Gå til hovedinnhold

DMARC

Kort beskrivelse av DMARC (Domain-based Message Authentication, Reporting & Conformance), praktiske tips og hjelp til selvhjelp.

Kort beskrivelse av DMARC

DMARC er i all hovedsak tre ting:

 • Beskyttelse av egne domener mot e-postforfalskning
 • Blokkering av forfalsket e-post fra andres domener
 • Automatisk rapportering av forfalsket e-post til eieren av domenet

Når e-post mottas kan følgende sjekkes av mottakende mailserver:

 • SPF-record (Sender Policy Framework). Forteller hvilke ip-adresser som er gyldige avsenderadresser for domenet.
 • DKIM-signatur (DomainKeys Identified Mail). Gyldig signatur forteller at avsender er autorisert for å sende e-post fra domenet.
 • DMARC. DMARC validerer dersom enten SPF eller DKIM validerer og domenet stemmer overens med from-feltet i e-posten, dvs den adressen som blir presentert i mailklienten.

Dersom eposten ikke er gyldig i henhold til DMARC vil DMARC-recorden også si noe om hva mottaker skal gjøre med eposten:

 • Blokkering
  • p=none: Gjør ingenting. E-posten blir levert.
  • p=quarantine: Marker e-posten som spam/søppelpost.
  • p=reject: Avvis e-posten.
 • Rapportering
  • rua= Send rapport til definert adresse om at e-post er sendt ugyldig i henhold til DMARC.
  • ruf= Send kopi av e-posten til definert adresse.

Noen praktiske tips

 • Start med alle domener, ikke bare hoveddomenet
 • Start med monitorering for å få oversikt (p=none)
  • Det finnes kommersielle tjenester som kan bidra til å gi god oversikt: AGARI, dmarcian
  • HelseCERT bidrar gjerne til å få virksomheter i gang med DMARC.
 • Domener som ikke skal sende e-post bør parkeres med både SPF og DMARC
  • [domene.no.] TXT "v=spf1 -all"
  • [_dmarc.domene.no.] TXT "v=DMARC1; p=reject; rua=mailto:?; ruf=mailto:?"
 • Det kan være en fordel å opprette default-records og peke til dem med CNAME. På den måten er det mulig å endre DMARC-record for mange domener samtidig ved å kun endre én plass. Eksempel:
  • _dmarc CNAME parkeddomain.[domene.no.]
  • parkeddomain.[domene.no.] TXT "v=DMARC1; p=reject; rua=mailto:?; ruf=mailto:?"
 • DKIM-signering er nødvendig for å validere e-post som blir automatisk videresendt. Office 365 støtter DKIM-signering
 • Spørreundersøkelser og andre tjenester for masseutsendelser kan være en utfordring. Flere slike tjenester støtter DKIM-signering.
 • DMARC for et domene gjelder også for subdomener som ikke har satt egen DMARC-record (_dmarc.[subdomene].[domene.no.])
 • Mange virksomheter eier flere domener. For at DMARC-rapporter for alle domener kan bli sendt til samme adresse, må det opprettes TXT-records i sonen “_dmarc.[domene.no.]” for hvert annet domene. Dette gjelder ikke for subdomener.
  • Eksempel:
   [annetdomene.no]._report._dmarc.[domene.no.] TXT “v=DMARC1”
  • DMARC Wiki

Hjelp til selvhjelp