Inlägg

DMARC Delegering av underdomäner kan hjälpa domänägare att delegera underdomäner eller en toppdomän till en tredje part på ett sätt som är DMARC-kompatibelt. Detta kan hjälpa ägarens domännamn att återspeglas i avsändarens Mail From:-adress.

När du delegerar underdomäner till en tredjeparts-DNSleverantör blir den delegerade organisationen ansvarig för alla DNS-förfrågningar som rör dessa underdomäner. Den delegerade organisationen har också tillgång till underdomänens MX- och TXT-poster, även om de kanske inte ser dessa inställningar om de inte är specifikt konfigurerade för det.

Vad är DNS-zondelegering?

DNS-delegering är den process genom vilken en DNS-server auktoriserar en annan DNS-server att utföra auktoritativa åtgärder för den serverns räkning. Detta gör det möjligt att använda resurserna mer effektivt, särskilt när det gäller storskaliga installationer.

Om ditt företag till exempel har hundratals servrar på många olika platser kanske du vill delegera behörigheten över dessa servrar så att endast en server är ansvarig för alla poster i en zon. Detta innebär att om en webbplats går ner kan andra webbplatser fortfarande lösa sina namnservrar och få tillgång till sina data utan problem.

Varför är zondelegering viktigt eller fördelaktigt?

DNS-zondelegering är en viktig del av din DNS-infrastruktur.

En DNS-zon eller domän är en samling av en eller flera DNS-servrar som är auktoritativa för en viss domän. När du har en enda DNS-server kallas den för primär DNS-server. Om du har flera DNS-servrar kallas de för sekundära servrar.

Med zondelegering kan du ange en eller flera namnservrar som sekundära servrar för zonen. Huvudsyftet med zondelegering, som Microsoft med rätta påpekade i sin Dokument om zondelegeringär att skapa redundans i din DNS-miljö och göra det möjligt för dig att lägga till nya namnservrar eller ändra deras konfiguration utan att störa resten av nätverket.

Vad är delegering av underdomäner?

Delegering av underdomäner är ett utmärkt sätt att delegera kontrollen över din domän till en annan person eller enhet. Det kallas också för överföring av underdomäner, hantering av underdomäner och proxy för underdomäner och kan användas för många olika ändamål.

Vad innebär delegering av underdomäner för dig?

När du delegerar din domän ger du i princip någon annan tillåtelse att hantera domänen för din räkning. Det innebär att den person som får din domän kan göra vad han eller hon vill med den, oavsett om det handlar om att lägga till ytterligare domäner, ändra DNS-inställningar eller till och med radera hela domänen. Det är upp till dem!

Hur fungerar delegering av underdomäner?

Underdomäner är precis som vanliga domäner: de har namn och en IP-adress. Skillnaden mellan en domän och en underdomän är att underdomäner ligger under ett annat domännamn (t.ex. "example.com"). För att använda dem effektivt behöver du tre saker: ett värdnamn som matchar det ursprungliga domännamnet, en IP-adress som matchar den som tilldelades när den ursprungliga domänen skapades (vilket kan vara samma som den nuvarande) och åtkomsträttigheter som ges av den som kontrollerar den. 

Gör DMARC Subdomain Delegation ditt liv enklare?

Det finns flera anledningar till varför du vill delegera dina underdomäner till en tredjepartsleverantör. Nedan följer några av dem: 

  • Du vill att din domäns identitet och namn ska återspeglas i den e-post som tredje part skickar ut via sina namnservrar.
  • Din e-post kommer att vara DMARC-kompatibel eftersom den ser ut att komma från din domän, och eftersom du har full kontroll över underdomänen kan du göra DNS-ändringar när du vill.
  • All e-post som kommer från namnservrar med dina delegerade underdomäner kommer att passera SPF auktorisering och därmed DMARC
  • Detta säkerställer en smidig och oavbruten e-postleverans. 

Hur delegerar jag en underdomän till en tredjepartsleverantör?

Obs: För delegering av underdomäner måste du ha en underdomän registrerad hos din nuvarande DNS-leverantör och information om tredje partens namnserver.

  • Logga in på kontrollpanelen hos din DNS-registrerare 
  • Skapa en ny NS-post (namnserver) i din DNS-zonfil. 
  • Ange ditt underdomännamn i fältet Namn, information om din namnserver följt av en punkt (.) i fältet Värde och en TTL på 1800 eller 3600. 
  • Spara ändringarna i posten och vänta tills DNS uppdaterar ändringarna.

