Opsætning af DMARC

I denne artikel:


     

    Introduktion

    Start her hvis du vil vide mere om hvordan SPF, DKIM og DMARC virker i sammenhæng.

    SPF og DKIM fungerer uafhængigt af hinanden, og DMARC kobler disse to sammen og angiver retningslinjer for hvordan modtageren skal forholde sig. DMARC er en DNS record, der bruges til at opsætte en politik for hvordan modtageren skal reagere på indgående mails for et domæne, om den skal afvise mails der ikke er SPF- eller DKIM-valideret eller ej. Samtidigt benytter DMARC sig af rapporter som kan sendes tilbage til dig, så du kan tilpasse din DMARC politik og overvåge om din opsætning af SPF og DKIM er korrekt.

    Dette betyder at DMARC skal opsættes individuelt, og vi kan derfor give en anbefaling til en liberal opsætning når du starter ud, da du selv skal tage stilling til hvornår du vil stramme reglerne i din DMARC politik efterhånden som du får feedback ind via rapporterne.

     

    Opsætning

    Log ind i din DNS-manager og tilføj en ny DNS-record af typen "TXT". Indsæt følgende værdier, hvor "(domæne)" erstattes med dit domænenavn, og e-mailadressen med den ønskede modtager (vi forklarer mere om dette længere nede i artiklen):

    • Type: TXT
    • Hostnavn: _dmarc.(domæne)
    • TTL: 3600
    • Værdi: v=DMARC1;p=none;

    Din record skal gerne ende med have denne signatur i DNS manageren:

    _dmarc.(domæne)    TXT    3600    v=DMARC1;p=none;
    

    Til en opstart anbefaler vi at sætte policy (p) til "none" så intet afvises. Og, hvis du ønsker at modtage rapporter kan dette f.eks. gøres via tagget ruf (se tabellen herunder for mere information), som indsættes i forlængelse af ovenstående, her vist med en fiktiv e-mailadresse:

    _dmarc.(domæne)    TXT    3600    v=DMARC1;p=none;ruf=mailto:din-e-mail@eksempel.dk
    

    Rapporterne genereres og sendes retur til angivne e-mail. Rapporten kan bla. benyttes til, at se hvem der evt. udgiver sig for at sende på vegne af vores domæne. På baggrund af rapporten er det muligt for os, at tilpasse vores DMARC politik. Se sektionen E-mærket og DMARC for information vedr. E-mærket.

    Her kan du se en tabel over udvalgte DMARC tags og deres funktioner:

    Tag navnFormålEksempel
    vProtokol versionv=DMARC1
    rufIndberetnings URI til fejl rapporteringer (forensic reports)ruf=mailto:e-mail@example.com
    Hvis du benytter e-mail til rapportering skal der tages stilling til hvilken e-mail der tilføjes tagget ruf=mailto:e-mail@example.com (se sektionen DMARC rapporter). ruf er ikke påkrævet men benyttes hvis man har brug for ekstra monitorering.
    ruaIndberetnings URI til samlede rapporter (aggregate reports)rua=mailto:e-mail@example.com
    Hvis du benytter e-mail til rapportering skal der tages stilling til hvilken e-mail der tilføjes tagget rua=mailto:e-mail@example.com (se sektionen DMARC rapporter). rua er ikke påkrævet men benyttes hvis man har brug for ekstra monitorering.
    pOrganisationens domæne politikp=none, quarantine, reject
    spPolitik for subdomæner på organisationens domænesp=none, reject

    Du kan læse mere omkring hvordan de forskellige tags benyttes her. Ønsker du at udforme DMARC politikken for dit domæne, kan med fordel benytte https://dmarcian-eu.com til hjælp med opsætning og overvågning af DMARC.

    Vi kan også anbefale denne DMARC FAQ

     

    E-mærket og DMARC

    E-mærket kræver, at DMARC-politikken sættes til quarantine eller reject. Herunder kan du se konsekvensen af de to politikker:

    • p=quarantine: En DMARC "p=quarantine"-politik lader de deltagende e-mailmodtagere vide, at du gerne vil have dem til at behandle e-mail, der fejler DMARC-godkendelseskontrollen, med ekstra forsigtighed. Når denne politik er implementeret, accepterer indbakken e-mails, der overtræder DKIM- eller SPF-tjekket, men markerer dem som spam.
    • p=reject: En DMARC "p=reject"-politik giver dig mulighed for at sikre, at al ondsindet e-mail bliver stoppet når kriterierne for DKIM eller SPF ikke er mødt. Som en ekstra bonus vil modtageren af den tilsigtede ondsindede e-mail aldrig blive opmærksom på e-mailen i første omgang, da den aldrig vil blive sendt til en spam- eller karantænemappe.

