Forståelse af e-mailgodkendelse og domænespoofing: SPF, DKIM og DMARC

Deres virksomhed er et mål for phishing- og spoofing-angreb. Hvis Deres e-mail ikke er godkendt, kan angribere nemt udgive sig for at være Deres domæne. Uden godkendelse kan alle på internettet sende en e-mail og lade som om, de er Dem.

Prøv Proton Mail gratis i 14 dage Anmod om en demo

Hvad betyder e-mailgodkendelse?

E-mailgodkendelse er et sæt tekniske standarder, der bekræfter, at en e-mails afsender er den, vedkommende udgiver sig for at være. Den blev udviklet, fordi den oprindelige e-mailprotokol (Simple Mail Transfer Protocol eller SMTP) ikke har nogen indbygget funktion til at forhindre en forfalsket afsenderadresse.

For at forstå godkendelse er det nyttigt at vide, at en e-mail har to afsenderadresser:

1. Kuvert-afsenderen (RFC 5321)

Også kendt som MAIL FROM-adressen, P1-afsenderen eller return-path; dette er den tekniske adresse, som mailservere bruger bag kulisserne til routing og levering.

Formål: Den fortæller den modtagende server, hvor den skal sende automatiserede beskeder, såsom bounce-notifikationer eller ikke-leveringsrapporter (NDR'er).
Synlighed: Modtagere ser typisk aldrig denne adresse i deres e-mailklient; den er en del af den skjulte besked-"kuvert".
Sikkerhedsrolle: Dette er adressen, der verificeres af SPF.

2. Overskrift-afsenderen (RFC 5322)

Også kendt som Fra:-adressen eller P2-afsenderen; dette er den synlige adresse i Deres indbakke (f.eks. Fra: din-bank@example.com).

Formål: Dette er den "venlige" adresse designet til menneskelig interaktion, som informerer modtageren om, hvem beskeden ser ud til at være fra.
Synlighed: Dette er den eneste adresse, som de fleste brugere ser, når de åbner deres indbakke.
Sikkerhedsrolle: Denne adresse er den, som angribere oftest spoofer, og den er det primære fokus for DMARC-tilpasningskontroller.

Dette design gør e-mailspoofing (at forfalske Fra:-adressen) enkelt. En angriber kan bruge en gyldig kuvert-afsender, som de kontrollerer, til at bestå grundlæggende serverkontroller, mens de bruger en svigagtig overskrift-afsender til at snyde modtageren. E-mailgodkendelsesprotokoller som DMARC løser dette ved at kræve, at disse to afsenderes domæner stemmer overens.

Hvorfor er e-mailgodkendelse afgørende for virksomheder?

For virksomheder er implementering af e-mailgodkendelse et absolut nødvendigt forsvar. Det:

Stopper spoofing og phishing: Forhindrer angribere i at sende svigagtige e-mails fra Deres domæne.

Beskytter Deres brands omdømme: Forhindrer, at Deres brand bliver associeret med spam og phishing-svindel.

Forbedrer e-mailleveringen: Signalerer til andre mailudbydere, at De er en legitim afsender, hvilket holder Deres e-mails ude af spammappen.

De 3 vigtigste metoder til e-mailgodkendelse

Et stærkt forsvar afhænger af, at tre standarder fungerer sammen: SPF, DKIM og DMARC. Hver enkelt bygger på den forrige for at skabe et flerlagsforsvar.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) er en offentlig liste over alle de servere (efter IP-adresse), der har tilladelse til at sende e-mail for Deres domæne.

Sådan fungerer det

De offentliggør listen som en DNS TXT-post for Deres domæne. Når en modtagende mailserver modtager en besked, kontrollerer den den afsendende servers IP-adresse i forhold til denne liste. Hvis IP-adressen er på listen, består beskeden SPF-kontrollen; hvis ikke, fejler den.

Svagheden

SPF verificerer kun den tekniske afsendelsesadresse, der bruges af mailservere, ikke den synlige Fra:-adresse, som folk ser i deres indbakke. Dette hul gør det muligt for spoofere at bestå SPF-kontroller. Da SPF is en sti-baseret protokol, fejler den også ofte, når en e-mail videresendes gennem en mailingliste eller en partnerserver. Da den videresendende server ikke er på Deres autoriserede liste, fejler kontrollen.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) tilføjer en unik, manipulationssikker digital signatur til beskedens indhold, herunder Fra:-overskriften.

