Spørsmål og svar

Tilbake
Stikkord:  

Hva er SPF, DKIM og DMARC?
SPF, DKIM og DMARC trenger DNS-oppføringer som, med riktige innstillinger, bedrer epostleveranser.

Har du alle tjenester hos Domeneshop er dette allerede satt opp automatisk for deg.

Innhold

  1. SPF (Sender policy framework)
  2. DKIM (DomainKeys Identified Mail)
  3. DMARC (Domain-based Message Authentication, Reporting & Conformance)

SPF (Sender policy framework)

SPF er en løsning for å angi hvilke epostleverandører som får sende epost på vegne av ditt domenenavn.

Med SPF kan du uttrykke ønske om hvordan epost som ikke består SPF-sjekken bør håndteres av mottaker:

  • ~all: Dette kalles "Softfail" og oppfordrer mottakers leverandør til å markere eposten som mistenkelig
  • -all: Dette kalles "Hardfail" og oppfordrer mottakers leverandør til å avvise eposten

Eksempel:

Du har en SPF-oppføring for domenet mittnavn.no som ser slik ut: "v=spf1 include:_spf.domeneshop.no ~all"

Det vil si at kun Domeneshop er i listen over godkjente avsendere. Om man da forsøker å sende epost fra en annen epost-leverandør med f.eks epost@mittnavn.no som avsender, vil de ikke bestå SPF-sjekken og mottaker oppfordres til å betrakte eposten som mistenkelig.


DKIM (DomainKeys Identified Mail)

DKIM er en digital signatur som sikrer at innholdet i epostene dine ikke har blitt endret under overføring fra avsender til mottaker.

Når du sender en epost, legger DKIM til en digital signatur i meldingen. Denne signaturen er knyttet til ditt domene. Når eposten mottas, bruker mottakerens epostleverandør DKIM-nøkkelen publisert i din DNS for å sjekke at signaturen er gyldig og at eposten ikke har blitt modifisert på underveis fra avsender til mottaker.

Eksempel:

DKIM-oppføringer vil i utgangspunktet være av type TXT og starte slik: "v=DKIM1; k=rsa; p=", etterfulgt av en lang, kryptisk tekst bestående av bokstaver, tall og tegn.

DKIM kan alternativt angis som CNAME-oppføring hvor verdien er oppgitt som et vertsnavn, f.eks. ds2023.mittnavn.no.dkim.domeneshop.no, fremfor en lang tekst. Disse vil alltid være unike for ditt domenenavn.

DKIM-oppføringen vil alltid være plassert på et subdomene, f.eks. xxxxxx._domainkey.mittnavn.no som tilhører kun ditt domene. xxxxxx kalles for "selector".


DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC bygger videre på SPF og DKIM, og inkluderer et viktig konsept kalt "alignment". DMARC hjelper deg å styre hvordan du ønsker at mottakers epost-tjeneste skal håndtere eposter som ikke oppfyller kravene.

Med DMARC evalueres epostens legitimitet ikke bare basert på om den består SPF- og DKIM-sjekkene, men også på om domenet som brukes i disse sjekkene er i samsvar med epost-adressen/domenet som er oppgitt som avsender (feltet "Fra:"/"From:") for å redusere svindler som forfalsker avsenderadressen.

DMARC kan ikke forhindre forfalsket "navn" på avsender, det er kun selve den tekniske epostadressen som kan ettergås på denne måten.

DMARC kan ha følgende retningslinjer ("policy") for hva som skal skje når epost ikke passerer kontrollen. Epost som passerer kontrollen håndteres som normal epost.

  • none - Skal fungere som om du ikke anga noen preferanse. Denne brukes for feilsøking.
  • quarantine - Plasser meldingen i søppelpost, karantene eller på annen måte filtreres hos mottaker uten å leveres i innboks.
  • reject - Avvis meldingen uten å levere i søppelpost eller i innboks.

Det er alltid opp til mottaker/mottakers epostleverandør hva som faktisk skjer.

DMARC støtter ytterligere parametre som f.eks. andel av meldingene som skal berøres av retningslinjen, eller epost-adresse som skal motta statistiske rapporter om problemer (brukes som regel i kombinasjon med retningslinje "none" i feilsøking). Vi forklarer ikke hvordan du gjør dette, teknisk interesserte brukere kan lese mer om dette hos f.eks. Dmarcian (pct tag og rua vs ruf).

Eksempel:

Opprett subdomene _dmarc på domenet, f.eks. _dmarc.mittnavn.no som en TXT-oppføring med data (innhold) "v=DMARC1; p=quarantine;" for å be om at epost som tolkes som ugyldig/falsk avsender, skal plasseres i spam-mappe eller i karantene uten å leveres i innboks.

Se også:

© 2024 Domeneshop AS · Om oss · Vilkår · Personvern