SPF
SPF står for Sender Policy Framework, og er en måde at validere, at en mailserver må sende mail ud fra det pågældende domænenavn igennem et DNS opslag.
Idéen med SPF, er at undgå at blive set som spam af modtagerserveren, idet man står inde for indholdet af mailen, og afsenderserverens ry.
Det er vigtigt at SPF recorden oprettes korrekt.
Hvis SPF checket fejler, vil det medføre at mail med stor sandsynlighed vil blive afvist, eller set som spam af modtagerserveren.
Der er oprettet en samlet SPF record på domænet spf.curanet.dk. Denne record inkluderer alle vores IP-ranges.
Det betyder at alle domæner, der udelukkende bruger os til afsendelse af mail, og som ønsker at gøre brug af SPF kan indsætte en meget simpel DNS record der ser således ud:
Type: TXT
v=spf1 a include:spf.curanet.dk ~all
Det er vigtigt at påpege at denne SPF record KUN godkender vores servere.
Bruges der andre services end os, til at sende mails ud fra domænet som fx. eksternt nyhedsbrevsmodul eller lignende, skal disse tilføjes til recorden.
Kontakt den service der benyttes, og få oplyst deres SPF record.
Der kan kun oprettes én record pr. domæne. Derfor er det nødvendigt at samle de forskellige SPF records, og omskrive dem til én record.
I dette eksempel har vi tilføjet Mailguns mailservice, da deres SPF adresse er 'mailgun.org', har vi inkluderet den i således:v=spf1 a include:spf.curanet.dk include:mailgun.org ~all
Eksempel på SPF record oprettet i vores DNS Administration:
Du kan se hvordan den skal oprettes her:
DKIM
DKIM står for DomainKeys Identified Mail, og er en måde at validere, at en mailserver må sende mail ud fra det pågældende domænenavn igennem DNS opslag.
Idéen med DKIM, er at undgå at blive set som spam af modtagerserveren, idet man står inde for indholdet af mailen, og afsenderserverens ry.
DKIM påvirker ikke andre mailservices, og kan derfor tilføjes uden at vide om domænet bliver brugt af andre services.
Vi har to DKIM konfigurationer, en til Mailhotel produkt, og en til Hosted Exchange produkt.
Mailhotel - Onlinemail.io:
Opret følgende DNS record:
Type CNAME
Host: onlinemail._domainkey
Data: dkim.mf.onlinemail.io
(Eks i vores DNS panel)
Hosted Exchange - Webexchange.nu:
Opret følgende DNS record:
Type CNAME
Host: webexchange._domainkey
(Eks i vores DNS panel)
Hosted Shop
Opret følgende DNS record:
Type CNAME
Host: webshop._domainkey
Data: dkim.shopfactory.io
(Eks i vores DNS panel)
DMARC
DMARC er en type af DNS record, der bruges til at opsætte en politik for hvordan modtageren skal reagere på indgående mails for et domæne. om den skal afvise mails der ikke er SPF- eller DKIM-valideret eller ej. SPF og DKIM fungerer uafhængigt af hinanden, og DMARC kobler disse to sammen og angiver retningslinjer for hvordan modtager (og deres server) skal forholde sig til den fremsendte mail inden den leveres.
Samtidigt kan DMARC benytte sig af rapporter som kan sendes tilbage til dig (på email), så du kan tilpasse din DMARC politik og overvåge om din opsætning af SPF og DKIM er korrekt.
Det er ensbetydende med at DMARC skal opsættes individuelt som ønsket, og der kan derfor gives en anbefaling til opsætningen når du starter ud, da du selv skal tage stilling til hvornår du vil stramme reglerne i din DMARC politik efterhånden som du får feedback ind via rapporterne hvis det er sat op.
Bemærk et DMARC vil påvirke din afsendelse af mail for det domæne det bliver sat op på, så test lidt frem og tilbage de første par dage efter det er sat op.
E-mærket og DMARC
E-mærket kræver, at DMARC-politikken sættes til quarantine eller reject. Herunder kan du se konsekvensen af de to politikker:
• p=quarantine: En DMARC “p=quarantine”
Denne politik lader de deltagende e-mailmodtagere vide, at du gerne vil have dem til at behandle e-mail, der fejler DMARC-godkendelseskontrollen, med ekstra forsigtighed. Når denne politik er implementeret, accepterer indbakken e-mails, der overtræder DKIM- eller SPF-tjekket, men markerer dem som spam.
• p=reject: En DMARC “p=reject”
Denne politik giver dig mulighed for at sikre, at al ondsindet e-mail bliver stoppet når kriterierne for DKIM eller SPF ikke er mødt. Som en ekstra bonus vil modtageren af den tilsigtede ondsindede e-mail aldrig blive opmærksom på e-mailen i første omgang, da den aldrig vil blive sendt til en spam- eller karantænemappe.
Quarantine er den mest lempelige af de to politikker, og det er vigtigt at være opmærksom på konsekvenserne af at anvende både den ene eller den anden.
Eksempel på DMARC-record med politikken sat til quarantine:_dmarc.<domæne> TXT 3600 v=DMARC1; p=quarantine; ruf=mailto:dinmail@ditdomæne.dk
For at tilføje DNMARC vil du skulle logge ind i din Kontrolpanel. og tilføje en ny DNS-record af typen “TXT”.
og det vil se sådan her ud i din DNS administration, når man tilføjer ny til DNS.
Hvis du er i tvivl ?
Så anbefaler vi at sætte policy (p) til “none” så intet afvises men en status rapporter genereres og sendes til en angiven mailadresse. Det kan benyttes til at se hvem der evt. udgiver sig for at sende på vegne af domænet. På baggrund af rapporten er det muligt derfra så at justere til._dmarc.<domæne> TXT 3600 v=DMARC1; p=none; ruf=mailto:dinmail@ditdomæne.dk
det vil se sådan her ud i din DNS administration, når man tilføjer ny til DNS record.
Så man kan i indkørselsfasen benytte sig af rapporter som modtageren sender på baggrund af de tags du kan tilføje i din DMARC record. Rapporterne leveres som en fil der kan åbnes i et regneark program eller uploades til en analyzer, som kan vise indholdet i et format, der er let at læse og analysere der kan du finde mere her
DMARC XML to Human Converter (dmarcian.com)
DMARC Report Analyzer (mxtoolbox.com)
Følgende services kan sættes op til at modtage rapporterne direkte og præsentere dem i et grafisk interface:
https://dmarcian.com
https://easydmarc.com
https://dmarc.postmarkapp.com
Ovenstående services har både gratis og betalte planer med forskellige features.
F.eks. er det muligt med dmarc.postmarkapp.com at få tilsendt en ugentlig mail med en opsummering.
Ellers kan du kan læse mere om DMARC her hos sikkerdigital
https://sikkerdigital.dk/myndighed/tekniske-tiltag/dmarc