SPF, DKIM & DMARC Spambeskyttelse

Jeg har i mange år interesseret mig for lidt for SPAM som en naturlig følge af at have stået for driften af et par mailserver nogle år.
Jeg har rodet med Whitelisting, Blacklisting, Greylisting, DNSBL og ikke mindst SpamAssassin / Amavis

Jeg plejer at inddele SPAM i 2 typer:

Der er den slags SPAM som Magnus Kjøller sender ud, her er der tale om email der sendes ud til en masse emailadresser indsamlet på mere eller mindre lovlig vis, f.eks via Facebook, denne type SPAM er lidt speciel idet man gerne vil have det til at se ud som det er et respektabelt firma der står for udsendelsen, og derfor ikke gør noget for at skjule hvem afsenderen er. Den slags SPAM er rigtig svær at slippe af med. Man har sjældent særligt meget held med at afmelde sig disse firmaers mailinglister.

Så er der resten, lægemiddelspam, Phishing, Casinospam, Rolex ure osv, her gør man hvad man kan for at skjule hvem den egentlige afsender er, den slags SPAM afsendes næsten aldrig fra afsenderens eget maildomæne, man misbruger istedet mere eller mindre tilfældige personer og firmaers domænenavne til at afsende email med falsk afsender.

Sidstnævnte slags SPAM kan vi gøre noget ved, ja, jeg skrev VI, det kræver nemlig en fællesindsats af alle der ejer et eller flere domænenavne.
Der skal udvises lidt ansvarlighed, i bund og grund er det ikke så meget anderledes end færdselsloven, der påbyder dig at låse din bil når du går fra den så ikke alle og enhver kan tage og bruge den.

Det er et par teknologier som i teorien kan anvendes til at gøre det ret besværligt for fremmede at misbruge dit domænenavn til SPAM udsendelse.

SPF
SPF går kort fortalt ud på at du ved hjælp af en simpel TXT record i DNS fortæller verden hvilke mailservere der må udsende email med dit domæne som afsender.

DKIM
DKIM er en digital signatur på nogle udvalgte mailheaders, bla. afsenderadressen. Ejeren af et domæne styrer ved hjælp af DNS hvem der kan udstede disse signaturer.

Fælles for SPF & DKIM er imidlertid at det er meget få mailservere ude i verden som “tør” afvise en email pga. en forkert DKIM signatur eller fordi emailen er afsendt fra en mailserver som ikke optræder i SPF recorden, alt i alt har vi altså et par smarte teknologier som ikke i praksis virker helt efter hensigten.

DMARC
I starten af 2011 satte nogle af de helt store spillere på mailområdet sig så sammen for at finde på noget smartere, og resultatet blev DMARC
DMARC er en kombination af SPF & DKIM, som lukker de huller/svagheder SPF & DKIM har hver for sig. Og næsten vigtigst, hvis et domæne hævder at udsende DMARC kompatibel email så afvises email rent faktisk hvis det ikke er tilfældet.

Alt i alt er teknikken der nu til at gøre en seriøs indsats for at mindske mængden af SPAM & Phishing.

Læs mere om DMARC

10 kommentarer til “SPF, DKIM & DMARC Spambeskyttelse

  1. kimblim siger:

    giv mig en trin-for-trin guide, og så skal jeg nok deltage 🙂

  2. Ivan Hornbek siger:

    Jeg vil rigtig gerne deltage og vil meget gerne sprede budskabet, så kom bare igang med trin-for-trin guiden:)…… og ja ved godt du promovere én træningsvideo……. men mit engelske er ikke helt perfekt:)
    Og hvorfor, jo jeg er så p…. f…… træt af de mange forskellige slags l…. mail jeg eller mine fasmiliemedlemmer får hver dag:(

    JEG VIL MEGET GERNE VÆRE MED TIL AT UDBREDE DETTE SUPER TILTAG!!!!!!!!!!!

    Som start kunne jeg da godt tænke mig at vide, hvordan man kommer igang:o

    Hilsen
    Ivan

    • Henrik Schack siger:

      Hej Ivan
      Det ser ud til du har din email liggende hos TDCWebmore, så du skal nok starte med at høre om de kan DKIM signe email for dig

      Mvh
      Henrik Schack

  3. Hej Hernik

    Jeg har sat DKIM, DMARC og SPF op på et domæne. Er det en ulempe/problemer at nogle mail sendes uden DKIM? Mailserveren er selvfølgelig i SPF, DKIM er bare ikke opsat.

    Tænkte at du må vide det, tak for en masse gode indlæg!

    • Henrik Schack siger:

      Hej Emil
      Hvis du har planer om at opgradere fra monitor mode (p=none) så vil jeg absolut anbefale at du DKIM signer alt email, SPF er fint, men det knækker når du sender email til en adresse som forwardes.

      Specielt hvis du kører mailinglister eller andre former for masseudsendelser er det en god ide at sørge for at være DMARC compliant, her for nylig begyndte Google at anbefale Bulk senders anvender DMARC
      https://support.google.com/mail/answer/81126?hl=en#authentication

      Mvh
      Henrik Schack

      • Tak for det hurtige svar!

        På min egen webshop og private domæner signes alle mails med DKIM og der er selvfølgelig også DMARC og SPF opsat. Når jeg har kørt med monitor mode lidt mere er planen at opgradere gradvist.

        På det omtalte domæne sendes bulk mail DKIM signet (jeg bruger mandrill.com, det er fantastisk at arbejde med)
        Problemet er at mails fra Exchange server ikke DKIM signes, jeg har ikke undersøgt så meget, men der må jo findes noget software til det, det ser ikke ud til det er indbygget…

        Jeg ville bare være sikker på at det ikke var noget negativt ved at alle mails ikke DKIM signes, når man kører med DMARC, udover advarslen i dmarcian 🙂

  4. Anders Boholdt-Petersen siger:

    Hej Henrik

    Tak for et spændende blogindlæg.

    Jeg har et domæne, hvor jeg, gennem udbyderen, har opsat SPF og DKIM. Jeg mangler DMARC, hvis det skal være helt i orden.

    Jeg savner noget dansk information om hvordan at DMARC sættes op. Jo, der findes nogle forskellige tjenester på engelsk, hvor jeg kan betale mig for DMARC – men da må da findes noget billigere, når deti så vidt jeg forstår, i virkeligheden blot drejer sig om en txt-fil i domænets DNS-zone.

    Ved du om der findes nogle danske guides med eksempler til, hvordan en DMARC-record kan se ud?

    Pft.

    Mvh Anders.

  5. Henrik Schack siger:

    Hej Anders
    Hvis det er et domæne du kun bruger til personligt brug ville jeg oprette en konto hos dmarcian.com, det koster ikke noget.
    Når du er blevet oprettet bliver du guided igennem de forskellige steps.
    Alternativt kan du bruge Wizarden på denne side : https://dmarcian.com/record-tools/ (længst ude til højre)

    Mvh
    Henrik Schack

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *