Ingen falske e-mails med DMARC

Rigtig mange virksomheder har endnu ikke fået indført grundlæggende e-mail sikkerhed på deres domænenavn. Der er derfor risiko for at domænet benyttes til e-mail spoofing, herunder udsendelse af phishing mails, ransomware og “direktør svindel”. Disse angreb er støt stigende, og enhver der bruger e-mail på eget domænenavn, bør derfor minimere risikoen ved at indføre teknologierne SPF, DKIM og DMARC.

Falske mails fra dit domænenavn
Når kriminelle bruger din virksomheds domænenavn, sendes der e-mails, som ser ud til at komme fra virksomhedens domænenavn. E-mails sendes ofte til kunder, leverandører, tilfældige og internt i virksomheden. Både virksomheden selv, samt kunder og kontakter, risikerer dermed at blive ofre for økonomisk kriminalitet og lignende.

“Angreb via spam, phishing og spoofing er stigende i antal, og det er derfor værd at vurdere ethvert tiltag, der kan reducere risikoen. Derfor anbefaler Center for Cybersikkerhed, at organisationer implementerer teknologien DMARC”
Kilde: www.cfcs.dk

Gratis teknologi
Teknologierne er helt gratis at bruge, så det er ikke udsigten til dyre licenser der forhindrer at sikkerheden tages i brug. Alligevel er det en udfordring, særligt for helt små virksomheder, at sætte sig ind i disse teknologier – og ikke mindst, at få dem opsat korrekt og sørget for løbende vedligeholdelse samt overvågning. Forkert opsætning kan resultere i at mails ikke kommer frem til modtageren.

Jeg hjælper dig med det tekniske
Jeg hjælper mindre virksomheder med at indføre disse vigtige teknologier – også uden at det koster en formue. Oprettelsen koster kun 1.600 kr. Jeg sørger for overvågning af dit domæne samt e-mail rapportering for kun 2 kroner pr. domæne om dagen. Nævnte priser er ex. moms.

En god idé at indføre e-mail sikkerhed

Risiko og fordele i forhold til e-mail sikkerhed, eller mangel på samme, på dit domænenavn.

Ja tak, kontakt mig vedr. e-mail sikkerhed

Priserne gælder kun for mindre virksomheder med max 2.500 afsendte e-mails om måneden.

Oprettelse: 1.600 kr.
Overvågning per år: 730 kr.

Please enable JavaScript in your browser to complete this form.

Hvordan virker DMARC e-mail sikkerhed?

Helt kort fortalt, så sørger DMARC for, sammen med SPF og DKIM, at falske e-mails ikke kan sendes fra dit domænenavn.
– SPF angiver hvilke e-mail servere der er godkendt til at sende e-mail fra dit domænenavn
– DKIM signerer indholdet og sikrer, at indholdet ikke er ændret undervejs fra dig til modtager
– DMARC tjekker om reel e-mail afsender matcher den viste e-mail adresse

Det kan være lidt svært at forklare hvordan DMARC virker, så jeg har lavet en illustration som forhåbentlig gør det lidt lettere:

Anvender afsender DMARC?
Modtagende e-mail server slår op i DNS for afsender-domænet og tjekker om der anvendes DMARC eller ej. Hvis ikke, så ryger mailen til punkt 4. Anvendes der DMARC ryger mailen til punkt 2.

Er SPF og/eller DKIM godkendt?
DMARC udfører verifikation af SPF og DKIM. Såfremt SPF og/eller DKIM bliver godkendt, ryger mailen videre til punkt 4. Går SPF og DKIM ikke igennem DMARC verifikation, så ryger mailen til punkt 3.

Brug afsenders DMARC politik
DMARC politikken for afsender-domænet afgør nu e-mailens skæbne. Er DMARC politikken sat til p=none gøres ingenting og e-mailen ryger videre til punkt 4. Er DMARC politikken sat til p=reject bliver e-mailen slettet og når altså aldrig modtagers indbakke.

Inden DMARC er fuldt indført for domænet, er politikken sat til p=none for at identificere alle godkendte afsendere af e-mail for domænet. Når alle godkendte afsendere er identificeret, sættes politikken til p=reject og falske e-mail bliver nu slettet.

Almindelig scan af e-mail
Mailen modtages af e-mail serveren som udfører sin sædvanlige scanning og filtrering, inden mailen bliver leveret i modtagers indbakke.

Vil du vide mere om DMARC? Gå til teknisk viden.

Sådan indføres e-mail sikkerhed

Først og fremmest skal der identificeres hvilke afsendere der skal sende e-mail på jeres domæne. Det er selvfølgelig fra jeres e-mail udbyder, men muligvis også fra fx en webshop, et nyhedsbrev eller lignende. Herefter indstilles SPF og DKIM korrekt for de tilladte afsendere af mail og overvågning kan herefter sættes i gang med DMARC.

I kontakter mig og vi får en snak

Vi får en snak om e-mail sikkerhed på jeres domæne og om der sendes e-mails fra andre systemer, end der hvor jeres e-mail går ind. Det kan fx være nyhedsbrev, webshop, faktura eller lignende.

