Forståelse af DMARC

Selvom e-mail marketing og nyhedsbreve langt fra er et nyt fænomen, begynder flere og flere organisationer at bruge det mere aktivt i deres marketing- og kommunikationsaktiviteter. Og det kan naturligvis også ses på den store stigning i antal e-mails, der sendes og modtages hver dag. Dette tal har været stigende i en del år, og ligger i 2024 på ca. 300 mia. e-mails om dagen på verdensplan.

Men med den stigende mængde e-mails, er behovet for mere sikkerhed også stigende. En af disse sikkerhedsforanstaltninger er DMARC, der hjælper dig med at minimere risikoen for, at din organisation bliver misbrugt i spoofing-angreb.

Når vi i Ubivox taler med kunder om fordelene ved at opsætte DMARC, kan folk hurtigt se fidusen i det. Men når det så kommer til at få det gjort, halter organisationerne ofte, fordi det virker komplekst og svært.

Med dette blogindlæg vil vi derfor forsøge at afmystificere konceptet, så du kan blive klogere på DMARC og blive klar til at opsætte det på dit domæne. I blogindlægget kan du bl.a. blive klogere på: Hvad er DMARC, hvorfor er det vigtigt for din e-mailindsats og hvordan opsætter du det?

Hvad er DMARC, og hvorfor er det vigtigt for din e-mailindsats?

De fleste af os har oplevet det. Man får en e-mail fra PostNord eller GLS, hvor der står, at man har en pakke, der venter på en. Man skal bare lige trykke på linket for at få yderligere informationer. Der er selvfølgelig tale en spoofing-mail, hvor IT-kriminelle udgiver sig for at være en etableret virksomhed, for at bruge deres troværdighed til at få dig til at reagere.

For at undgå, at din organisation bliver misbrugt i et angreb mod godtroende personer, er der en række sikkerhedsforanstaltninger, du kan gøre brug af.

Først og fremmest er der dit Sender Policy Framework (SPF), der fortæller e-mailklienterne, at dit e-mailsystem må sende e-mails på dine vegne (altså på vegne af dit domæne). Hvis du fx bruger Ubivox til at udsende nyhedsbreve, vil modtager-serveren registrere, at Ubivox forsøger at sende en e-mail på baggrund af dit domæne – her vil din SPF være et udtryk for, at du har godkendt dette.

Dernæst er der din Domain Keys Identified Mail (DKIM), der tilføjer en digital signatur til hver e-mail. Denne signatur viser modtagerserveren, at der er tale om en autentisk besked. I 2024 blev det et krav fra både Gmail og Yahoo, at bulk senders, har opsat SPF og DKIM, hvis man ikke vil lande i spammappen. Derudover har det længe været et krav i de fleste e-mailplatforme – herunder Ubivox.

Men hvad sker der så, når en modtagerserver registrerer e-mails fra dig eller dit domæne, der ikke stemmer overens med din SPF eller DKIM?

Det er her Domain Based Message Authentication, Reporting and Conformance (DMARC) kommer ind i billedet.

Først og fremmest fortæller din DMARC, hvad modtagerserveren skal gøre, hvis andre personer (organisationer eller IT-kriminelle) forsøger at trænge beskeder igennem SPF- og DKIM-foranstaltningerne, der ser ud til at være fra dig.

Her er der tre muligheder:

1. Modtagerserveren skal lade e-mailen trænge igennem alligevel (none)
2. Modtagerserveren skal sende din e-mail i spammappen (quarantine)
3. Modtagerserveren skal afvise din e-mail helt (reject)

Samtidig kan du opsætte din DMARC, så du får besked, når der er udsendt ikke-godkendte e-mails, der ser ud til at komme fra dit domæne – altså hvis dit brand er ved at blive misbrugt i spoofing-angreb. Disse beskeder kan fx komme i form af daglige rapporter.

Fordele ved at opsætte DMARC

Når du opsat DMARC på dit domæne, medfører det flere fordele:

• Du forbedrer din e-mailsikkerhed
• Du kan forbedre din leveringsevne
• Du kan hurtigere reagere, hvis din organisation bliver misbrugt i spoofing-angreb (og supportere kunder eller andre interessenter, der evt. er ramt i disse angreb)
• Du kan nemmere identificere blokerede e-mails – og har bedre forudsætninger for at rette op på fejl, der har forårsaget blokeringerne
• Du kan hurtigere identificere problemer i din autentificering (fx opsætningen af SPF og DKIM)

Opsætning af DMARC

Helt konkret skal din DMARC sættes op i din DNS. Der kan være stor forskel på, hvordan man tilgår og ændrer i sin DNS – det kommer ofte an på din websiteudbyder. Hvis du er i tvivl om, hvor du finder din DNS, vil vi anbefale, at du derfor tager kontakt til supporten hos din websiteudbyder. De kan med sikkerhed fortælle dig, hvor og hvordan du skal gøre, i dit konkrete tilfælde.

