Google Apps DMARC implementering

Google Apps
Nu har jeg efterhånden et par gange hjulpet folk med at implementere DMARC på en Google Apps hostet mailløsning, så det må være på tide at få skrevet det ned.
Du kan bruge denne vejledning uden at komme galt afsted hvis du afsender alt dit domænes email gennem Googles servere, dvs ikke noget med at en enkelt bruger eller en enkelt webserver på domænet lige bruger noget andet end Googles SMTP servere til udgående email.
Tip en ven/Send til en ven, som findes på en del hjemmesider kan hvis de er lavet forkert (og de er de fleste af dem) godt give problemer med email som ikke kommer frem til dig.

SPF

Først skal du have oprettet en SPF record, hvis du ikke allerede har sådan en på dit domæne. En vejledning i hvordan det gøres kan man finde på Googles hjælpeside om SPF records. Når du mener du har gjort det så husk at checke den ser rigtig ud ude i verden, det kan du f.eks gøre med dmarcian.com SPF Query værktøjet. Bare indtast dit domænenavn og tryk på survey knappen. Er du mere til kommandolinje kan du også bruge nslookup
nslookup -type=txt schack.dk
Server: 8.8.8.8
Non-authoritative answer:
schack.dk text = "v=spf1 include:_spf.google.com ~all"

DKIM

Så skal vi til den lidt sværere del, aktivering af DKIM signaturer på din udgående email fra Google.

Login i din Admin console for dit domæne hos Google

Vælg Google Apps

Vælg Gmail

Vælg Authenticate email

Kopier TXT record værdien ind i en teksteditor, det er den som starter med v=DKIM1…

Opret en ny TXT record i DNS for dit domæne, navnet skal være google._domainkey.domænenavn, f.eks google._domainkey.schack.dk

Test at TXT recorden er blevet oprettet korrekt, med nslookup gøres det sådan her for mit domæne:

nslookup -type=txt google._domainkey.schack.dk
Server: 8.8.8.8
Non-authoritative answer:
google._domainkey.schack.dk text = "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC..."

Når din TXT record er blevet synlig ude i verden er du klar til at trykke på Start authentication knappen i din admin console hos Google. Dette skulle gerne resultere i at statusbeskeden på samme side skifter til Status:Authenticating email

DMARC

Nu hvor SPF og DKIM er kørende er forudsætninger for DMARC implementeringen på plads.
En vigtig feature ved DMARC er de rapporter mailudbydere rundt omkring i verden leverer med feedback, rapporterne leveres ikke i et læsevenligt format, så jeg vil anbefale du opretter en DMARC rapporteringskonto hos dmarcian.com, det er gratis så længe du afsender under 100000 emails om måneden.
Når du har oprettet en konto hos dmarcian.com får du en rapporteringsemailadresse, den har formen :

xxxxxxxx@ag.dmarcian.com

Så kan du endelige oprette den sidste DNS TXT record som sætter det hele igang. TXT recorden skal have navnet : _dmarc.domænenavn, f.eks _dmarc.schack.dk. Til at starte med vil jeg anbefale du anvender værdien:

"v=DMARC1; p=none; pct=100; aspf=s; adkim=s; rua=mailto:xxxxxxxx@ag.dmarcian.com;"

hvor xxxxxxxx@ag.dmarcian.com er den emailadresse du fik da du oprettede en konto hos dmarcian.com.

p=none betyder du kører i monitor mode, dvs mailudbyderne overvåger din email og leverer rapporter til din konto hos dmarcian.com, men gør derudover intet.
Rapporterne opdateres som standard en gang i døgnet, så i løbet af et par dage burde du have lidt data på din rapportkonto. Send eventuelt et par emails til dig selv for at være helt sikker 🙂
Når du har kørt i monitormode et stykke tid og er helt sikker på alt stadig virker som det skal kan du udskifte p=none med p=quarantine eller p=reject

2 kommentarer til “Google Apps DMARC implementering

  1. Jens siger:

    Hej Henrik,

    Er det ikke galt når SPF recorden ender på “~all”.
    Skal det ikke være “-all” jf. http://www.openspf.org/SPF_Record_Syntax

    • Henrik Schack siger:

      Hej Jens
      Hvis det skal bruges til DMARC gør det ikke rigtig nogen forskel, DMARC kigger efter et SPF PASS.
      Eller sagt lidt anderledes, for DMARC’s vedkommende er der ikke forskel på – og ~

      Mvh
      Henrik Schack

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *