DMARC er en forkortelse for Domain-based Message Authentication, Reporting, and Conformance. Det er en sikkerhedsstandard til e-mail, som forhindrer falske mails såsom phishingmails i at nå frem til modtageren. DMARC forhindrer også mails, som er manipuleret undervejs, i at nå frem. Det er med andre ord en sikkerhed for, at e-mails kommer fra den korrekte mailserver.
Før vi dykker ned i DMARC, vil vi dog gå i dybden med, hvorfor nogle mails ender i spam.
Derfor ender mails i spam
Det er ret kompliceret at svare på, hvorfor nogle mails ender i spam, og de enkelte mail-udbydere har typisk deres egen måde at afgøre det på, hvilket de gør på baggrund af forskellige punkter.
Den vurderer fx:
- E-mailens indhold, herunder specifikke ord i emnefeltet
- Størrelsesforholdet mellem tekst og billeder
- Antallet af specialtegn
- Afmeldingslink og virksomhedsinformationer, hvis det er en nyhedsmail.
- Afsenderhistorik, dvs. om afsenderen tidligere har kommunikeret med dig.
Der bliver også tjekket, om andre har rapporteret afsenderen for spam eller phishing. Tekniske aspekter, herunder om afsenderens IP-adresse er blacklistet, virus/malware scan, korrekt opsat SPF-, DKIM- og DMARC-record, mv.
Ud fra disse punkter vurderes mailen og får en score, som placerer den i enten indbakken, spam-mappen eller helt afviser den. Men det kan som nævnt variere fra udbyder til udbyder. Netop også derfor er det en god idé at tilføje SPF, DKIM og DMARC til sit mailhotel.
Hvad er DMARC?
DMARC er ikke et produkt, man kan købe, men derimod en gratis teknisk specifikation, som tilføjer nye funktioner til e-mail. DMARC er oprindeligt skabt til at beskytte mod phishing og kaldes også anti-phishing i nogle kredse, da det simpelthen kan reducere antallet af falske mails, som når din indbakke.
DMARC gør det sværere for hackere at misbruge maildomæner ved fx at sende falske mails fra andres mailadresser, som får modtagerne til at tro, at de har modtaget en legitim mail.
DMARC er en vigtig tilføjelse, fordi udviklingen indenfor cyberkriminalitet betyder, at hackernes metoder er blevet mere sofistikerede og tekniske. Det betyder også, at kritisk sans og øget opmærksomhed simpelthen kommer til kort, og derfor er det nødvendigt at implementere tekniske sikkerhedstiltag såsom DMARC som beskyttelse mod cyberkriminalitet. Det er på den måde en tilføjelse, som øger den generelle sikkerhed på nettet.
DMARC bygger ovenpå sikkerhedsstandarderne DKIM og SPF, som også er vigtige tilføjelser til enhvers mailhotel. Dem kan du læse mere om i vores separate blogindlæg om de to værktøjer.
Sådan virker DMARC
Helt lavpraktisk sørger DMARC for at sortere alle mails. I denne proces bliver de falske afsendelser blokeret, før de når ud til modtageren. DMARC kan således sammenlignes med, hvis et postbud tjekkede din identitet, hver gang du sendte et brev.
DMARC kan give et indblik i, om domæner bliver misbrugt, og om mails kommer rigtigt frem. DMARC krydstjekker dermed informationer om mailen, som både gælder afsender, modtager og indhold - i forhold til førnævnte punkter. Informationerne fundet gennem SPF og DKIM danner altså et ekstra sikkerhedslag, når de matcher mellem de to værktøjer.
For at DMARC kan validere en mail, skal den igennem to trin; I første trin skal e-mailen godkendes af enten SPF eller DKIM, for at den kan gå videre til DMARC. En af de to værktøjers validering er nok her. Næste trin er så, at Domain alignment skal matche header-informationen med mindst ét af de to værktøjer som validerede første trin.
Det betyder altså, at hvis DKIM fejler mailen, og SPF validerer den, så skal Domain alignment altså kunne matche med SPF for at DMARC kan godkende og validere den. Det er derfor et filtreret system som e-mails skal igennem, før det når dig som modtager.
DMARC kan ikke validere en mail
Det kan også ske, at DMARC simpelthen ikke kan validere en mail, og dermed fejler den. Så kan du måske undre dig over, hvad der sker med den fejlede mail. Man har et præ-oprettet DMARC-record hvor man tilkendegiver et domænenavn, og hvordan e-mails fra dette domænenavn skal håndteres.
Her definerer man en “mailpolitik”, dvs. hvordan DMARC, SPF og DKIM skal reagere på de forskellige domæner. Mailpolitikken bliver defineret med “p=policy”, hvor man kan udfylde “policy” med tre forskellige politikker:
- p=none indikerer, at der ikke skal foretages en handling, med de mails der fejler DMARCs validering.
- p=quarantine betyder, at de mails, der bliver fejlet af DMARC, altså skal i “karantæne” i en anden mappe, eksternt fra din almindelige indbakke - dette er typisk i din spammappe.
- p=reject betyder, meget simpelt, at de mails, der falder under denne politik, bare skal afvises og ikke leveres til dig.
Den sidste og vigtige funktion i DMARC
En anden og meget vigtig funktion som DMARC også har, er rapportering. Du har nemlig mulighed for, at modtage rapporter, som giver dig informationer om dine e-mail-godkendelser. Man kan vælge hvilke rapporter, man vil modtage, og hvilket fokus de skal have; om det er domænenavnet du vil undersøge, eller et specifikt søgeord i en mail. De to typer for rapporter er aggregate reports og forensic reports:
- Aggregate reports er den mest udbredte form for rapport der er, fordi det giver et generelt overblik over, hvor effektiv hele e-mail-godkendelsen er.
- Forensic reports går derimod i detaljerne, og viser præcis dér hvor mailen har fejlet.
Fordelen ved at gennemgå rapporterne er, at man kan optimere godkendelsen endnu mere end den er i forvejen. Det kan være en god idé at optimere godkendelsen, fordi der vil være problemer med anvendelsen af SPF, DKIM og DMARC, hvis man ikke har opsat dem korrekt. Derfor findes p=none-politikken.
Man skal også være obs på ikke at sætte DMARC-politikken udelukkende til p=reject, for selvom spam er irriterende, så er der også mange mails der kan gå tabt. Derfor er p=none optimal, fordi den arbejder sammen med rapporterne, og adskiller spam med legitime e-mails.
De tre værktøjer er den mest optimale opsætning, når det kommer til at optimere dit domænes e-mail-godkendelse og -levering. Som du måske kan læse, så er det en indviklet proces, men heldigvis er det også computeren, der står for det meste af det.
Alligevel er det en god ting at have indblik i, når du gennemgår awareness-træning.
Emilie Hartmann
Emilie er ansvarlig for Moxsos content- og kommunikationsindsats. Hun brænder for at øge opmærksomheden på den menneskelige del af cybersikkerhed og forbinde mennesker og teknologi.
Se alle indlæg af Emilie Hartmann