Koden, du skal indsætte i din DNS, afhænger dog af, hvilken politik, du vil gøre brug af. Som nævnt tidligere, findes der overordnet set 3 forskellige DMARC-politiker. Dem kan du læse mere om nedenfor.

Når du har opsat din DMARC, findes der flere værktøjer, der kan hjælpe dig med monitorere og rapportere på aktivitet, så du har et bedre overblik, og rapporterne ikke går tabt i din e-mailindbakke. Her kan vi bl.a. anbefale værktøjet, EasyDMARC.

DMARC-politik: None

Den første DMARC-politik fortæller modtagerserveren, at der ikke skal foretages nogen handling. Altså at de skal lade e-mailen passere. Og så kan man hurtigt tage sig selv i at tænke, hvad formålet egentlig er med at sætte den op, hvis den reelt set ikke gør noget.

Svaret ligger i, at du stadig modtager dine DMARC-rapporter og kan reagere, hvis der sker uregelmæssigheder. Herefter kan du overveje at ændre din DMARC til en strengere politik. Fordelen er, at du ikke risikerer at legitime e-mails fra dig sendes i spammappen eller blokeres ved en fejl. Hvis man er en mindre organisation, der umiddelbart ikke ligger i farezonen for spoofing-angreb, kan det derfor være en fordel af vælge denne politik. Større og mere velkendte brands vil ofte være hårdere ramt af disse angreb.

Koden til denne politik kan være:

“v=DMARC1; p=none; rua=mailto:dinmail@ditdomæne.com”

Den sidste del af koden sender dine rapporter til dine e-mail. Her skal du selvfølgelig bare indsætte din e-mailadresse. Hvis du vil sende rapporter til flere personer i din organisation, skal du bare indsætte et komma og et mellemrum efter din egen e-mailadresse og tilføje den næste.

DMARC-politik: Quarantine

Hvis du har brug for en strengere DMARC-politik, kan du gøre brug af ”quarantine”, der sender ikke-autoriserede e-mails i modtagerens spammappe. Fordelen ved at vælge denne løsning er, at hvis legitime e-mails fra dig fejlagtigt bliver fanget af DMARC, har modtageren stadig mulighed for at grave den frem i deres spammappe.

Koden til denne politik kan være:

“v=DMARC1; p=quarantine; rua=mailto:dinmail@ditdomæne.com”

DMARC-politik: Reject

Den sidste og strengeste DMARC-politik er ”reject”. Her blokeres e-mails, der bliver fanget af DMARC. Fordelen er, at modtageren slet ikke kan tilgå e-mails, der bliver fanget af DMARC – modsat de to andre løsninger. Ved løsning to kan modtageren fx komme til at se og tilgå e-mailen i spammappen og potentielt set handle ud fra det (også hvis der er tale om spoofing). Ulempen ved denne tilgang er selvfølgelig, at der kan være legitime e-mails fra dig, der ender med at blive blokeret. Derfor stiller det store krav til, at der konstant monitoreres over aktivitet, så du kan foretage handlinger, hvis dine egne e-mails bliver blokeret.

Koden til denne politik kan være:

“v=DMARC1; p=reject; rua=mailto:dinmail:ditdomæne.com”

Vigtige overvejelser før du opsætter dine DMARC-politiker

Inden du starter med at implementere din DMARC, bør overveje at skrue gradvist op for, hvor strenge dine politiker er, i stedet for at starte med den strengeste. Hvis du starter med at sætte din politik til at være ”quarantine” eller ”reject”, kan du risikere, at legitime e-mails fra dig bliver blokeret. Når du har monitoreret DMARC-aktiviteten i en periode, kan du efterfølgende skrue op og tilpasse din politik, når du har konkluderet, at den fungerer som den skal.

Hvis nogle af dine e-mails ender i spammappen eller bliver afvist helt, får du selvfølgelig besked om det, men det medfører også en del oprydningsarbejde. Hvis det er vigtigt, at modtageren ser din e-mail, skal du først identificere modtagere, der ikke har fået e-mailen og derefter gensende den. Her kan der være en vis grad af manuelt gravearbejde.

Sender du e-mails gennem Ubivox og har opsat DMARC på dit domæne?

Når du opsat DMARC på dit domæne, kræver det en ekstra opsætning i Ubivox-platformen for at opnå DMARC-alignment. Du kan mere om, hvordan du opnår DMARC-alignment i vores guide.