    Quarantine er den mest lempelige af de to politikker, og det er vigtigt at være opmærksom på konsekvenserne af at anvende dem.

    Eksempel på DMARC-record med politikken sat til quarantine:

    _dmarc.(domæne)    TXT    3600    v=DMARC1;p=quarantine;
    

     

    Krav til DMARC med Gmail og Yahoo

    I takt med en øget indsats mod spoofing, phishing og spam har Gmail og Yahoo fra februar 2024 indført nogle nye tiltag som vi vil gennemgå her.

    Kravene gælder, hvis du sender 5000 e-mails eller mere om dagen til en af de to udbydere. I så fald skal dit e-maildomæne fra februar 2024 have en DMARC-politik i din DNS. Dine e-mails skal bestå DMARC Alignment, ellers vil de ikke blive leveret (læs mere her). Dette omfatter meddelelser, der sendes på vegne af din organisation af tredjeparts e-mailserviceudbydere som f.eks. MailChimp, Heyloyalty og HubSpot mv., der bruger dit e-maildomæne.

    Følgende hovedkriterier skal opfyldes for, at overholde Gmail og Yahoos retningslinjer:

    1. Du skal have opsat DMARC i din DNS:
      • Check om du allerede har en DMARC med DMARC Inspector toolet.
      • Se vores vejledning øverst i artiklen for et eksempel på hvordan din DMARC-record kan se ud.
      • En policy med p=none vil være tilstrækkeligt for Google og Yahoo.
      • Det er ikke et krav at benytte e-mail rapportering.
    2. Dine e-mails skal bestå DMARC. Se sektionen DMARC check i afsnittet Sådan fungerer det i praksis.
    3. Afsendende IP-adresser (mailservere og e-mailmarketing platforme) skal have en PTR-record opsat i DNS'en på det tilhørende domæne:
      • Hvis du har dine egne mailservere, bør du kontrollere, at hver IP-adresse har en tilsvarende PTR-record.
      • Det er sjældent, at legitime mailservere ikke har en PTR-record. De e-mails der sendes ud fra shopsystemet (ordrebekræftelser osv.) er f.eks. dækket ind med en PTR-record, som er sat op på SMTP-serverens domæne.
    4. Dine e-mails skal formateres efter RFC 5322 standarden (dette gør de fleste e-mail marketing platforme).
    5. Du skal inkludere et one-click afmeldingslink i dine e-mails så kunden let kan afmeldes listen (dette krav gælder fra juni 2024). Du bør rekvirere et sådan link fra udbyderen af din e-mailmarketing platform.
    6. Undgå at sende spam til dine mailinglister. Gmail kræver f.eks. at du har en Spam Complaint Rate under 0.3%.

    Du kan læse mere i følgende artikler fra demarcian, Google og Yahoo:

    Hvis du starter på bar bund med ovenstående begreber kan vi anbefale, at du får et overblik over SPF, DKIM og DMARC.

     

    DMARC rapporter

    Som nævnt i introduktionen, så kan man i indkørselsfasen benytte sig af rapporter som modtageren sender på baggrund af de tags du kan tilføje i din DMARC record. Vi anbefaler ruf, hvis du ønsker at benytte rapportering. ruf sender kun når der er problemer som skal håndteres og undlader, at rapportere den resterende trafik. Rapporterne leveres som en fil der kan åbnes i et regneark eller uploades til en analyzer, som kan vise indholdet i et format, der er let at læse og analysere:

    Følgende services kan sættes op til at modtage rapporterne direkte og præsentere dem i et grafisk interface:

    Ovenstående services har både gratis og betalte planer med forskellige features. F.eks. er det muligt med dmarc.postmarkapp.com at få tilsendt en ugentlig mail med en opsummering.

     

    Nyttige links