DMARC – Domain-based Message Authentication, Reporting and Conformance
En introduktion till DMARC
DMARC är en teknik som används för att skydda mot e-postbedrägerier genom att verifiera avsändarens identitet. Det är en av flera teknologier som används för att hantera problem med skräppost, phishing och andra former av bedrägerier som används för att lura mottagare att avslöja känslig information eller ladda ner skadlig kod.
Hur fungerar DMARC?
DMARC fungerar genom att tillåta avsändaren att ange en policy för hur mottagare ska hantera e-post som kommer från deras domän. Policyen innehåller information om vilka e-postmeddelanden som ska accepteras, vilka som ska avvisas och vilka som ska behandlas med försiktighet. DMARC-verifiering används också för att garantera att avsändarens identitet är verifierad och att e-postmeddelandet inte har blivit ändrat under överföringen.
Skillnaden mellan DMARC, SPF och DKIM
DMARC är en teknik som kompletterar SPF och DKIM. SPF (Sender Policy Framework) tillåter avsändare att ange vilka IP-adresser som är godkända för att skicka e-post för deras domän. DKIM (DomainKeys Identified Mail) tillåter avsändare att skriva en digital signatur i e-postmeddelandet som kan verifieras av mottagarens e-postserver. Tillsammans arbetar dessa teknologier för att verifiera att e-postmeddelanden kommer från en giltig källa och inte har manipulerats under överföringen.
Hur man implementerar DMARC
Implementering av DMARC kan göras i flera steg, beroende på organisationens befintliga e-postinfrastruktur och mål. Det första steget är att konfigurera SPF och DKIM för domänen. Därefter kan man gradvis stärka DMARC-policyn och öka graden av skydd och autenticitet.
Fördelar med DMARC
Fördelarna med DMARC inkluderar minskning av spoofing, ökad e-postleverans, bättre varumärkesskydd och skydd mot phishing och bedrägerier. DMARC hjälper också till att förbättra förtroendet för avsändarens domän, vilket i sin tur kan öka öppnings- och klickfrekvenserna för legitima e-postmeddelanden.
Vanliga utmaningar med DMARC
En utmaning med DMARC är att det kan ta tid att implementera och testa för att säkerställa att det inte stör befintliga e-postleveransrutiner. Det finns också vissa tekniska begränsningar i vissa e-postsystem som kan göra implementeringen mer utmanande. En annan utmaning är att förstå DMARC-data och hur man kan använda dem för att optimera sin e-postleverans.
Bästa praxis för DMARC
Några bästa praxis för DMARC inkluderar att börja med en ”p=none” policy för att samla in data och övervaka e-postmeddelanden som skickas från domänen. Det är också viktigt att kontinuerligt analysera DMARC-data och justera DMARC-policyn efter behov för att förbättra skyddet och autenticiteten. Andra bästa praxis inkluderar att informera din organisation och dina leverantörer om DMARC-implementeringen och att arbeta med en kvalitetsleverantör av e-posttjänster för att säkerställa att DMARC inte stör befintliga leveransrutiner.
DMARC-policy
DMARC har tre huvudsakliga policyinställningar: ”none”, ”quarantine” och ”reject”. När en DMARC-policy är inställd på ”none”, kommer ingen åtgärd att tas på e-postmeddelanden som misslyckas med SPF- eller DKIM-kontroll. Istället kan DMARC användas för att övervaka och samla in data om e-post som skickas från domänen. När DMARC-policyinställningen är inställd på ”quarantine”, kommer e-postmeddelanden som misslyckas med SPF- eller DKIM-kontroll att märkas som potentiellt skadliga och kan skickas till mottagarens skräppostmapp. När DMARC-policyinställningen är inställd på ”reject”, kommer e-postmeddelanden som misslyckas med SPF- eller DKIM-kontroll att avvisas och inte levereras till mottagarens inkorg.
DMARC e-postrapporter
DMARC e-postrapporter, inklusive RUA (Aggregate) och RUF (Failure), ger avsändare insikt i hur deras DMARC-policy fungerar och hur den påverkar deras e-postleverans. RUA-rapporter ger en sammanfattning av e-postmeddelanden som har passerat SPF- och DKIM-kontrollen, inklusive information om avsändare, mottagare, tidpunkt och status. RUF-rapporter ger information om e-postmeddelanden som har misslyckats med SPF- eller DKIM-kontroll, inklusive detaljer om varför kontrollen misslyckades. DMARC e-postrapporter kan användas för att identifiera eventuella problem med e-postleverans och skydd och för att hjälpa avsändare att förbättra sin DMARC-policy.