Du kan följa samma procedur för att delegera underdomänen till alla namnservrar hos din tredjepartsleverantör. 

För att avsluta delegeringsprocessen för underdomäner måste du slutligen lägga till din underdomän i DNS-zonfilen hos din tredjepartsleverantör, så är du klar! 

DMARC-överensstämmelse och dina tredje parter 

Att göra dina tredje parter DMARC-kompatibla är ett bra sätt att se till att du inte får några falska negativa svar. Oftast misslyckas ett legitimt e-postmeddelande med att levereras på mottagarsidan och markeras som skräppost på grund av felkonfigurerad anpassning av tredjepartskällor för DMARC-protokollet. 

Vi har skrivit en hel blogg om hur du gör dina tredjepartsleverantörer DMARC-kompatibla.

För mer information, kontakta oss idag och boka en kostnadsfri konsultation med en DMARC-expert!

DKIM-nyckelrotation är processen för att uppdatera dina DKIM-nycklar. Du bör rotera dina nycklar med jämna mellanrum - den exakta perioden är inte viktig, men själva processen är det. Varför ska du göra det? Med rotation av nycklar avses att skapa nya nycklar och uppdatera DNS-poster med dessa nya nycklar. Syftet med att rotera dina DKIM-nycklar liknar det du byter ut dina lösenord med jämna mellanrum: det är en säkerhetsåtgärd som hjälper till att förhindra att angripare utger sig för att vara din domän och skickar skräppost eller phishing-e-post.

Låt oss ta en titt på varför du överhuvudtaget använder DKIM-nycklar.

Varför använder du DKIM-nycklar?

DKIM står för DomainKeys Identified Mail. Det är ett sätt att lägga till ytterligare ett säkerhetslager på din e-postserver så att din e-post inte flaggas som skräppost och hamnar i skräppostmappar. Det bästa sättet att tänka på DKIM är att det är en krypterad identifierare som bifogas dina meddelanden så att mottagarna kan kontrollera att meddelandet faktiskt skickades av dig, den person som det påstås komma från. Det är denna identifierare eller nyckel som gör det möjligt för dem att verifiera detta.

Hur fungerar DKIM?

DKIM fungerar genom att lägga till denna identifierare till varje e-postmeddelande som skickas. När någon tar emot ett av dessa e-postmeddelanden kan han eller hon kontrollera rubriken eller sidfoten i meddelandet och hitta en sträng av siffror och bokstäver, som är den krypterade identifieraren eller DKIM-nyckeln. Innan ett e-postmeddelande skickas till mottagaren signerar avsändarens e-postserver varje e-postmeddelande med en digital signatur, som sedan valideras av den mottagande e-postservern. Denna process bevisar att e-postmeddelandet inte har manipulerats eller ändrats på något sätt. 

När du skickar ditt e-postmeddelande bifogas signaturen som en rubrik i slutet av meddelandet. Mottagarservrarna använder offentliga nycklar (som tillhandahålls av domänägare via DNS-poster) för att dekryptera och verifiera dessa signaturer.

Varför är DKIM-nyckelrotation viktigt för domänens säkerhet?

DKIM-nyckelrotation innebär att du börjar använda ett nytt privat/offentligt nyckelpar för att signera och autentisera ditt meddelande och sedan slutar använda det gamla privata/offentliga nyckelparet.

Varför är detta viktigt? Om någon skulle få tillgång till din privata nyckel kan de faktiskt använda den för att skicka falska e-postmeddelanden som ser ut att komma från dig! För att förhindra denna typ av skadlig verksamhet är det bäst att rotera dina nycklar med några månaders mellanrum.

För att bättre förstå vikten av DKIM-nyckelrotation kan vi ta en titt på det här exemplet: 

Låt oss säga att du skickar ut en e-postkampanj för en julförsäljning i din butik. Du använder dina DKIM-nycklar för att signera dina e-postmeddelanden, men om du skickar ut tillräckligt många e-postmeddelanden med samma nyckelpar över tid kan dåliga aktörer så småningom avlyssna och avkoda ett av dem, eftersom varje meddelande använder samma kryptografiska hash-algoritm. När de väl har fått tag på din offentliga nyckel kan de börja signera sina nätfiskemejl med den utan att du vet om det! Därför är regelbunden rotation av DKIM-nyckeln avgörande för säkerheten för din domän.

Hur kan du rotera dina DKIM-nycklar?

