Ingen falske e-mails med DMARC

Vi får en snak om e-mail sikkerhed på jeres domæne og om der sendes e-mails fra andre systemer, end der hvor jeres e-mail går ind. Det kan fx være nyhedsbrev, webshop, faktura eller lignende.

Jeg opsætter SPF og/eller DKIM for godkendte afsendere af e-mail fra jeres domæne. Herefter udføres en test af e-mail for at sikre at opsætningen er udført korrekt.

DMARC indstilles til overvågnings tilstand. På den måde fanges hvis der sendes e-mail fra andre systemer, end dem der allerede er identificeret. Systemet kører i overvågnings tilstand i 1-2 måneder. Herefter gennemgås data og der tilføjes eventuelle systemer der skal have tilladelse til at sende e-mail fra domænet.

DMARC indstilles nu til afvisnings tilstand. Dvs. kun mails sendt fra godkendte systemer går igennem til modtageren. Alle andre forsøg på at sende e-mails fra domænet, vil blive afvist af de modtagende mail-servere.

For at sikre at e-mail sikkerheden kører som den skal, og bliver ved med at køre som den skal, overvåges de tilbagemeldinger der kommer fra de modtagende mail-servere. Herudover overvåges også domæne informationerne i DNS.

Overvågning af e-mail leverancer er nødvendig da der kan forekomme ændringer i anvendte mail systemer. Herudover kan der også, utilsigtet, blive foretaget ændringer i DNS for jeres domæne som ødelægger sikkerheden – og samtidig forhindrer rigtige mails i at komme frem.

Nej, der foretages ingen ændringer i jeres mail programmer, på jeres computere eller telefoner. E-mail sikkerheden foretages i de oplysninger der er i DNS for jeres domænenavn, helt uden at I skal foretage jer noget.

Når den modtagende e-mail server ser at dit domæne er sikret, så behandles din mail også derefter. Med andre ord så “scorer” din mail højere i de systemer der scanner e-mails og vurderer om de skal i uønsket post eller direkte i modtagerens indbakke.

Systemet er meget sikkert og bygger på velkendte protokoller som alle er godt gennemtestede. SPF blev introduceret i år 2000, DKIM i år 2004 og sidst er DMARC kommet til i år 2012. Efter indførsel af systemet, er den største risiko for at ondsindede misbruger dit domæne, hvis de fx får fat i din computer eller hvis de lokker e-mail og kode ud af dig via en falsk hjemmeside.

De kriminelle går typisk efter de virksomheder som endnu ikke har indført e-mail sikkerhed. I takt med at cyberkriminaliteten er stærkt stigende, så øges risikoen også for at man bliver udset som næste offer. Derfor er det en rigtig god idé at få indført systemet nu, inden det er for sent.

Ja, det kan du godt. Det kan faktisk også gøres helt uden at du skal have penge op af lommen. Det kræver at du sætter dig grundigt ind i hvordan e-mail systemer virker, samt hvordan SPF, DKIM og DMARC virker. Herudover skal du overvåge de mange tilbagemeldinger du får fra de modtagende mail-servere (en xml fil for hver mail der er afsendt fra dit domæne). De kan godt læses en efter en, men der findes mange værktøjer som kan gøre det for dig og præsentere dig for om SPF og DKIM er godkendt, samt det samlede DMARC resultat. Disse værktøjer koster dog typisk et beløb hver måned.

For at forstå hvordan SPF, DKIM og DMARC fungerer hver for sig og sammen, så er man nødt til at forstå, at en e-mail har en skjult reel afsender adresse samt en synlig afsender adresse.

Den synlige e-mail adresse er den du ser som afsender i dit mail-program. Problemet er bare, at det også er denne adresse der typisk spoofes, altså ændres af den reelle afsender. Det kan den, fordi den synlige adresse er en del af mailen på samme måde som emne og indhold, altså er det helt valgfrit hvad der angives. Den synlige e-mail adresse kaldes også header-from og display-from (RFC5322.From).

Den usynlige adresse, som du ikke umiddelbart kan se i dit mail-program, er den reelle tekniske afsender af e-mailen (den som benyttes til at kommunikere direkte med mail-serveren via SMTP protokollen). Den usynlige e-mail adresse kaldes bl.a. også for mail-from, return-path og envelope-from (RFC5321.From).

