Forstå e-postautentisering og domenespoofing (forfalskning av e-postadresser): SPF, DKIM og DMARC

Virksomheten din er et mål for nettfisking og angrep med forfalskning av e-postadresser (spoofing). Hvis e-posten din ikke er autentisert, kan angripere enkelt utgi seg for å være domenet ditt. Uten autentisering kan hvem som helst på internett sende en e-post og utgi seg for å være deg.

Prøv Proton Mail gratis i 14 dager Be om en demo

Hva betyr e-postautentisering?

E-postautentisering er et sett med tekniske standarder som bekrefter at en e-posts avsender er den de utgir seg for å være. Den ble utviklet fordi den opprinnelige e-postprotokollen (Simple Mail Transfer Protocol, eller SMTP) ikke har noen innebygd funksjon for å forhindre en forfalsket avsenderadresse.

For å forstå autentisering, er det nyttig å vite at en e-post har to avsenderadresser:

1. Konvoluttavsenderen (RFC 5321)

Også kjent som MAIL FROM-adressen, P1-avsenderen eller return-path, er dette den tekniske adressen som e-posttjenere bruker i bakgrunnen for ruting og levering.

Formål: Den forteller den mottakende tjeneren hvor den skal sende automatiserte meldinger, for eksempel avvisningsvarsler eller leveringsrapporter (NDR-er).
Synlighet: Mottakere ser vanligvis aldri denne adressen i e-postklienten sin; den er en del av den skjulte meldings-«konvolutten».
Sikkerhetsrolle: Dette er adressen som verifiseres av SPF.

2. Topptekstavsenderen (RFC 5322)

Også kjent som Fra:-adressen eller P2-avsenderen, er dette den synlige adressen i innboksen din (f.eks. Fra: din-bank@example.com).

Formål: Dette er den «vennlige» adressen designet for menneskelig samhandling, som informerer mottakeren om hvem meldingen ser ut til å være fra.
Synlighet: Dette er den eneste adressen de fleste brukere ser når de åpner innboksen sin.
Sikkerhetsrolle: Denne adressen er den angripere oftest forfalsker, og den er det primære fokuset for DMARC-samsvarskontroller.

Denne utformingen gjør forfalskning av e-postadresser (spoofing) (det å forfalske Fra:-adressen) enkelt. En angriper kan bruke en gyldig konvoluttavsender som de kontrollerer for å bestå grunnleggende tjenersjekker, mens de bruker en falsk topptekstavsender for å lure mottakeren. Protokoller for e-postautentisering som DMARC løser dette ved å kreve at domenene til disse to avsenderne samsvarer.

Hvorfor er e-postautentisering avgjørende for virksomheter?

For virksomheter er implementering av e-postautentisering et ufravikelig forsvar. Det:

Stopper forfalskning av e-postadresser (spoofing) og nettfisking: Forhindrer angripere fra å sende falske e-poster fra domenet ditt.

Beskytter merkevarens omdømme: Forhindrer at merkevaren din blir assosiert med søppelpost og nettfiskingssvindel.

Forbedrer leveringsgraden for e-post: Signalerer til andre e-postleverandører at du er en legitim avsender, noe som holder e-postene dine unna søppelpostmappen.

De 3 viktigste metodene for e-postautentisering

Et sterkt forsvar avhenger av at tre standarder fungerer sammen: SPF, DKIM og DMARC. Hver av dem bygger på den forrige for å skape et flerlags forsvar.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) er en offentlig liste over alle tjenere (etter IP-adresse) som har tillatelse til å sende e-post for domenet ditt.

Hvordan det fungerer

Du publiserer listen som en DNS TXT-oppføring for domenet ditt. Når en mottakende e-posttjener får en melding, sjekker den den sendende tjenerens IP-adresse mot denne listen. Hvis IP-adressen er på listen, bestrår meldingen SPF-sjekken. Hvis ikke, feiler den.

Svakheten

SPF verifiserer bare den tekniske sendeadressen som brukes av e-posttjenere, ikke den synlige Fra:-adressen som folk ser i innboksen sin. Dette gapet gjør at e-postforfalskere kan bestå SPF-sjekker. Fordi SPF is en banebasert protokoll, feiler den også ofte når en e-post videresendes via en e-postliste eller en partnertjener. Siden den videresendende tjeneren ikke er på den godkjente listen din, feiler sjekken.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) legger til en unik og manipulasjonssikker digital signatur i meldingsinnholdet, inkludert Fra:-toppteksten.

