Conversio

Mail-records del 2 – DMARC: Mail-recordet, der forener andre records

24 Januar, 2022

  • Andet

Skrevet af: Kasper Tang Højriis

Stop lige en halv…

Dette blogindlæg er del to i vores serie om mail-records. Har du endnu ikke haft fornøjelsen af at læse den første del, må du endelig ikke snyde dig selv. I vores første blogindlæg om mail-records kommer vi omkring 3 af de mest gængse records, du støder på, og hvordan de hver især virker.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

SPF og DKIM (dem lærte du at kende i forrige blogindlæg) har begge fokus på at verificere forskellige dele af en mail for at bekræfte afsender og domæneejer. Både SPF og DKIM har dog hver især svagheder og begrænsninger. For at imødekomme dette findes der et tredje record, nemlig DMARC.

DMARC er ikke et mail-verificeringsværktøj ligesom SPF og DKIM. DMARC forener SPF og DKIM, så alle tre records arbejder i synergi. Af denne grund er det også nødvendigt at have både SPF og DKIM opsat for at kunne udnytte DMARC optimalt.

Hvordan virker det?

Måden, DMARC forener SPF og DKIM på, er ved at fungere som en form for ramme omkring de to mail-verificeringsværktøjer. Rent teknisk betyder det, at DMARC indsamler resultaterne af SPF og DKIM på den pågældende mail for derefter at behandle dem. DMARC har en indbygget verificeringsfunktion, Domain alignment, som anvender specifikke informationer fra mail-headeren, ligesom SPF og DKIM. Denne funktion krydstjekker informationerne i mail-headeren, fundet gennem DMARC, med header-informationerne, fundet gennem SPF og DKIM, for at sikre, at de matcher. Dette giver altså endnu et lag af sikkerhed.

For at DMARC kan validere en mail, skal to trin udføres. I første trin skal enten SPF eller DKIM validere den pågældende mail. Så længe bare en af de to værktøjer kan validere mailen, er det nok. I andet trin skal Domain alignment matche header-informationer med mindst et af værktøjerne, som validerede mailen i første trin. Det vil altså sige, at hvis SPF fejler mailen, men DKIM validerer den, skal Domain alignment kunne matche med DKIM, for at DMARC kan validere mailen.

Når DMARC ikke kan validere og fejler en mail 

Men hvad når DMARC ikke kan validere en specifik mail, og den dermed fejler? Hvad sker der så med mailen? I dit DMARC-record kan du som domæneejer tilkendegive, hvordan mails fra dit domæne bør håndteres af modtagende mailservere, når de fejler DMARC. Dette gør du ved at definere hvilken mailpolitik, du gerne vil have i dit domænes DNS-zone inde i dit DMARC-record. Det er muligt at vælge imellem tre forskellige politikker, som vil fremgå som p=policy.

  • p=none betyder, at ingen handling udføres overfor mails, der fejler – præcis som om DMARC ikke var opsat.
  • p=quarantine betyder, at mails, der fejler, bliver placeret i en anden mappe end modtagerens indbakke. Dette vil oftest være spammappen.
  • p=reject betyder, at mails, der fejler, overhovedet ikke bliver leveret.

Det skal nævnes, at du ikke kan tvinge en modtagende mailserver til at behandle fejlede mails ud fra de opsatte DMARC-indstillinger. Hvis en modtagende mailserver allerede har en specifik mailpolitik opsat, som indebærer håndteringen af fejlede mails, vil den lokale politik være gældende.

En vigtig funktion, du måske overser. Rapportering.

Den sidste funktion, DMARC har, er rapportering. Med et DMARC-record har du mulighed for at modtage rapporter, der giver dig informationer om din e-mail-godkendelse. Du kan vælge at modtage to forskellige rapporter, Aggregate reports og Forensic reports, samt specificere hvilken mailadresse du gerne vil modtage disse rapporter på.

Aggregate reports er langt mere udbredt end Forensic reports, fordi de giver et overblik over hele effektiviteten af din e-mail-godkendelse. Forensic reports viser derimod præcist, hvorfor en specifik mail har fejlet.

Det smarte ved rapporterne er, at du kan bruge rapporterne til at optimere din e-mail-godkendelse yderligere, hvilket er noget, som mange brugere af DMARC overser. Et af de mest kendte problemer ved anvendelsen SPF, DKIM og DMARC er, at det kan være svært at opsætte dem korrekt. Af netop den grund findes der en p=none-politik i DMARC.

Mange vælger i opsætningen af DMARC at sætte deres mailpolitik til p=reject. Dette kan dog nemt føre til at legitime mails går tabt, hvis ikke alle tre records er opsat korrekt i forhold til lige dit domæne. Meningen bag p=none er, at du ved opsætningen af DMARC anvender p=none-politikken kombineret med modtagelsen af rapporterne. Med denne opsætning kan du sikre dig, at ingen legitime mails går tabt, mens du ved hjælp af data udledt for DMARC-rapporterne, optimerer SPF, DKIM og DMARC til at passe lige præcis på dit domænes mailopsætning.

SPF, DKIM og DMARC er tilsammen den bedste opsætning til rådighed for at optimere dit domænes e-mail-godkendelse og maillevering. Det kan virke både indviklet og uhåndgribeligt, men heldigvis står du ikke med det alene. Kontakt din mailudbyder, og få dem til at hjælpe dig. Gevinsten er stor både for dit domænes gode omdømme, men også så dine kunder aldrig skal finde mails fra din virksomhed i deres spammappe igen.