltid! Dessutom genererar vår interaktiva och användarvänliga instrumentpanel automatiskt:

  • Aggregerade rapporter (RUA) för alla dina registrerade domäner, som förenklas och konverteras till läsbara tabeller och diagram från komplext XML-filformat för din förståelse.
  • Rättsmedicinska rapporter (RUF) med kryptering

För att mildra "ingen DMARC-post hittades" behöver du bara:

DMARC-principen kan ställas in på:

  • p=none (DMARC är endast inställt på övervakning, där e-postmeddelanden som inte fungerar med autentisering fortfarande kommer att levereras till mottagarens inkorgar, men du kommer att få aggregerade rapporter som informerar dig om autentiseringsresultaten)
  • p=karantän (DMARC ställs in på tvingande nivå, där e-postmeddelanden som inte kanautentisering levereras till skräppostlådan i stället för mottagarens inkorg)
  • p=avvisa (DMARC är satt till högsta tvingande nivå, där e-postmeddelanden som inte kanautentisering antingen skulle raderas eller inte levereras alls)

Varför PowerDMARC?

PowerDMARC är en enda SaaS-plattform för e-postautentisering som kombinerar alla metodtips för e-postautentisering som DMARC, SPF, DKIM, BIMI, MTA-STS och TLS-RPT, under samma tak. Vi ger optimal insyn i ditt e-postekosystem med hjälp av våra detaljerade aggregerade rapporter och hjälper dig att automatiskt uppdatera ändringar på din instrumentpanel utan att du behöver uppdatera din DNS manuellt.

Vi skräddarsyr lösningar till din domän och hanterar allt åt dig helt i bakgrunden, hela vägen från konfiguration till konfiguration till konfiguration. Vi hjälper dig att implementera DMARC korrekt för att hålla personifieringsattacker i schack!

registrera dig med PowerDMARC för att konfigurera DMARC för din domän korrekt idag!

Domänbaserad meddelandeautentisering, rapportering och konformation är det mest hyllade e-postautentiseringsprotokollet på senare tid, som kan hjälpa småföretag, såväl som multinationella företag, att minska personifiering, e-postförfalskningsattacker och BEC. DMARC använder sig av två av de standard befintliga protokollen på området för e-postautentisering, nämligen SPF (Sender Policy Framework) och DKIM (DomainKeys Identified Mail). DMARC-lösningar kan hjälpa till att validera alla inkommande och utgående e-postmeddelanden för äkthet och minska e-postbaserade attacker och säkerhetsöverträdelser.

När du väljer den bästa DMARC-programvarulösningen för ditt företag måste du leta efter några grundläggande funktioner som lösningen måste innehålla! Låt oss diskutera vad de är:

En användarvänlig instrumentpanel

En användarvänlig instrumentpanel som ger dig fullständig insyn i ditt e-postekosystem och effektivt visar rapporter om e-postmeddelanden som skickar och misslyckas DMARC-autentisering från din domän i ett läsbart och begripligt format är absolut nödvändigt. Detta är en av de viktigaste punkterna som du måste se upp för när du väljer den bästa DMARC-programvarulösningen för ditt företag.

Detaljerad aggregerad och kriminalteknisk rapportering

Det är oumbärligt att din DMARC-lösning har en omfattande rapporteringsmekanism. Aggregerade och rättsmedicinska rapporter är båda absolut nödvändiga för att övervaka hot och konfigurera autentiseringsprotokoll.

Detaljerade DMARC-aggregerade rapporter genereras i ett XML-filformat. För en icke-teknisk person kan dessa poster verka oläsliga. Den bästa DMARC-programvarulösningen för din organisation kommer att dölja dessa obegripliga aggregerade rapporter från komplexa XML-filer till information som du enkelt kan förstå som gör att du kan analysera dina resultat och göra de behövande ändringarna

För små och medelstora företag såväl som MNCs ger kriminaltekniska rapporter värdefull inblick i ditt e-postekosystem, som genereras varje gång ett e-postmeddelande som skickas från din domän misslyckas DMARC. De delar ut detaljerad information om enskilda e-postmeddelanden som inte kunde identifiera förfalskningsförsök och åtgärda problem i e-postleverans i snabb takt.

DMARC Forensic rapporterar kryptering

DMARC Forensic-rapporter innehåller data om varje enskilt e-postmeddelande som misslyckades DMARC. Detta innebär att de potentiellt kan innehålla konfidentiell information som fanns i dessa e-postmeddelanden. Det är därför du bör välja en tjänsteleverantör som värderar din integritet när du väljer den bästa DMARC-programvarulösningen för ditt företag och låter dig kryptera dina kriminaltekniska rapporter så att endast behöriga användare har tillgång till dem.

