Spørsmål og svar om DMARC

 

Hvorfor er DMARC viktig?

DMARC er en viktig teknologi i forbindelse med e-postlevering, fordi den bidrar til å hindre uekte e-post i å nå folks innbokser.

Ekte e-post er e-post som sendes av eieren av domenet, eller av noen som har tillatelse til å sende på vegne av eieren.

Uekte e-post er spam eller svindel, altså e-post som utgir seg for å komme fra eieren av domenet, men som i virkeligheten ikke gjør det. Slik e-post kan brukes i forbindelse med spoofing og phishing.

DMARC kan altså forhindre misbruk av domener i forbindelse med e-postsvindel.

 

Hva gjør DMARC i praksis?

DMARC brukes til å følge med på at alt knyttet til DKIM og SPF er i orden, og DMARC kan gi beskjed til e-postleverandører om hva de skal gjøre hvis både DKIM og SPF feiler.

I praksis har altså DMARC to oppgaver:

  1. Overvåke. DMARC gjør det mulig å overvåke e-post som har et bestemt domene som avsender, og over tid sjekke om all e-post som sendes med domenet som avsender er ekte. DMARC sender rapporter til en bestemt mottaker, f.eks. Talkto, som kan gjennomgå rapportene og vurdere hvilke tiltak som eventuelt bør settes inn.
  2. Instruere. DMARC kan fortelle en e-postleverandør hva den bør gjøre hvis e-post som sannsynligvis er uekte e-post blir oppdaget.

 

Hvordan settes DMARC opp?

Når Talkto setter opp DMARC for dere, gjøres det i følgende faser:

 

1. Oppsett av overvåking

Det første vi gjør er å legge inn en innstilling i domenet deres, som forteller hvor rapporter skal sendes, og at all e-post skal gå gjennom som normalt. Dette steget forutsetter at vi får tilgang til å redigere domeneinnstillingene (DNS), eller at noen redigerer innstillingen for oss.

 

2. Overvåking

Etter at DMARC-innstillingen er tatt i bruk, vil Talkto motta DMARC-rapporter daglig, og rapportene gir oversikt over e-posttrafikken og eventuelle sikkerhetsfeil. Rapportene leses inn i et system, og vi kan se om e-posten som sendes får "godkjentstempel" i alle sikkerhetsledd.

E-postene som sendes kan deles i tre kategorier:

  • ekte (legitim) e-post uten sikkerhetsfeil (normal trafikk)
  • ekte (legitim) e-post med sikkerhetsfeil (normal trafikk, men et eller flere sikkerhetsledd melder om feil)
  • uekte (illegitim) e-post (ett eller flere sikkerhetsledd oppgir feil, og e-posten er kanskje spam eller svindel)

Merk at vi på ingen måte får innsyn i e-postene som sendes. Vi ser ikke hvem de er sendt fra og til, eller hva som står i dem. Se mer informasjon lenger ned, under overskriften "Gir DMARC-overvåkingen personvernutfordringer?".

 

3. Rette eventuelle problemer i forbindelse med ekte e-post

Når vi har fått oversikt over trafikken, kan vi se om det sendes ekte e-post som har tekniske problemer, altså hvor SPF- og DKIM-sjekken er utført med feil. Selv om e-posten er ekte, kan det skje at DKIM eller SPF ikke blir utført på best mulig vis, og det gjør at e-posten derfor mangler "grønt lys" fra DMARC.

Hvis vi oppdager slike problemer, må det gjøres noen endringer, enten i domenet eller opp mot tredjeparter som bruker domenet som avsender. Det kan for eksempel være i forbindelse med Microsoft Office 365, et regnskapssystem eller lignende.

 

4. Ferdigstille oppsettet

Når all ekte e-post leveres uten problemer, kan vi stille inn DMARC slik at all uekte e-post blir forsøkt merket som spam eller slettet når den ankommer hos mottakeren. Det gjør at domenet er mye bedre beskyttet mot misbruk enn hvis DMARC ikke tas i bruk.

Det kan være en fordel å la overvåkingen fortsette å gå også etter at DMARC er ferdig satt opp, slik at man fra tid til annen kan kontrollere at alt flyter som det skal. Hvis e-postoppsettet i domenet på noe tidspunkt skal endres, eller nye aktører skal sende e-post med deres domene som avsender, er det viktig å følge med på trafikken en periode. Fortsatt overvåking gir også en pekepinn på om noen forsøker å misbruke domenet.

 

Talkto kan utføre alle disse fire stegene for dere, og sørge for at domenet ikke kan misbrukes til spamming og svindel.

 

Gir DMARC-overvåkingen personvernutfordringer?

Overvåkingen gjennom DMARC er fullstendig anonym, og det registreres ingen personopplysninger.

En DMARC-rapport forteller om:

  • hvilken e-postleverandør som har levert rapporten
  • IP-adresse og domenenavn som leverer e-posten
  • dato for sendingen
  • hvilke domener som er assosiert med e-postene som er sendt, både avsenderdomene og domene brukt i DKIM- og SPF-kontroll
  • om DKIM har feilet, om SPF har feilet, om DKIM-domenet samsvarer med avsenderdomenet og om SPF-domenet samsvarer med avsenderdomenet

 

Hva om jeg har et domene som ikke brukes til e-post?

Domener uten e-post bør også sikres med DMARC.

Det er fordi et domene uten e-post i praksis kan misbrukes akkurat slik et domene med e-post kan. Det er derfor en god idé å sette opp en DMARC-innstilling som forsøker å stoppe e-post sendt via domenet.

Et slikt oppsett er betraktelig enklere å få på plass enn for et domene som brukes i forbindelse med e-post, siden vi kan hoppe over rapporterings- og problemløsingsfasene.