Förstå e-postautentisering och domänspoofing: SPF, DKIM och DMARC

Ditt företag är en måltavla för nätfiske- och spoofing-attacker. Om din e-post inte är autentiserad kan angripare enkelt utge sig för att vara din domän. Utan autentisering kan vem som helst på internet skicka ett e-postmeddelande och låtsas vara du.

Prova Proton Mail gratis i 14 dagar Begär en demo

Vad innebär e-postautentisering?

E-postautentisering är en uppsättning tekniska standarder som verifierar att en e-postavsändare är den som den utger sig för att vara. Det utvecklades eftersom det ursprungliga e-postprotokollet (Simple Mail Transfer Protocol, eller SMTP) inte har någon inbyggd funktion för att förhindra en förfalskad avsändaradress.

För att förstå autentisering är det bra att veta att ett e-postmeddelande har två avsändaradresser:

1. Kuvertavsändaren (RFC 5321)

Denna kallas även för MAIL FROM-adress, P1-avsändare eller return-path och är den tekniska adress som e-postservrar använder bakom kulisserna för dirigering och leverans.

Syfte: Den talar om för den mottagande servern var den ska skicka automatiska meddelanden, till exempel studsaviseringar eller leveransfelrapport (NDR).
Synlighet: Mottagare ser vanligtvis aldrig denna adress i sin e-postklient; den är en del av det dolda meddelandets "kuvert".
Säkerhetsroll: Detta är adressen som verifieras av SPF.

2. Rubrikavsändaren (RFC 5322)

Denna kallas även för Från:-adress eller P2-avsändare och är den synliga adressen i din inkorg (t.ex. Från: your-bank@example.com).

Syfte: Detta är den "vänliga" adressen utformad för mänsklig interaktion som informerar mottagaren om vem meddelandet verkar komma ifrån.
Synlighet: Detta är den enda adress de flesta användare ser när de öppnar sin inkorg.
Säkerhetsroll: Denna adress är den som angripare oftast spoofar, och den är det primära fokuset för DMARC-anpassningskontroller.

Denna design gör e-postspoofing (att förfalska Från:-adressen) enkelt. En angripare kan använda en giltig kuvertavsändare som de kontrollerar för att klara grundläggande serverkontroller samtidigt som de använder en bedräglig rubrikavsändare för att lura mottagaren. Protokoll för e-postautentisering som DMARC löser detta genom att kräva att domänerna för dessa två avsändare stämmer överens.

Varför är e-postautentisering avgörande för företag?

För företag är implementering av e-postautentisering ett absolut nödvändigt försvar. Det:

Stoppar spoofing och nätfiske: Förhindrar angripare från att skicka bedrägliga e-postmeddelanden från din domän.

Skyddar ditt varumärkes rykte: Förhindrar att ditt varumärke förknippas med skräppost och nätfiskebedrägerier.

Förbättrar e-postleveransen: Signalerar till andra e-postleverantörer att du är en legitim avsändare, vilket håller dina e-postmeddelanden borta från skräppostmappen.

De 3 huvudsakliga metoderna för e-postautentisering

Ett starkt försvar bygger på att tre standarder samverkar: SPF, DKIM och DMARC. Var och en bygger på den föregående för att skapa ett flerskiktat försvar.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) är en offentlig lista över alla servrar (efter IP-adress) som har tillåtelse att skicka e-post för din domän.

Så fungerar det

Du publicerar listan som en DNS TXT-post för din domän. När en mottagande e-postserver tar emot ett meddelande kontrollerar den den sändande serverns IP-adress mot listan. Om IP-adressen finns på listan klarar meddelandet SPF-kontrollen, annars misslyckas den.

Svagheten

SPF verifierar endast den tekniska avsändaradressen som används av e-postservrar, inte den synliga Från:-adressen som människor ser i sin inkorg. Denna lucka gör det möjligt för spoofare att klara SPF-kontroller. Eftersom SPF är ett vägbaserat protokoll misslyckas det ofta när ett e-postmeddelande vidarebefordras via en e-postlista eller partnerserver. Eftersom den vidarebefordrande servern inte finns på din auktoriserade lista misslyckas kontrollen.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) lägger till en unik, manipulationssäker digital signatur i meddelandets innehåll, inklusive Från:-rubriken.