1. Manuell DKIM-nyckelrotation

Du kan manuellt rotera dina DKIM-nycklar från tid till annan genom att skapa nya nycklar för din domän. Följ de här stegen för att göra det: 

  • Gå till vår kostnadsfria DKIM-postgenerator verktyg
  • Ange din domäninformation och ange önskad DKIM-väljare 
  • Tryck på knappen "Generera". 
  • Kopiera ditt helt nya par DKIM-nycklar 
  • Den offentliga nyckeln ska publiceras i din DNS och ersätta den tidigare posten.
  • Den privata nyckeln ska antingen delas med din ESP (om du outsourcar din e-post) eller laddas upp på din e-postserver (om du hanterar e-postöverföring på plats). 

2. Delegering av DKIM-nycklar för underdomäner

Domänägare kan lägga ut DKIM-nyckelrotationen på entreprenad genom att låta en tredje part sköta detta åt dem. Detta sker när domänägaren delegerar en dedikerad underdomän till en e-postleverantör och ber dem generera ett DKIM-nyckelpar för deras räkning. Detta gör det möjligt för ägarna att slippa besväret med DKIM-nyckelrotationen genom att lägga ut ansvaret på en tredje part. 

Detta kan dock leda till problem med att åsidosätta principer för DMARC-poster. Det rekommenderas att roterade nycklar övervakas och granskas av domänkontrollanter för att säkerställa en smidig och felfri distribution. 

3. Delegering av DKIM CNAME-nyckeln

CNAME står för canonical name (kanoniskt namn) och är DNS-poster som används för att peka på data i en extern domän. CNAME-delegering gör det möjligt för domänägare att peka på DKIM-information som upprätthålls av en extern tredje part. Detta liknar delegering av underdomäner eftersom domänägaren bara behöver publicera några CNAME-poster i sin DNS, medan DKIM-infrastrukturen och rotationen av DKIM-nycklar sköts av den tredje part som posten pekar på. 

Till exempel, 

"domain.com" är den domän från vilken e-postmeddelanden ska signeras och "third-party.com" är den leverantör som ska hantera signeringsprocessen. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

CNAME-posten ovan måste publiceras i domänägarens DNS. 

Nu har s1.domain.com.third-party.com redan en DKIM-post publicerad i sin DNS som kan användas: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Den här informationen kommer att användas för att signera e-postmeddelanden som kommer från domain.com. 

Obs: Du måste publicera flera DKIM-poster (rekommenderat: minst 3 CNAME-poster) med olika selektorer på din DNS för att möjliggöra DKIM-nyckelrotation. Detta gör det möjligt för din leverantör att växla mellan nycklar under signeringen och ger dem alternativa alternativ.

4. Automatisk rotation av DKIM-nyckeln

De flesta e-postleverantörer och tredjepartsleverantörer av e-posttjänster möjliggör automatisk DKIM-nyckelrotation för kunder. Om du till exempel använder Office 365 för att dirigera din e-post kommer du att bli glad att få veta att Microsoft stöder automatisk DKIM-nyckelrotation för sina Office 365-användare. 

I vår kunskapsbas finns ett fullständigt dokument om hur du aktiverar DKIM-nyckelrotation för din Office 365-mejl. 

Fördelar med att automatiskt rotera dina DKIM-nycklar

  • Du behöver inte göra någonting om din leverantör tillåter automatisk rotation av DKIM-nycklar. Allt hanteras av dem. 
  • Manuella konfigurationer är känsliga för mänskliga fel.
  • Den automatiska nyckelrotationen är snabb och effektiv och kräver ingen inblandning från din sida. 
  • DKIM-hanteringssystemet är helt utlokaliserat och hanteras av en tredje part.

Implementering av en strategi för rotation av DKIM-nycklar

Vi kallar det för "3 D:n av DKIM-nyckelrotation":

  • Diskutera 
  • Bestäm dig för
  • Distribuera 

Detta sammanfattar en effektiv DKIM-nyckelrotationsstrategi för dina domäner. När du använder en tjänst från tredje part för din e-post och leverantören hanterar rotationen åt dig, se till att ni har en öppen och tydlig diskussion om när och hur ofta ni vill rotera era nycklar. Du bör ha inflytande över tidtabellerna och vilken storlek du vill använda för din valnyckel (om du vill använda 1024 bitar eller 2048 bitar för ökad säkerhet). 

När diskussionsfasen är över måste du och din leverantör gemensamt besluta om vilken strategi ni ska ha och slutligen fortsätta att implementera den.