DMARC


Har du hørt om noe som heter DMARC, og lurer på hvorfor det er viktig og hvordan du tar det i bruk?

Hva er DMARC

Kort fortalt: Dersom din virksomhet har implementert DMARC sammen med SPF/DKIM, vil andre, når noen mottar en e-post som angivelig er fra deg eller din virksomhet, enklere kunne finne ut om den faktisk er sendt av deg, eller om avsenderen er forfalsket. Du vil også motta rapporter du kan bruke for å finne ut om domenet ditt misbrukes i slik svindel.

Resten av denne veiledningen er rettet mot IT-medarbeidere i virksomheter, med teknisk forståelse. Hvem i virksomheten som vil ha ansvar for å implementere DMARC vil avhenge av hvordan virksomhetens e-postsystemer er satt opp, og hvem som leverer dem.

DMARC står for Domain based Message Authentication, Reporting and Conformance. Det vil si domenebasert autentisering, rapportering og konformitet for e-post.

DMARC baserer seg på SPF og DKIM. Les mer om dem lenger ned i veiledningen.

Du kan ta i bruk DMARC ved å legge det inn i DNS-oppføringen for domenet ditt. DMARC baserer seg på sjekkene som gjøres i forbindelse med SPF og DKIM, men har en strengere mekanisme for sjekking av e-post. Med SPF og DKIM er det opp til mottakeren å velge hvordan e-post som feiler sjekkene skal håndteres. Med DMARC kan dette imidlertid spesifiseres av den legitime avsenderen, og mottakeren slipper å “gjette”.

For å konfigurere DMARC trenges det ikke både SPF og DKIM. Det rekker å implementere kun én av disse teknologiene, selv om begge er å anbefale. F.eks. rekker det å kun ha implementert SPF for å legge til DMARC i tillegg.

DMARC gir også avsenderen mulighet til å få tilsendt rapporter tilbake, som forklarer hvor de utgående e-postene har sitt opphav, og hvordan de håndteres av mottakerne. På denne måten kan også eieren av avsenderdomenet bli varslet dersom deres domene misbrukes i forfalskede e-poster.
Det finnes mye programvare, både kommersiell og open source, som hjelper deg med å visualisere disse rapportene.

Les mer om DMARC under Anbefaling 4: Domain based Message Authentication, Reporting and Conformance (DMARC) i NSMs grunnleggende tiltak for sikring av e-post.


(Hentet fra NSMs veiledning “Grunnleggende tiltak for sikring av e-post”, figur 3)


Hva er SPF

SPF står for Sender Policy Framework.

SPF er en mekanisme som kan brukes av en e-postserver når den mottar en e-post, for å sjekke om avsenderens e-postserver faktisk har lov til å sende e-post på vegne av det oppgitte domenet. Dette kan være et hinder mot falske e-postadresser der selve avsender-adressen er forfalsket.

Det fungerer på både avsendersiden og mottakersiden. På avsendersiden kan en organisasjon publisere IP-adressen(e) som er autoriserte til å sende e-post på vegne av organisasjonens domene, som DNS-oppføring i organisasjonens DNS.

Den mottakende e-postserveren kan så undersøke DNS-oppføringene til domenet e-posten angivelig er sendt fra, og kontrollere at IP-adressen til avsender-serveren faktisk finnes der, som en autorisert avsender.

Les mer om SPF under Anbefaling 2: Sender Policy Framework (SPF) i NSMs grunnleggende tiltak for sikring av e-post.


spf

(Hentet fra NSMs veiledning “Grunnleggende tiltak for sikring av e-post”, figur 1)


Hva er DKIM

DKIM står for DomainKeys Identified Mail.

Med DKIM legges det med en signatur, som kan bekrefte at e-posten ble sendt på en måte som er autorisert av eieren til avsenderdomenet, og at de aktuelle delene av e-posten ikke har blitt endret.

Det benyttes asymmetrisk kryptering for å legge en digital signatur til som et eget header-felt i e-postens header. Den offentlige nøkkelen brukt til signeringen publiseres så med DNS-oppføringene til avsenderorganisasjonen.

Når en mottakende e-postserver mottar e-posten, kan den så hente avsenderens offentlige nøkkel, og bruke denne for å verifisere signaturen. På denne måten kan man bekrefte at e-posten ble sendt på en måte som er autorisert av eieren til avsenderdomenet, og at de aktuelle delene av e-posten ikke har blitt endret.

Les mer om DKIM under Anbefaling 3: DomainKeys Identified Mail (DKIM) i NSMs grunnleggende tiltak for sikring av e-post.


dkim

(Hentet fra NSMs veiledning “Grunnleggende tiltak for sikring av e-post”, figur 2)


Implementere DMARC

Ønsker du konkret informasjon om hvordan du implementerer DMARC, DKIM og SPF? Nasjonal sikkerhetsmyndighet har etablert et eget nettsted hvor man kan få veiledning til implementering av DMARC og annen sikring av e-post, dmarc.no. Engelske versjoner fra britiske NCSC finnes i Email security and anti-spoofing:

DMARC: Configuring anti-spoofing controls
DKIM: Creating and managing a DKIM record
SPF: Creating and iterating an SPF record

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.