E-mail med SPF, DKIM og DMARC

I denne artikel:


    Introduktion

    SPF, DKIM og DMARC er tre værktøjer der kan hjælpe med at forebygge spoofing (som benyttes til phishing og spam) ved at validere ægtheden af e-mails. Da e-mails altid er knyttet til et domæne er validering af e-mails centreret omkring domæneopsætningen hvilket foregår på den DNS server domænet tilhører.

    Bemærk: Denne guide tager udgangspunkt i din webshop og de e-mails som udsendes fra shoppen (ordrebekræftelser, ordrestatus e-mails, faktura osv.). Du vil derfor finde eksempler som viser hvordan tingene fungerer når du har webshop ved os med de indstillinger vi benytter i vores systemer.

     

    Forstå SPF, DKIM og DMARC

    Her er en kort forklaring af de forskellige mekanismers funktion (vi ser nærmere på detaljerne længere nede i artiklen):

    • SPF er en mekanisme der fortæller modtagerens e-mail server hvilke e-mail servere der er godkendt til at sende e-mails på vegne af dit domæne (i dette tilfælde din webshop)
      (SPF er en forkortelse af "Sender Policy Framework")
    • DKIM er en mekanisme som signerer alle udgående mails fra dit domæne med en privat nøgle, som kan valideres med en offentlig nøgle som placeres på shoppens domæne
      (DKIM er en forkortelse af "DomainKeys Identified Mail")
    • DMARC er en mekanisme der binder SPF og DKIM sammen, og lader ejeren af et domæne fortælle modtager serveren hvordan den skal forholde sig til e-mails der påstår at komme fra afsenderen, som ikke stemmer overens med SPF eller DKIM
      (DMARC er en forkortelse af "Domain-based Message Authentication, Reporting and Conformance")

    Alle tre mekanismer indbefatter en tekst streng, der tilføjes på dit domænes DNS som TXT og CNAME records (uddybes længere nede i artiklen). Ud over tilføjelse til DNS indbefatter DKIM også tilføjelse af en nøgle i din e-mail servers indstillinger, så serveren kan signere de e-mails du sender ud fra webshoppen.

     

    Sådan fungerer det i praksis

    I dette diagram gennemgår vi mailflowet når din webshop sender en ordrebekræftelse til kunden:

    1. Domæne: SPF, DKIM og DMARC er opsat som DNS-records på shoppens domæne, så de efterfølgende kan aflæses på internettet. Mailserverens internet adresse inkluderes i SPF recorden, og mailserverens offentlige DKIM nøgle samt DMARC informationer indsættes i hver deres DNS record.
    2. Webshop: Ordrebekræftelsen bliver i virkeligheden sendt fra en e-mail server som er tilknyttet shoppen. Mail serveren er opsat således at alle udgående mails DKIM-signeres med en private nøgle, der har en tilsvarende offentlig nøgle som kan aflæses på shoppens domæne (se punkt 1).
    3. E-mail: Den DKIM-signerede e-mail sendes afsted til modtageren. Ud over at indeholde DKIM nøglen kan afsenderens e-mailadresse og serverens internet adresse også aflæses i e-mailen.
    4. Modtager: Modtager serveren gennemgår de data som e-mailen består af og sammenholder informationerne med informationerne på shoppens domæne (SPF, DKIM og DMARC), for at få en samlet vurdering:
      • SPF check: Her undersøger modtageren om afsenderen (mailserveren som har sendt e-mailen) er inkluderet i domænets SPF record. Dette kan være i form af et domæne eller en IP-adresse.
      • DKIM check: Her afkoder modtageren den medfølgende DKIM-nøgle som e-mailen er signeret med (nøglen er placeret i e-mail header teksten) ved, at benytte den offentlige nøgle som findes i domænets DKIM record. Valideringen er en succes hvis den private nøgle kan dekrypteres med den offentlige nøgle, og hvis resultatet (det dekrypterede indhold) matcher oplysningerne i DKIM recorden (domænenavn og selector).
      • DMARC check: Her sikrer modtageren sig at SPF og DKIM er gældende, hvilket inkluderer et kryds-check af afsenderoplysningerne så SPF og DKIM sættes i relation til hinanden. På baggrund af dette følges DMARC-politikken som angivet i DNS recorden. Serveren kan derudover blive bedt om at sende en status rapport tilbage til afsenderen, som kan benyttes af afsenderen til evt. justeringer (disse oplysninger er en del af DMARC recorden på domænet)

     

    Sådan opsætter du SPF, DKIM og DMARC

    Her kan du læse mere om hvordan de individuelle mekanismer fungerer og hvordan du opsætter de forskellige DNS records:

     

    Nyttige links