Justering av SPF och DKIM

Även om DMARC-överensstämmelse kan uppnås genom SPF- eller DKIM-justering är det att föredra att anpassa dina e-postmeddelanden mot båda autentiseringsstandarderna. Om inte dina e-postmeddelanden är justerade och autentiserade mot både SPF- och DKIM-autentiseringsprotokoll och endast förlitar sig på SPF för validering, finns det en chans att legitima e-postmeddelanden fortfarande kan misslyckas med DMARC-autentisering (som vid vidarebefordrade meddelanden). Detta beror på att IP-adressen för mellanliggande server kanske inte ingår i SPF-posten för din domän och därmed misslyckas med SPF.

Men om inte posttexten ändras under vidarebefordran behålls DKIM-signaturen av e-postmeddelandet, som kan användas för att validera dess äkthet. Den bästa DMARC-programvarulösningen för ditt företag kommer att se till att alla dina inkommande och utgående meddelanden är anpassade mot både SPF och DKIM.

Hålla sig under gränsen för 10 DNS-sökning

SPF-poster har en gräns på 10 DNS-sökningar. Om din organisation har en bred bas av åtgärder eller om du förlitar dig på tredjepartsleverantörer för att skicka e-post för din räkning, kan din SPF-post enkelt överskrida gränsen och träffa permerroren. Detta ogiltigförklarar din SPF-implementering och gör att dina e-postmeddelanden oundvikligen misslyckas SPF. Det är därför du bör söka efter en lösning som hjälper dig att omedelbart optimera din SPF-post för att alltid hålla dig under 10 DNS-uppslagsgränsen för att minska SPF-permerror!

Guiden Interaktiv och effektiv installation

När man väljer den bästa DMARC-programvarulösningen för din organisation bör man inte glömma installationsprocessen. En interaktiv och effektiv installationsguide som är utformad med enkelhet och användarvänlighet i åtanke, som tar dig igenom processen att ange ditt domännamn för att ställa in din DMARC-policy för att generera din egen DMARC-post på ett synkroniserat och metodiskt sätt, är behovet av timmen! Det hjälper dig att komma till rätta sömlöst och förstå alla inställningar och funktioner på din instrumentpanel inom minsta möjliga tid.

Schemalägga PDF-rapporter för chef

Med en effektiv DMARC-lösning för din organisation kan du konvertera dina DMARC-rapporter till praktiska PDF-lättlästa dokument som kan delas med hela teamet. Beroende på dina behov kan du få dem schemalagda att skickas till din e-post regelbundet eller helt enkelt generera dem på begäran.

 

Värd för BIMI Record

Varumärkesindikatorer för meddelandeidentifiering eller BIMI gör det möjligt för dina e-postmottagare att visuellt identifiera din unika varumärkeslogotyp i sina inkorgar och vara säkra på att e-postmeddelandet kommer från en autentisk källa. En effektiv tjänsteleverantör kan ansluta dig till BIMI-implementering tillsammans med standardautentiseringsprotokoll som DMARC, SPF och DKIM, vilket förbättrar ditt varumärkes återkallande och upprätthåller ditt varumärkes rykte och integritet.

Plattformssäkerhet och konfiguration

En effektiv DMARC-lösning gör ditt arbete enkelt genom att upptäcka alla dina underdomäner automatiskt, samt tillhandahålla tvåfaktorsautentisering för att möjliggöra absolut säkerhet för din autentiseringsplattform.

Hotinformation

För ökad synlighet och insikt behöver du en AI-driven THREAT Intelligence -motor (TI) som aktivt rotar ut misstänkta IP-adresser och kontrollerar dem mot en live, uppdaterad svart lista över kända missbrukare så att du kan få dem nedtagna. Detta kommer att rusta dig mot skadliga aktiviteter och upprepade händelser av domänmissbruk i framtiden.

Ett proaktivt supportteam

När du implementerar DMARC på din organisation och genererar aggregerade rapporter behöver du ett proaktivt supportteam som är tillgängligt dygnet runt för att hjälpa dig att minska problem i konfigurationen även efter onboarding, under hela den tid du använder deras tjänster.

PowerDMARC-analysverktyg

Vårt DMARC Analyzer Tool är tillräckligt effektivt för att ta dig igenom hela implementeringsprocessen och hjälpa dig att gå från övervakning till DMARC-efterlevnad och 100% DMARC-efterlevnad på minst tid. Vår avancerade DMARC-programvarulösning hjälper dig att konfigurera din domän, DMARC-policy och aggregerade rapporter och hjälper dig att få fullständig insyn i ditt e-postekosystem så snart som möjligt. PowerDMARC är din enda destination för den ultimata e-postsäkerhetssviten, från värd för BIMI-postgenerering till kriminalteknisk rapportering med kryptering.

När du väljer en DMARC-lösning för din organisation är det viktigt att anförtro sig åt en tjänsteleverantör som erbjuder premiumteknik till rimliga priser. Registrera dig för att få din kostnadsfria DMARC-provperiod idag med PowerDMARC!