Så fungerar det

Denna signatur skapas med en privat nyckel som endast din server känner till. Den motsvarande offentliga nyckeln publiceras i din DNS. Mottagande servrar använder denna offentliga nyckel för att verifiera signaturen. Om den är giltig bevisar det att e-postmeddelandet kom från din domän och att dess innehåll inte har ändrats under överföringen.

Svagheten

Precis som SPF stoppar inte DKIM i sig spoofing. Signaturen bevisar att meddelandet är autentiskt för domänen som skickade det, inte nödvändigtvis för domänen som visas i Från:-adressen.

3. Domänbaserad meddelandeautentisering, rapportering och efterlevnad (DMARC)

Domänbaserad meddelandeautentisering, rapportering och efterlevnad (DMARC) är policyn som binder samman SPF och DKIM. DMARC är regeln som talar om för e-postservrar att endast lita på e-post om Från:-adressen du ser matchar autentiseringskontrollerna bakom kulisserna. Det stänger kryphålet som angripare utnyttjar med enbart SPF eller DKIM.

Så fungerar det

DMARC kräver att domänen i den synliga Från:-adressen måste matcha den domän som används i den godkända SPF- eller DKIM-kontrollen. Detta avgörande steg kopplar den synliga avsändaradressen till den tekniska verifieringen.

Det talar också om för servrar vad de ska göra: Din DMARC-policy (p) är vad som instruerar mottagande servrar hur de ska hantera misslyckanden:

p=none (Monitor): Vidta ingen åtgärd. Skicka bara rapporter tillbaka till dig om vem som skickar e-post från din domän.
p=quarantine (Karantän): Skicka e-post som misslyckas till skräppostmappen.
p=reject (Avvisa): Blockera e-post som misslyckas helt och hållet.

Skydda ditt företag mot nätfiske och domänspoofing

Över 90 % av alla dataintrång börjar med en nätfiske- eller spoofingattack. Att implementera SPF, DKIM och DMARC är din första försvarslinje, avsedd att kombineras med en e-postleverantör som är säker som standard.

Proton Mail for Business är utformat för att blockera dessa hot innan de ens når ditt team. Vår avancerade anti-spoofingdetektering, PhishGuard-teknik och end-to-end-kryptering ger ett omfattande försvar som är enkelt att hantera.

Prova Proton Mail gratis i 14 dagar Begär en demo

Hur du konfigurerar e-postautentisering (steg för steg)

Att säkra din domän innebär att du lägger till några poster i dina inställningar för Domain Name System (DNS), som hanteras av din domänregistrator (som GoDaddy, Namecheap eller Cloudflare).

Steg 1

Skapa din SPF-post

Identifiera först alla tjänster du använder för att skicka e-post (t.ex. din e-postleverantör, en nyhetsbrevstjänst som Mailchimp, ett CRM-system). Din SPF-post måste innehålla dem alla. Till exempel är Proton Mails SPF-post v=spf1 include:_spf.proton.me mx ~all. Du lägger till detta som en TXT-post i dina DNS-inställningar.

Steg 2

Konfigurera din DKIM-signatur

Gå till domäninställningarna i adminpanelen för ditt Proton Mail (eller din andra leverantör). Systemet kommer att generera en unik DKIM-nyckel åt dig. Konfigurationsprocessen för DKIM i Microsoft 365, Google Workspace eller Proton är likartad: du kopierar den genererade nyckeln och skapar en ny TXT-post i din DNS enligt instruktionerna.

Steg 3

Implementera din DMARC-policy

Att lägga till DMARC-policyn (p) är det sista steget. Det bör rullas ut i etapper för att undvika att blockera din egen legitima e-post:

Börja med p=none: Skapa en DMARC-post med policyn p=none. Detta övervakningsläge låter dig ta emot rapporter om e-postfel utan att det påverkar din e-postleverans.
Analysera rapporter: Använd DMARC-rapporterna för att hitta eventuella legitima tjänster som misslyckas i kontrollerna och lägg till dem i dina SPF- och DKIM-poster.
Gå över till p=quarantine: När du känner dig säker ändrar du din policy till p=quarantine. Detta kommer att skicka e-post som misslyckas till skräppostmappen.
Gå över till p=reject: Efter mer övervakning går du över till p=reject för att blockera all bedräglig e-post från att levereras.

För detaljerade konfigurationsinstruktioner, inklusive skärmdumpar och postvärden, se Protons supportguide.

