SPF, DKIM og DMARC — beskyt jeres mail mod svindel

SPF (Sender Policy Framework) er en DNS-record, der fortæller modtagerens mailserver, hvilke servere der har lov til at sende mail fra jeres domæne. Når I opretter en SPF-record, siger I i praksis: "Kun disse servere sender mail på vegne af vores-domæne.dk — afvis alt andet." SPF-recorden ser typisk sådan ud: `v=spf1 include:spf.protection.outlook.com -all` — dette tillader kun Microsofts mailservere at sende fra jeres domæne.

DKIM (DomainKeys Identified Mail) tilføjer en usynlig digital signatur til hver mail, I sender. Modtagerens server kan verificere at mailen virkelig kom fra jer, og at indholdet ikke er blevet ændret undervejs. Det kræver to ting: en privat nøgle på jeres mailserver (som vi opsætter for jer) og en offentlig nøgle i jeres DNS (en TXT-record).

DMARC (Domain-based Message Authentication, Reporting & Conformance) bygger ovenpå SPF og DKIM. Det er jeres politikker for, hvad der skal ske, når en mail fejler SPF- eller DKIM-tjekket. I kan vælge: "none" (bare rapportér), "quarantine" (send til spam) eller "reject" (afvis helt). Vi anbefaler at starte med "none" for at se rapporterne, og derefter skifte til "reject" når I er sikre på, at alle jeres legitime afsendere er dækket.

Uden SPF, DKIM og DMARC kan hvem som helst sende mails, der ser ud som om de kommer fra jeres domæne. Det bruges til phishing-angreb mod jeres kunder, leverandører og medarbejdere. Ud over sikkerhedsaspektet kræver store mailservere som Google og Microsoft nu, at afsendere har korrekt SPF og DKIM sat op — ellers risikerer jeres mails at havne i spam.

Kontakt os, så sætter vi det hele op for jer. Det kræver adgang til jeres DNS-indstillinger (typisk 3 TXT-records), og det tager normalt under en time at implementere. Når det er sat op, modtager I løbende DMARC-rapporter, der viser om nogen forsøger at misbruge jeres domæne.