Email sikkerhed med DMARC

Det står virkelig dårligt til med e-mail sikkerheden i Danmark. Mange virksomheder har ikke styr på deres DNS SPF records og er derfor slet ikke klar til DMARC, som ellers giver virksomhedens email modtagere en sikkerhed for, at afsenderen virkelig er hvem afsenderen udgiver sig for at være. Altså en sikkerhed imod misbrug og falske mails.

Kilde: https://status.dmarc.dk/

Hvad er DMARC?

DMARC gør det muligt at fortælle en email udbyder (ESP), hvordan de skal håndtere en email hvor afsender domænets SPF og DKIM check fejler. Her er altså tale om en “overbygning” oven på SPF og DKIM standarderne, som derfor skal være korrekt opsat på dit email domæne, før du tænker på at sætte DMARC op.

Opsætningen foregår via DNS og fortæller via en policy hvad modtager email systemet skal gøre i tilfælde af at SPF og DKIM ikke godkendes. Denne policy kan f.eks. fortælle at emails skal i spam/junk/karantæne, eller at emailen slet ikke må modtages.

Lad os antage at du har et domæne – skat.dk – og har opsat korrekt SPF, DKIM og DMARC, så vil du altså kunne garantere (i det mindste hos alle de seriøse email udbydere), at der ikke kan sidde nogen og sende falske emails på vegne af skat.dk til deres email brugere.

SPF – Sender Policy Framework

Helt kort, så angiver du med SPF (en TXT record i DNS) hvilke ip-adresser du tillader må sende emails fra dit afsender domæne. Der er derfor nemt at checke for en email udbyder, når denne modtager en email, om der findes en SPF record på afsender domænet og om afsender mailserveren er nævnt i denne.

DKIM – DomainKeys Identified Mail

Det er ikke helt så nemt at opsætte DKIM, da dette kræver opsætning på afsender email serveren udover ændringer i DNS for afsender domænet. Afsender email serveren laver en RSA signatur ved hjælp af en privat krypterings nøgle, som kun afsender mailserveren kender. Denne signatur sendes med i emailen, og når en modtager mailserver læser denne, kan den ved hjælp af den offentlige del af krypteringsnøglen (som den slår op i DNS), afgøre om emailen med sikkerhed af afsendt af en godkendt mailserver (som kender den private nøgle).


Brug for hjælp til implementering af DMARC?

Tag kontakt hvis I har brug for hjælp til at forbedre sikkerheden på Jeres email afsendelser eller modtagelser.