Hopp til hovedinnhold
Meny
Driftsmeldinger

Driftsmeldinger

Gå til alle driftsmeldinger

Driftsmeldinger

DMARC

Kort beskrivelse av DMARC (Domain-based Message Authentication, Reporting & Conformance), praktiske tips og hjelp til selvhjelp.

Kort beskrivelse av DMARC

DMARC er i all hovedsak tre ting:

  • Beskyttelse av egne domener mot e-postforfalskning
  • Blokkering av forfalsket e-post fra andres domener
  • Automatisk rapportering av forfalsket e-post til eieren av domenet

Når e-post mottas kan følgende sjekkes av mottakende mailserver:

  • SPF-record (Sender Policy Framework). Forteller hvilke ip-adresser som er gyldige avsenderadresser for domenet.
  • DKIM-signatur (DomainKeys Identified Mail). Gyldig signatur forteller at avsender er autorisert for å sende e-post fra domenet.
  • DMARC. DMARC validerer dersom enten SPF eller DKIM validerer og domenet stemmer overens med from-feltet i e-posten, dvs den adressen som blir presentert i mailklienten.

Dersom eposten ikke er gyldig i henhold til DMARC vil DMARC-recorden også si noe om hva mottaker skal gjøre med eposten:

  • Blokkering
    • p=none: Gjør ingenting. E-posten blir levert.
    • p=quarantine: Marker e-posten som spam/søppelpost.
    • p=reject: Avvis e-posten.
  • Rapportering
    • rua= Send rapport til definert adresse om at e-post er sendt ugyldig i henhold til DMARC.
    • ruf= Send kopi av e-posten til definert adresse.

Noen praktiske tips

  • Start med alle domener, ikke bare hoveddomenet
  • Start med monitorering for å få oversikt (p=none)
    • Det finnes kommersielle tjenester som kan bidra til å gi god oversikt: AGARI, dmarcian
    • HelseCERT bidrar gjerne til å få virksomheter i gang med DMARC.
  • Domener som ikke skal sende e-post bør parkeres med både SPF og DMARC
    • [domene.no.] TXT "v=spf1 -all"
    • [_dmarc.domene.no.] TXT "v=DMARC1; p=reject; rua=mailto:?; ruf=mailto:?"
  • Det kan være en fordel å opprette default-records og peke til dem med CNAME. På den måten er det mulig å endre DMARC-record for mange domener samtidig ved å kun endre én plass. Eksempel:
    • _dmarc CNAME parkeddomain.[domene.no.]
    • parkeddomain.[domene.no.] TXT "v=DMARC1; p=reject; rua=mailto:?; ruf=mailto:?"
  • DKIM-signering er nødvendig for å validere e-post som blir automatisk videresendt. Office 365 støtter DKIM-signering
  • Spørreundersøkelser og andre tjenester for masseutsendelser kan være en utfordring. Flere slike tjenester støtter DKIM-signering.
  • DMARC for et domene gjelder også for subdomener som ikke har satt egen DMARC-record (_dmarc.[subdomene].[domene.no.])
  • Mange virksomheter eier flere domener. For at DMARC-rapporter for alle domener kan bli sendt til samme adresse, må det opprettes TXT-records i sonen “_dmarc.[domene.no.]” for hvert annet domene. Dette gjelder ikke for subdomener.
    • Eksempel:
      [annetdomene.no]._report._dmarc.[domene.no.] TXT “v=DMARC1”
    • DMARC Wiki

Hjelp til selvhjelp

Flere anbefalte tiltak

  • Oppgrader program- og maskinvare for å ta i bruk ny sikkerhetsfunksjonalitet og lukke sikkerhetshull.
  • Beskytt administratorkontoer. Unngå at brukere har administratorrettigheter.
  • lnnfør applikasjonshvitelisting. Det hindrer kjøring av uautorisert programvare.
  • lnnfør to-faktor-autentisering for tjenester tilgjengelig på internett.
  • Gjennomfør sårbarhetsskanning for å oppdage sårbare maskiner i eget nettverk.
  • Jobb aktivt med å forbedre sikkerhetskulturen i virksomheten.