Sådan fungerer det

Denne signatur oprettes ved hjælp af en privat nøgle, som kun Deres server kender. Den tilsvarende offentlige nøgle offentliggøres i Deres DNS. Modtagende servere bruger denne offentlige nøgle til at verificere signaturen. Hvis den er gyldig, beviser det, at e-mailen kom fra Deres domæne, og at dens indhold ikke er blevet ændret undervejs.

Svagheden

Ligesom SPF forhindrer DKIM ikke i sig selv spoofing. Signaturen beviser, at beskeden er autentisk for det domæne, der sendte den, og ikke nødvendigvis det domæne, der vises i Fra:-adressen.

3. Domænebaseret beskedgodkendelse, rapportering og overensstemmelse (DMARC)

Domænebaseret beskedgodkendelse, rapportering og overensstemmelse (DMARC) er den politik, der binder SPF og DKIM sammen. DMARC er den regel, der fortæller mailservere, at de kun skal stole på e-mails, hvis den Fra:-adresse, De ser, matcher godkendelseskontrollerne bag kulisserne. Det lukker det smuthul, som angribere udnytter med SPF eller DKIM alene.

Sådan fungerer det

DMARC kræver, at domænet i den synlige Fra:-adresse skal matche det domæne, der bruges i den beståede SPF- eller DKIM-kontrol. Dette vigtige trin forbinder den synlige afsenderadresse med den tekniske verifikation.

Den fortæller også serverne, hvad de skal gøre: Deres DMARC-politik (p) er det, der instruerer modtagende servere i, hvordan de skal håndtere fejl:

p=none (Overvåg): Gør intet. Send blot rapporter tilbage til Dem om, hvem der sender e-mails fra Deres domæne.
p=quarantine (Karantæne): Send e-mails, der ikke godkendes, til spam-mappen.
p=reject (Afvis): Bloker e-mails, der ikke godkendes, fuldstændigt.

Beskyt Deres virksomhed mod phishing og domæne-spoofing

Over 90 % af alle databrud begynder med et phishing- eller spoofing-angreb. Implementering af SPF, DKIM og DMARC er Deres første forsvarslinje, men det skal parres med en mailudbyder, der er sikker som standard.

Proton Mail for Business er designet til at blokere disse trusler, før de overhovedet når Deres team. Vores avancerede anti-spoofing-detektering, PhishGuard-teknologi og end-to-end-kryptering giver et omfattende forsvar, som er nemt at administrere.

Prøv Proton Mail gratis i 14 dage Anmod om en demo

Sådan konfigurerer De e-mail-godkendelse (trin-for-trin)

Sikring af Deres domæne indebærer, at De tilføjer et par poster til indstillingerne for Deres Domain Name System (DNS), som administreres af Deres domæneregistrator (såsom GoDaddy, Namecheap eller Cloudflare).

Trin 1

Opret Deres SPF-post

Først skal De identificere alle de tjenester, De bruger til at sende e-mail (f.eks. Deres mailudbyder, en nyhedsbrevstjeneste som Mailchimp eller et CRM-system). Deres SPF-post skal indeholde dem alle. For eksempel er Proton Mails SPF-post v=spf1 include:_spf.proton.me mx ~all. De skal tilføje dette som en TXT-post i Deres DNS-indstillinger.

Trin 2

Konfigurer Deres DKIM-signatur

I Deres Proton Mail-adminpanel (eller en anden udbyders panel) skal De gå til domæneindstillingerne. Systemet vil generere en unik DKIM-nøgle til Dem. Konfigurationsprocessen for DKIM i Microsoft 365, Google Workspace eller Proton er meget ens: De kopierer den genererede nøgle og opretter en ny TXT-post i Deres DNS som instrueret.

Trin 3

Implementer Deres DMARC-politik

Tilføjelse af DMARC-politikken (p) er det sidste trin. Den bør udrulles i etaper for at undgå at blokere Deres egne legitime e-mails:

Start med p=none: Opret en DMARC-post med en politik på p=none. Denne overvågningstilstand giver Dem mulighed for at modtage rapporter om e-mailfejl uden at påvirke Deres maillevering.
Analyser rapporter: Brug DMARC-rapporterne til at finde eventuelle legitime tjenester, der ikke består kontrollerne, og tilføj dem til Deres SPF- og DKIM-poster.
Skift til p=quarantine: Når De er sikker, skal De ændre Deres politik til p=quarantine. Dette vil sende e-mails, der ikke godkendes, til spam-mappen.
Skift til p=reject: Efter yderligere overvågning skal De skifte til p=reject for at blokere alle svigagtige e-mails i at blive leveret.

For detaljerede konfigurationsinstruktioner, herunder skærmfotos og postværdier, se Protons supportvejledning.