E-mail sikkerhed sættes op og testes

Jeg opsætter SPF og/eller DKIM for godkendte afsendere af e-mail fra jeres domæne. Herefter udføres en test af e-mail for at sikre at opsætningen er udført korrekt.

Overvågning af e-mail aktivitet

DMARC indstilles til overvågnings tilstand. På den måde fanges hvis der sendes e-mail fra andre systemer, end dem der allerede er identificeret. Systemet kører i overvågnings tilstand i 1-2 måneder. Herefter gennemgås data og der tilføjes eventuelle systemer der skal have tilladelse til at sende e-mail fra domænet.

Afvisnings tilstand aktiveres

DMARC indstilles nu til afvisnings tilstand. Dvs. kun mails sendt fra godkendte systemer går igennem til modtageren. Alle andre forsøg på at sende e-mails fra domænet, vil blive afvist af de modtagende mail-servere.

Der holdes øje med systemerne

For at sikre at e-mail sikkerheden kører som den skal, og bliver ved med at køre som den skal, overvåges de tilbagemeldinger der kommer fra de modtagende mail-servere. Herudover overvåges også domæne informationerne i DNS.

Overvågning af e-mail leverancer er nødvendig da der kan forekomme ændringer i anvendte mail systemer. Herudover kan der også, utilsigtet, blive foretaget ændringer i DNS for jeres domæne som ødelægger sikkerheden – og samtidig forhindrer rigtige mails i at komme frem.

Ofte stillede spørgsmål

Jeg får mange af de samme spørgsmål fra kunder der ønsker e-mail sikkerhed for deres domæne. Dem finder du herunder sammen med et svar.

Skal der ændres noget i vores mail program og på vores computere/telefoner?

Nej, der foretages ingen ændringer i jeres mail programmer, på jeres computere eller telefoner. E-mail sikkerheden foretages i de oplysninger der er i DNS for jeres domænenavn, helt uden at I skal foretage jer noget.

Hvordan øger e-mail sikkerheden mine mails i at nå frem til modtager?

Når den modtagende e-mail server ser at dit domæne er sikret, så behandles din mail også derefter. Med andre ord så “scorer” din mail højere i de systemer der scanner e-mails og vurderer om de skal i uønsket post eller direkte i modtagerens indbakke.

Hvor sikkert er systemet?

Systemet er meget sikkert og bygger på velkendte protokoller som alle er godt gennemtestede. SPF blev introduceret i år 2000, DKIM i år 2004 og sidst er DMARC kommet til i år 2012. Efter indførsel af systemet, er den største risiko for at ondsindede misbruger dit domæne, hvis de fx får fat i din computer eller hvis de lokker e-mail og kode ud af dig via en falsk hjemmeside.

Jeg er gået fri indtil videre, hvorfor skal jeg have e-mail sikkerhed nu?

De kriminelle går typisk efter de virksomheder som endnu ikke har indført e-mail sikkerhed. I takt med at cyberkriminaliteten er stærkt stigende, så øges risikoen også for at man bliver udset som næste offer. Derfor er det en rigtig god idé at få indført systemet nu, inden det er for sent.

Kan jeg selve sætte e-mail sikkerhed op på mit domæne?

Ja, det kan du godt. Det kan faktisk også gøres helt uden at du skal have penge op af lommen. Det kræver at du sætter dig grundigt ind i hvordan e-mail systemer virker, samt hvordan SPF, DKIM og DMARC virker. Herudover skal du overvåge de mange tilbagemeldinger du får fra de modtagende mail-servere (en xml fil for hver mail der er afsendt fra dit domæne). De kan godt læses en efter en, men der findes mange værktøjer som kan gøre det for dig og præsentere dig for om SPF og DKIM er godkendt, samt det samlede DMARC resultat. Disse værktøjer koster dog typisk et beløb hver måned.

Ja tak, kontakt mig vedr. e-mail sikkerhed

Priserne gælder kun for mindre virksomheder med max 2.500 afsendte e-mails om måneden.

Oprettelse: 1.600 kr.
Overvågning per år: 730 kr.

Please enable JavaScript in your browser to complete this form.

Mere viden om DMARC, SPF og DKIM

Dette afsnit er for de teknisk interesserede – og dem der måske vil prøve selv at sætte e-mail sikkerhed op på deres domæne.

2 afsender adresser på e-mails (?!)

For at forstå hvordan SPF, DKIM og DMARC fungerer hver for sig og sammen, så er man nødt til at forstå, at en e-mail har en skjult reel afsender adresse samt en synlig afsender adresse.

Den synlige e-mail adresse er den du ser som afsender i dit mail-program. Problemet er bare, at det også er denne adresse der typisk spoofes, altså ændres af den reelle afsender. Det kan den, fordi den synlige adresse er en del af mailen på samme måde som emne og indhold, altså er det helt valgfrit hvad der angives. Den synlige e-mail adresse kaldes også header-from og display-from (RFC5322.From).