Utöver det grundläggande: ARC och BIMI

När dina SPF, DKIM och DMARC är på plats finns det två valfria standarder som kan ge extra värde:

Authenticated received chain (ARC)

Håller dina autentiseringsresultat intakta när e-post vidarebefordras (t.ex. via e-postlistor), vilket ofta bryter SPF eller DKIM.

Brand indicators for message identification (BIMI)

Gör att din officiella företagslogotyp visas bredvid din e-post i inkorgar som stöds. Tänk på det som en ”verifierad bock” för e-post. För att kvalificera dig behöver du en stark DMARC-policy (quarantine eller reject).

Hur Proton Mail skyddar ditt företags e-post

Att konfigurera e-postautentisering är viktigt, men det är bara en del av en komplett säkerhetsstrategi. Proton Mail lägger till ytterligare skyddslager för att hålla ditt företag säkert mot avancerade hot.

Avancerad detektering av spoofing

Proton Mail kontrollerar automatiskt SPF, DKIM och DMARC på alla inkommande meddelanden. E-postmeddelanden som inte klarar dessa kontroller markeras tydligt, vilket minskar risken för identitetsförfalskning.

PhishGuard

PhishGuard identifierar misstänkta länkar, mönster och andra varningstecken som grundläggande filter ofta missar, vilket hjälper till att blockera nätfiskeförsök innan de når medarbetarna.

End-to-end- och nollåtkomstkryptering

E-post mellan Proton-användare är automatiskt end-to-end-krypterad. Alla dina data lagras med nollåtkomstkryptering, vilket innebär att inte ens vi kan läsa dina e-postmeddelanden.

Länkbekräftelse

När användare klickar på en länk i ett e-postmeddelande visar Proton Mail en fullständig förhandsvisning av mål-URL:en, vilket hjälper till att förhindra oavsiktliga klick på skadliga webbplatser.

Prova Proton Mail gratis i 14 dagar Begär en demo

Säkra ditt företags kommunikation

Skydda ditt företag mot nätfiske, spoofing och dataintrång med e-posttjänsten som sätter säkerhet och integritet främst. Implementera stark e-postautentisering och dra nytta av end-to-end-kryptering och avancerat skydd mot nätfiske, allt i en enkel och säker lösning.

Prova Proton Mail for Business Begär en demo

Vanliga frågor (FAQ)

Vad är skillnaden mellan SPF och DKIM?: SPF kontrollerar vem som får skicka e-post för din domän genom att verifiera den sändande servern.
DKIM kontrollerar att själva meddelandet inte har manipulerats genom att använda en digital signatur.
De löser olika problem, så du behöver båda (och DMARC) därtill för ett fullständigt försvar.
Hur kontrollerar e-postservrar autentisering?: När en e-postserver tar emot ett meddelande slår den upp avsändarens SPF-, DKIM- och DMARC-poster. Den registrerar resultaten (som spf=pass eller dkim=fail) i en dold rubrik som kallas Authentication-Results. Din e-postleverantör använder sedan den informationen, tillsammans med många andra signaler, för att avgöra om meddelandet ska levereras till din inkorg, markeras som skräppost eller blockeras.
Hur lång tid tar det för DMARC att fungera?: DNS-posten är vanligtvis aktiv inom några timmar. Men att rulla ut DMARC på ett säkert sätt tar tid: du börjar med en policy för enbart övervakning (p=none), analyserar rapporterna, åtgärdar eventuella legitima avsändare som misslyckas och går sedan gradvis över till striktare policyer (p=quarantine eller p=reject). Den här processen tar ofta flera veckor eller månader.
Vad händer om bedragare spoofar min e-post?: DMARC innehåller en rapporteringsfunktion som talar om för dig om någon försöker imitera din domän. Om du upptäcker detta bör du varna din personal, informera dina kunder och anmäla bedrägeriet till brottsbekämpande myndigheter och organisationer mot nätfiske, som FTC eller Anti-Phishing Working Group.
Kan detta stoppa alla nätfiskeattacker?: Inget enskilt verktyg stoppar allt. SPF, DKIM och DMARC är utmärkta på att blockera direkt domänspoofing. Men angripare använder också knep som liknande domäner eller komprometterade konton. Det är därför autentisering bör vara en del av ett försvar i flera lager, tillsammans med användarutbildning och avancerade skyddsfunktioner som Protons PhishGuard.