Ud over det grundlæggende: ARC og BIMI

Når Deres SPF, DKIM og DMARCer på plads, er der to valgfrie standarder, som kan tilføje ekstra værdi:

Authenticated Received Chain (ARC)

Bevarer Deres godkendelsesresultater intakte, når e-mails videresendes (f.eks. via mailinglister), hvilket ofte ødelægger SPF eller DKIM.

Brand Indicators for Message Identification (BIMI)

Gør det muligt for Deres officielle virksomhedslogo at blive vist ud for Deres e-mails i understøttede indbakker. Tænk på det som et ”verificeret flueben” til e-mail. For at kvalificere Dem skal De have en stærk DMARC-politik (quarantine eller reject).

Sådan sikrer Proton Mail Deres virksomheds-e-mail

Opsætning af e-mail-godkendelse er afgørende, men det er kun én del af en komplet sikkerhedsstrategi. Proton Mail tilføjer yderligere beskyttelseslag for at holde Deres virksomhed sikker mod avancerede trusler.

Avanceret anti-spoofing-detektering

Proton Mail kontrollerer automatisk SPF, DKIM og DMARC på alle indgående beskeder. E-mails, der ikke består disse kontroller, bliver tydeligt markeret, hvilket reducerer risikoen for efterligning.

PhishGuard

PhishGuard identificerer mistænkelige links, mønstre og andre advarselstegn, som grundlæggende filtre ofte overser, hvilket hjælper med at blokere phishing-forsøg, før de når medarbejderne.

End-to-end- og nuladgangskryptering

E-mails mellem Proton-brugere er automatisk end-to-end krypterede. Alle Deres data lagres med nuladgangskryptering, hvilket betyder, at ikke engang vi kan læse Deres e-mails.

Linkbekræftelse

Når brugere klikker på et link i en e-mail, viser Proton Mail en fuld forhåndsvisning af destinations-URL'en, hvilket hjælper med at forhindre utilsigtede klik på ondsindede websteder.

Prøv Proton Mail gratis i 14 dage Anmod om en demo

Sikr Deres virksomhedskommunikation

Beskyt Deres virksomhed mod phishing, spoofing og databrud med den e-mailtjeneste, der sætter sikkerhed og privatliv i første række. Implementer stærk e-mailgodkendelse, og drag fordel af end-to-end-kryptering og avanceret phishingbeskyttelse, alt sammen i én enkel, sikker løsning.

Prøv Proton Mail for Business Anmod om en demo

Ofte stillede spørgsmål

Hvad er forskellen på SPF og DKIM?: SPF kontrollerer, hvem der har tilladelse til at sende e-mail for Deres domæne, ved at verificere den sendende server.
DKIM kontrollerer, at selve beskeden ikke er blevet manipuleret med, ved at bruge en digital signatur.
De løser forskellige problemer, så De har brug for begge dele (og DMARC) oveni for at få et komplet forsvar.
Hvordan kontrollerer mailservere godkendelse?: Når en mailserver modtager en besked, slår den afsenderens SPF-, DKIM- og DMARC-poster op. Den registrerer resultaterne (som spf=pass eller dkim=fail) i en skjult overskrift kaldet Authentication-Results. Deres mailudbyder bruger derefter disse oplysninger, sammen med mange andre signaler, til at beslutte, om beskeden skal leveres til Deres indbakke, markeres som spam eller blokeres.
Hvor lang tid tager det for DMARC at virke?: DNS-posten er normalt aktiv inden for få timer. Men at udrulle DMARC på sikker vis tager tid: De starter med en politik, der kun overvåger (p=none), analyserer rapporterne, retter eventuelle legitime afsendere, der fejler, og overgår derefter gradvist til strengere politikker (p=quarantine eller p=reject). Denne proces tager ofte adskillige uger eller måneder.
Hvad hvis svindlere spoofer min e-mail?: DMARC indeholder en rapporteringsfunktion, der fortæller Dem, hvis nogen forsøger at udgive sig for at være Deres domæne. Hvis De opdager dette, bør De advare Deres medarbejdere, informere Deres kunder og anmelde svindlen til de retshåndhævende myndigheder og anti-phishing-organisationer som FTC eller Anti-Phishing Working Group.
Kan dette stoppe alle phishing-angreb?: Intet enkelt værktøj kan stoppe alt. SPF, DKIM og DMARC er fremragende til at blokere direkte spoofing af domæner. Men angribere bruger også tricks som domæner, der ligner hinanden, eller kompromitterede konti. Derfor bør godkendelse være en del af et lagdelt forsvar, sammen med brugertræning og avancerede beskyttelsesfunktioner som Protons PhishGuard.