Den usynlige adresse, som du ikke umiddelbart kan se i dit mail-program, er den reelle tekniske afsender af e-mailen (den som benyttes til at kommunikere direkte med mail-serveren via SMTP protokollen). Den usynlige e-mail adresse kaldes bl.a. også for mail-from, return-path og envelope-from (RFC5321.From).

Herunder illustration af en normal e-mail, hvor usynlig og synlig afsender adresse er ens:

Det behøves ikke være ondsindet spoofing, hvis den usynlige e-mail adresse ikke stemmer overens med den synlige e-mail adresse. Fx vil den usynlige adresse ændres ved automatisk videresendelse, automatisk svar, eller i det tilfælde hvor et andet godkendt system afsender e-mails på vegne af dit domænenavn.

DNS – Domain Name System

DNS er det system der oversætter et navn på internettet, fx postmaskinen.dk, til en IP adresse. DNS benyttes også til andre oplysninger om et domæne, bl.a. hvilken server der skal modtage e-mail. DNS indeholder også oplysninger (“DNS-records”) som bruges i forbindelse med SPF, DKIM og DMARC. DNS for et domæne er i øvrigt offentligt tilgængeligt og kan ses af enhver.

SPF – Sender Policy Framework

En SPF-record for et domæne indeholder oplysninger om hvilke servere der må sende mail på vegne af domænet. Din e-mail udbyder (der hvor du også får mail ind) skal naturligvis stå i SPF for dit domæne, men herudover skal der også tilføjes andre der sender e-mails på dit domænes vegne, fx hvis du sender nyhedsbrev ud via en e-mail tjeneste som MailChimp eller lignende.

SPF tjekker op på det tekniske afsender domæne, altså RFC5321.From. Det er derfor muligt at forfalske den afsender adresse der vises i modtagerens mail-program. Af den grund står SPF ikke særlig stærkt, uden at man også indfører DMARC. Desværre opstår der et problem med SPF og DMARC når en e-mail bliver automatisk videresendt, da dette ofte indebærer at den tekniske afsender udskiftes med den der videresender e-mailen – og DMARC SPF tjekket fejler. Heldigvis er dette ikke tilfældet for DKIM.

DKIM – DomainKeys Identified Mail

Med DKIM benyttes kryptografiske nøgler til at verificere både afsender samt indhold af e-mailen. Det gøres ved at mail-server indsætter en digital signatur ved hjælp af den private nøgle på alle udgående e-mail. Ved hjælp af den offentlige nøgle, som er publiceret i afsender domænets DNS, bliver mailen dekrypteret og indhold og afsender bliver verificeret. I DKIM signaturen angives selektor og afsender-domæne. Man kan have flere selektorer hvis man sender e-mail fra flere servere. DMARC tjekker om domænet angivet i DKIM signaturen er den samme som den viste afsender-adresse i e-mailen.

I modsætning til SPF, kan DKIM “overleve” at e-mailen bliver automatisk videresendt inden den når frem til endelig modtager. Dette skyldes at DKIM signaturen er en del af selve indholdet i e-mailen. Derfor er DKIM vigtigere at få konfigureret end SPF, men det er selvfølgelig helt optimalt hvis begge teknologier bliver benyttet.

DMARC – Domain-based Message Authentication, Reporting and Conformance

DMARC tjekker om reel e-mail afsender matcher den viste e-mail adresse, altså om der er overensstemmelse imellem RFC5321.From og RFC5322.From, både i forhold til SPF-afsender domænet samt for d-værdien (domain) for DKIM. Er begge disse ikke ens, så vil mailen blive afvist af den modtagende mail server. Er enten SPF domænet eller DKIM domænet ens, så vil e-mailen gå igennem og blive leveret. DMARC indfører altså et ekstra nødvendigt lag af kontrol, for at sikre at e-mailen er god nok.

Med DMARC får man også tilsendt rapporter fra de modtagende mail-servere. Rapporterne er udformet i xml format og indeholder oplysninger om hvorvidt e-mail’s er SPF godkendt, DKIM godkendt og endelig om DMARC er godkendt. Rapporterne er lidt forskellige alt afhængig af hvem modtageren er, fx. oplyser Google ikke modtager domænet, det gør Microsoft derimod. Ofte benyttes et værktøj til at analysere xml filerne og man præsenteres for data præsenteret i overskuelig form. Det er vigtigt at holde øje med disse rapporter, da ændringer i DNS eller mail-udbyderens opsætning kan resultere i at e-mails ikke bliver leveret.


Overblik over DMARC, SPF og DKIM
Herunder en illustration af hvordan DMARC, SPF og DKIM fungerer. For at en mail kan blive godkendt af den modtagende mail-server, skal bare DMARC-SPF og/eller DMARC-DKIM være godkendt. I eksemplet herunder er DKIM godkendt, SPF er godkendt og for begge dele gælder ligeledes, at domænet matcher “fra” feltet i e-mailen – begge dele er altså gået igennem DMARC nåleøjet.