E-mail sikkerhed

Fra NørderiWiki
Skift til: Navigation, Søgning

Få styr på SPF og DKIM først! Derefter DMARC.

Undgå spam og misbrug af domæne

SPF er kort fortalt en måde at fortælle verden hvem der må sende mail i dit navn. Således dit domæne ikke bliver misbrugt til spam. Og SPF burde jo sådan set være rigeligt for at undgå misbrug, men det er det ikke. Da den måde email er lavet på, er der nemlig 2 Fra adresser. SPF tjekker kun den ene, envelope-from, der er nem at 'snyde' med, og ikke header-from som vises i klienten.
Se den rigtig gode engelsk forklaring her: Envelope vs Header FROM. Se også Serverfault og Wikipedia.
SPF opsættes som TXT records i DNS for domænet.

DKIM bruges til at validere at mailen kommer fra hvor den udgiver sig for at komme fra. Det sker ved at indsætte en signatur i mailen, som via DNS records kan tjekkes. Dette er altså noget mail serveren også skal kunne indsætte. Det kan Office 365, se her hvordan det opsættes: Use DKIM to validate outbound email sent from your custom domain in Office 365.
DKIM opsættes som TXT records i DNS for domænet. Se vedledning fra udbyderen.

Alt dette her hjælper ikke noget hvis modtager af mail ikke tjekker SPF/DKIM og afviser mail der ikke godkendes. Da der er flere der ikke tør at afvise mails blev DMARC opfundet.

DMARC er en måde at binde SPF og DKIM sammen. Således kan du fortælle omverden at hvis ikke SPF/DKIM er overholdt må du gerne afvise mail fra mit domæne (da de jo må være forfalsket). Samt der sendes rapporter fra modtager mail servere, om de modtager mails der udgiver sig for at være dig. Dermed kan du langsomt køre DMARC op for at se hvor der er problemer.
DMARC sættes også på via DNS record.
Use DMARC to validate email in Office 365
For DMARC rapporter: dmarcanalyzer.com eller https://go.valimail.com/microsoft.html

- Vær opmærksom på der kan være problemer hvis en modtager videresender dine mails automatisk.

Har man et parkeret domæne, altså et domæne der ikke sender mails, opsæt dette:

v=spf1 -all
v=DMARC1; p=reject;

http://henrik.schack.dk/2013/01/23/dmarc-implementering-pa-et-parkeret-domaene/ + https://tools.ietf.org/html/rfc7505 Null MX

Se mere på disse links:

Submit spam, non-spam, and phishing scam messages to Microsoft for analysis

http://www.noelpulis.com/fix-550-5-1-8-access-denied-bad-outbound-sender/

https://decentsecurity.com/malware-web-and-phishing-investigation/