Herunder illustration af en normal e-mail, hvor usynlig og synlig afsender adresse er ens:

Det behøves ikke være ondsindet spoofing, hvis den usynlige e-mail adresse ikke stemmer overens med den synlige e-mail adresse. Fx vil den usynlige adresse ændres ved automatisk videresendelse, automatisk svar, eller i det tilfælde hvor et andet godkendt system afsender e-mails på vegne af dit domænenavn.

DNS er det system der oversætter et navn på internettet, fx postmaskinen.dk, til en IP adresse. DNS benyttes også til andre oplysninger om et domæne, bl.a. hvilken server der skal modtage e-mail. DNS indeholder også oplysninger (“DNS-records”) som bruges i forbindelse med SPF, DKIM og DMARC. DNS for et domæne er i øvrigt offentligt tilgængeligt og kan ses af enhver.

En SPF-record for et domæne indeholder oplysninger om hvilke servere der må sende mail på vegne af domænet. Din e-mail udbyder (der hvor du også får mail ind) skal naturligvis stå i SPF for dit domæne, men herudover skal der også tilføjes andre der sender e-mails på dit domænes vegne, fx hvis du sender nyhedsbrev ud via en e-mail tjeneste som MailChimp eller lignende.

SPF tjekker op på det tekniske afsender domæne, altså RFC5321.From. Det er derfor muligt at forfalske den afsender adresse der vises i modtagerens mail-program. Af den grund står SPF ikke særlig stærkt, uden at man også indfører DMARC. Desværre opstår der et problem med SPF og DMARC når en e-mail bliver automatisk videresendt, da dette ofte indebærer at den tekniske afsender udskiftes med den der videresender e-mailen – og DMARC SPF tjekket fejler. Heldigvis er dette ikke tilfældet for DKIM.

Med DKIM benyttes kryptografiske nøgler til at verificere både afsender samt indhold af e-mailen. Det gøres ved at mail-server indsætter en digital signatur ved hjælp af den private nøgle på alle udgående e-mail. Ved hjælp af den offentlige nøgle, som er publiceret i afsender domænets DNS, bliver mailen dekrypteret og indhold og afsender bliver verificeret. I DKIM signaturen angives selektor og afsender-domæne. Man kan have flere selektorer hvis man sender e-mail fra flere servere. DMARC tjekker om domænet angivet i DKIM signaturen er den samme som den viste afsender-adresse i e-mailen.

I modsætning til SPF, kan DKIM “overleve” at e-mailen bliver automatisk videresendt inden den når frem til endelig modtager. Dette skyldes at DKIM signaturen er en del af selve indholdet i e-mailen. Derfor er DKIM vigtigere at få konfigureret end SPF, men det er selvfølgelig helt optimalt hvis begge teknologier bliver benyttet.

DMARC tjekker om reel e-mail afsender matcher den viste e-mail adresse, altså om der er overensstemmelse imellem RFC5321.From og RFC5322.From, både i forhold til SPF-afsender domænet samt for d-værdien (domain) for DKIM. Er begge disse ikke ens, så vil mailen blive afvist af den modtagende mail server. Er enten SPF domænet eller DKIM domænet ens, så vil e-mailen gå igennem og blive leveret. DMARC indfører altså et ekstra nødvendigt lag af kontrol, for at sikre at e-mailen er god nok.

Med DMARC får man også tilsendt rapporter fra de modtagende mail-servere. Rapporterne er udformet i xml format og indeholder oplysninger om hvorvidt e-mail’s er SPF godkendt, DKIM godkendt og endelig om DMARC er godkendt. Rapporterne er lidt forskellige alt afhængig af hvem modtageren er, fx. oplyser Google ikke modtager domænet, det gør Microsoft derimod. Ofte benyttes et værktøj til at analysere xml filerne og man præsenteres for data præsenteret i overskuelig form. Det er vigtigt at holde øje med disse rapporter, da ændringer i DNS eller mail-udbyderens opsætning kan resultere i at e-mails ikke bliver leveret.