Syntax för DMARC
DMARC använder en textbaserad syntax för att definiera DMARC-policyn för en given domän. Syntaxen följer RFC 7489-standarden och består av flera nyckelvärden som definierar DMARC-policyn. Här är en beskrivning av de viktigaste nyckelvärdena:
”v”: Detta nyckelvärde definierar DMARC-versionen som används. Den aktuella versionen av DMARC är ”v=DMARC1”.
”p”: Detta nyckelvärde definierar DMARC-policyinställningen. Det kan sättas till ”none”, ”quarantine” eller ”reject”. När den är inställd på ”none”, samlas data om e-postmeddelanden in men ingen åtgärd tas. När den är inställd på ”quarantine”, kan potentiellt skadliga e-postmeddelanden märkas och skickas till mottagarens skräppostmapp. När den är inställd på ”reject”, avvisas e-postmeddelanden som inte klarar SPF- eller DKIM-kontrollen.
”rua”: Detta nyckelvärde definierar en URI (Uniform Resource Identifier) som används för att skicka RUA-rapporter till. Avsändaren kan specificera flera URI:er separerade med kommatecken.
”ruf”: Detta nyckelvärde definierar en URI som används för att skicka RUF-rapporter till. Avsändaren kan specificera flera URI:er separerade med kommatecken.
”adkim”: Detta nyckelvärde definierar hur DKIM-signaturer ska hanteras när den verifieras. Det kan sättas till ”r” för att kräva att DKIM-signaturen måste matcha domänen som används för att verifiera signaturen, eller ”s” för att acceptera signaturen om domänen som används för att verifiera signaturen är en del av det ursprungliga domännamnet.
”aspf”: Detta nyckelvärde definierar hur SPF-resultat ska hanteras när det verifieras. Det kan sättas till ”r” för att kräva att SPF-resultatet måste matcha domänen som används för att verifiera resultatet, eller ”s” för att acceptera resultatet om domänen som används för att verifiera resultatet är en del av det ursprungliga domännamnet.
”fo”: Detta nyckelvärde definierar vad som ska rapporteras i RUF-rapporterna. Det kan sättas till ”0” för att rapportera alla misslyckade DMARC-resultat, ”1” för att rapportera alla DMARC-resultat och ”d” för att rapportera endast DMARC-resultat som orsakas av bristande SPF- eller DKIM-verifiering.
”sp”: Detta nyckelvärde definierar SPF-policyinställningen. Det kan sättas till ”none”, ”quarantine” eller ”reject”. När det är inställt på ”none”, samlas data om SPF-resultatet in men ingen åtgärd tas. När det är inställt på ”quarantine”, kan potentiellt skadliga e-postmeddelanden märkas och skickas till mottagarens skräppostmapp. När det är inställt på ”reject”, avvisas e-postmeddelanden som inte klarar SPF-kontrollen.
”pct”: Detta nyckelvärde definierar en procentandel av e-postmeddelanden som ska behandlas enligt DMARC-policyn. Det kan vara användbart att gradvis införa DMARC-policyn på en domän och använda en lägre procentandel för att undvika att alla e-postmeddelanden avvisas.
Här är några exempel på DMARC-poster:
Exempel 1:
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]"
I detta exempel sätts DMARC-policyinställningen till ”none”, vilket innebär att ingen åtgärd tas för e-postmeddelanden som inte klarar SPF eller DKIM-kontrollen. RUA- och RUF-rapporter skickas till de angivna e-postadresserna.
Exempel 2:
_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; sp=none; pct=25; rua=mailto:[email protected]"
I detta exempel sätts DMARC-policyinställningen till ”quarantine”, vilket innebär att potentiellt skadliga e-postmeddelanden märkas och skickas till mottagarens skräppostmapp. SPF-kontrollen sätts till ”none”. Endast 25% av e-postmeddelanden behandlas enligt DMARC-policyn. RUA-rapporter skickas till den angivna e-postadressen.
Exempel 3:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"
I detta exempel sätts DMARC-policyinställningen till ”reject”, vilket innebär att alla e-postmeddelanden som inte klarar SPF- eller DKIM-kontrollen avvisas. SPF-policyinställningen sätts också till ”reject”. RUA- och RUF-rapporter skickas till de angivna e-postadresserna.
Sammanfattning
DMARC är en teknik som är viktig för att skydda organisationer mot e-postbedrägerier genom att verifiera avsändarens identitet och begränsa spoofing och phishing. Genom att använda DMARC tillsammans med SPF och DKIM kan organisationer förbättra sin e-postleverans och skydda sina varumärken och kunder från bedrägerier och skadlig kod. Implementering av DMARC kan vara utmanande, men med rätt förberedelse och övervakning kan organisationer stärka sin e-postinfrastruktur och skydda sin verksamhet.