Hvordan det fungerer

Denne signaturen opprettes med en privat nøkkel som bare tjeneren din kjenner til. Den tilsvarende offentlige nøkkelen publiseres i DNS-en din. Mottakende tjenere bruker denne offentlige nøkkelen til å verifisere signaturen. Hvis den er gyldig, beviser det at e-posten kom fra domenet ditt, og at innholdet ikke har blitt endret under sending.

Svakheten

I likhet med SPF, forhindrer ikke DKIM i seg selv forfalskning av e-postadresser (spoofing). Signaturen beviser at meldingen er autentisk for domenet som sendte den, ikke nødvendigvis domenet som vises i «Fra:»-adressen.

3. Domenebasert meldingsautentisering, rapportering og samsvar (DMARC)

Domenebasert meldingsautentisering, rapportering og samsvar (DMARC) er retningslinjen som knytter SPF og DKIM sammen. DMARC er regelen som forteller e-posttjenere at de bare skal stole på e-poster hvis «Fra:»-adressen du ser samsvarer med autentiseringskontrollene bak kulissene. Det tetter smutthullet angripere utnytter med kun SPF eller DKIM.

Hvordan det fungerer

DMARC krever at domenet i den synlige «Fra:»-adressen må samsvare med domenet som brukes i den beståtte SPF- eller DKIM-kontrollen. Dette avgjørende trinnet kobler den synlige avsenderadressen til den tekniske verifiseringen.

Det forteller også tjenere hva de skal gjøre: Din DMARC-retningslinje (p) er det som instruerer mottakstjenere om hvordan de skal håndtere feil:

p=none (overvåking): Ingen handling. Bare send rapporter tilbake til deg om hvem som sender e-post fra ditt domene.
p=quarantine (karantene): Send e-poster som feiler, til søppelpostmappen.
p=reject (avvis): Blokker e-poster som feiler, fullstendig.

Beskytt bedriften din mot nettfisking og forfalskning av e-postadresser (spoofing)

Over 90 % av alle databrudd begynner med et angrep i form av nettfisking eller forfalskning av e-postadresser (spoofing). Implementering av SPF, DKIM og DMARC er din første forsvarslinje, men det må kombineres med en e-postleverandør som er sikker som standard.

Proton Mail for Business er utviklet for å blokkere disse truslene før de i det hele tatt når teamet ditt. Vår avanserte gjenkjenning av forfalskning av e-postadresser (spoofing), PhishGuard-teknologi og ende-til-ende-kryptering gir et omfattende forsvar som er enkelt å administrere.

Prøv Proton Mail gratis i 14 dager Be om en demo

Slik konfigurerer du e-postautentisering (trinn for trinn)

Sikring av domenet ditt innebærer å legge til noen få oppføringer i Domain Name System (DNS)-innstillingene dine, som administreres av domeneregistratoren din (som GoDaddy, Namecheap eller Cloudflare).

Trinn 1

Opprett SPF-oppføringen din

Først må du identifisere alle tjenestene du bruker til å sende e-post (f.eks. e-postleverandøren din, en nyhetsbrev-tjeneste som Mailchimp, et CRM-system). SPF-oppføringen din must inkludere alle disse. For eksempel er Proton Mails SPF-oppføring v=spf1 include:_spf.proton.me mx ~all. Du legger dette til som en TXT-oppføring i DNS-innstillingene dine.

Trinn 2

Konfigurer DKIM-signaturen din

I administratorpanelet til Proton Mail (eller en annen leverandør) går du til domeneinnstillingene. Systemet vil generere en unik DKIM-nøkkel til deg. Oppsettsprosessen for DKIM i Microsoft 365, Google Workspace eller Proton er lik: du kopierer den genererte nøkkelen og oppretter en ny TXT-oppføring i DNS-en din som instruert.

Trinn 3

Implementer DMARC-retningslinjen din

Å legge til DMARC-retningslinjen (p) er det siste trinnet. Den bør rulles ut i etapper for å unngå å blokkere dine egne legitime e-poster:

Start med p=none: Opprett en DMARC-oppføring med retningslinjen p=none. Denne overvåkingsmodusen lar deg motta rapporter om e-postfeil uten at det påvirker e-postleveringen din.
Analyser rapporter: Bruk DMARC-rapportene til å finne eventuelle legitime tjenester som ikke blir godkjent i kontrollene, og legg dem til i SPF- og DKIM-oppføringene dine.
Gå over til p=quarantine: Når du er trygg på det, endrer du retningslinjen din til p=quarantine. Dette vil sende e-poster som feiler, til søppelpostmappen.
Gå over til p=reject: Etter mer overvåking går du over til p=reject for å blokkere alle falske e-poster fra å bli levert.

For detaljerte oppsettsinstruksjoner, inkludert skjermbilder og oppføringsverdier, se Protons støtteveiledning.

Utover det grunnleggende: ARC og BIMI

Når SPF, DKIM og DMARC er på plass, er det to valgfrie standarder som kan gi ekstra verdi:

Autentisert mottakskjede (ARC)

Holder autentiseringsresultatene dine intakte når e-poster videresendes (som gjennom e-postlister), noe som ofte bryter SPF eller DKIM.

Merkeindikatorer for meldingsidentifikasjon (BIMI)

Lar den offisielle firmalogoen din vises ved siden av e-postene dine i innbokser som støtter dette. Tenk på det som en «verifisert hake» for e-post. For å kvalifisere må du ha en streng DMARC-retningslinje (quarantine eller reject).

Slik sikrer Proton Mail bedriftse-posten din

Å konfigurere e-postautentisering er viktig, men det er bare én del av en komplett sikkerhetsstrategi. Proton Mail legger til ytterligere beskyttelseslag for å holde bedriften din trygg mot avanserte trusler.

Avansert deteksjon av e-postforfalskning (spoofing)

Proton Mail sjekker automatisk SPF, DKIM og DMARC på alle innkommende meldinger. E-poster som ikke består disse kontrollene, blir tydelig markert, noe som reduserer risikoen for identitetsimitasjon.

PhishGuard

PhishGuard identifiserer mistenkelige lenker, mønstre og andre advarsler som enkle filtre ofte overser, og bidrar til å blokkere nettfiskingsforsøk før de når de ansatte.

Ende-til-ende- og nulltilgangskryptering

E-poster mellom Proton-brukere blir automatisk ende-til-ende-kryptert. Alle dataene dine er lagret med nulltilgangskryptering, noe som betyr at ikke engang vi kan lese e-postene dine.

Lenkebekreftelse

Når brukere klikker på en lenke i en e-post, viser Proton Mail en fullstendig forhåndsvisning av destinasjonens nettadresse, noe som bidrar til å forhindre utilsiktede klikk på skadelige nettsteder.

Prøv Proton Mail gratis i 14 dager Be om en demo

Sikre bedriftens kommunikasjon

Beskytt bedriften din mot nettfisking, e-postforfalskning (spoofing) og databrud med e-posttjenesten som setter sikkerhet og personvern først. Implementer sterk e-postautentisering og dra nytte av ende-til-ende-kryptering og avansert beskyttelse mot nettfisking, alt i én enkel og sikker løsning.

Prøv Proton Mail for Business Be om en demo

Ofte stilte spørsmål

Hva er forskjellen mellom SPF og DKIM?: SPF sjekker hvem som har tillatelse til å sende e-post for domenet ditt ved å verifisere den sendende tjeneren.
DKIM bruker en digital signatur til å kontrollere at selve meldingen ikke har blitt tuklet med.
De løser ulike problemer, så du trenger begge deler (og DMARC) i tillegg for å få et fullstendig forsvar.
Hvordan sjekker e-posttjenere autentisering?: Når en e-posttjener mottar en melding, slår den opp avsenderens SPF-, DKIM- og DMARC-poster. Den registrerer resultatene (som spf=pass eller dkim=fail) i en skjult topptekst kalt «Authentication-Results». E-postleverandøren din bruker deretter denne informasjonen, sammen med mange andre signaler, til å bestemme om meldingen skal leveres til innboksen din, markeres som søppelpost eller blokkeres.
Hvor lang tid tar det før DMARC fungerer?: DNS-posten er vanligvis aktiv innen noen få timer. Men å rulle ut DMARC på en trygg måte tar tid: du starter med en retningslinje for kun overvåking (p=none), analyserer rapportene, retter opp eventuelle legitime avsendere som feiler, og går deretter gradvis over til strengere retningslinjer (p=quarantine eller p=reject). Denne prosessen tar ofte flere uker eller måneder.
Hva om svindlere forfalsker e-posten min?: DMARC inneholder en rapporteringsfunksjon som forteller deg om noen prøver å utgi seg for å være domenet ditt. Hvis du oppdager dette, bør du varsle de ansatte, informere kundene dine og rapportere svindelen til politiet og organisasjoner som bekjemper nettfisking, som FTC eller Anti-Phishing Working Group.
Kan dette stoppe alle nettfiskingsangrep?: Ingen enkeltverktøy stopper alt. SPF, DKIM og DMARC er utmerkede til å blokkere direkte domeneforfalskning (spoofing). Men angripere bruker også triks som lignende domener eller kompromitterte kontoer. Derfor bør autentisering være en del av et flerlags forsvar, sammen med opplæring av brukere og avanserte beskyttelsesfunksjoner som Protons PhishGuard.