Defaults.Exposed › Rettelser › DMARC (Beskyttelse mod e-mail-spoofing)
Sådan retter du DMARC (Beskyttelse mod e-mail-spoofing)
DMARC er den ene indstilling, der faktisk beder verdens mailudbydere om at BLOKERE e-mails, der forfalsker din virksomheds navn. SPF og DKIM tjekker låsene; DMARC beslutter, hvad der sker, når en forfalskelse fejler tjekket — smid den ud, marker den, eller lad den passere. Sat forkert er dit domæne fuldt ud falsknerbart; sat rigtigt stopper efterligning ved indbakken.
Det korte svar for din virksomhed: Uden DMARC-håndhævelse kan en kriminel sende e-mail, der ser præcis ud som om den kom fra din virksomhed — til dine kunder, medarbejdere og leverandører — og den lander i deres indbakke, ikke spam. Folk svindles i dit navn, og de bebrejder dig.
Hvad dette kan koste dig
- En svindler e-mailer din kunde en ægte-udseende faktura 'fra dit økonomihold' med sine egne bankoplysninger. Kunden betaler den. Du finder ud af det uger senere, når de jagter de varer, de allerede betalte for — og de holder dig ansvarlig.
- En falsk 'hastebetaling'-e-mail sendes til din økonomiansvarlige, tilsyneladende fra dig, ejeren. De overfører pengene inden nogen tænker sig om — og når de er landet på en kriminels konto, kommer de næsten aldrig tilbage.
- En større prospects IT-team kører en sikkerhedscheck af dit domæne inden underskrift. Det kommer tilbage med 'e-mail ikke beskyttet — kan forfalskes.' Du mister aftalen til en konkurrent, hvis domæne bestod.
- Dit domæne bruges i en phishing-bølge. Kunder der er blevet snydt, skriver vrede anmeldelser og advarer andre. Omdømmeskaden varer måneder efter angrebet.
- Selv din ægte e-mail begynder at blive junket, fordi Google og Yahoo i stigende grad mistror — og nu sommetider afviser — domæner uden håndhævet DMARC.
Hvorfor det betyder noget. E-mail var aldrig bygget til at bevise hvem der virkelig sendte det, så at forfalske 'from'-adressen er trivielt. DMARC er den eneste kontrol, der forvandler 'vi kan detektere falsknerier' til 'falsknerier bliver blokeret' — og det giver dig også de daglige rapporter, der afslører hvem der sender post som dit brand. Store mailboks-udbydere behandler nu en manglende eller ikke-håndhævet DMARC-politik som et tillidssignal imod dig, så dette påvirker om din egen e-mail leveres.
Hvad DMARC er på klart dansk
E-mail har en snavset hemmelighed: “from”-linjen er bare skrevet tekst. Hvem som helst, hvor som helst, kan skrive din virksomheds navn og adresse i “from”-feltet på en e-mail og sende den. Internettet var aldrig designet til at stoppe dem.
Der er tre indstillinger, der tilsammen fikser dette. Tænk på dem som en bygnings sikkerhed:
- SPF er en liste over hvem der har adgang til hoveddøren (hvilke mailtjenester der må sende som dig).
- DKIM er et manipulationssikkert segl, der beviser, at beskeden ikke er ændret undervejs.
- DMARC er vagten der tjekker listen og seglet — og afgørende, beslutter, hvad der skal ske, når de ikke stemmer: lad den igennem, send den til spam, eller afvis den ved døren.
Du kan have listen (SPF) og seglet (DKIM) og stadig ikke have nogen vagt. Det er den enkeltstående mest almindelige og farligste situation: låsene eksisterer, men intet håndhæver dem. DMARC er håndhævelsen. Det er forskellen på “vi kan se, at denne e-mail er falsk” og “denne falske e-mail når aldrig din kunde.”
Hvad dette kan koste dig
Dette er ikke teoretisk. Her er de konkrete måder, et ubeskyttet domæne omsættes til rigtige penge og rigtige skader:
-
Falsk-faktura-svindlen. En kriminel e-mailer din kunde, hvad der ser præcis ud som en ægte faktura fra dit økonomihold — samme navn, samme domæne, professionelt layout — men med sine egne bankoplysninger. Fordi dit domæne ikke er håndhævet, lander den i indbakken, ikke spam. Kunden betaler. Du opdager det uger senere, når de spørger til deres ordre. Pengene er som regel væk, og kunden holder dig ofte ansvarlig for bruddet.
-
CEO-svindel-bankoverførslen. En e-mail tilsyneladende fra dig, ejeren, til din økonomiansvarlige: “Kan du gennemføre denne betaling hurtigt, jeg er til møde.” Det ser fuldstændig ægte ud, fordi det er din adresse — bare forfalsket. Betalingen sendes afsted. Dette mønster — Business Email Compromise — er en af de dyreste svindelnumre der rammer små virksomheder, præcis fordi e-mailen virkelig ser ud til at komme fra dit eget domæne, så den slipper igennem mistanken.
-
Den tabte kontrakt. En seriøs prospect kører en sikkerheds- eller indkøbscheck inden underskrift. Deres værktøjer rapporterer dit domæne som “falsknerbart — ingen e-mail-autentificeringshåndhævelse.” Det enkelte røde flag kan være nok til at tildele kontrakten til en konkurrent, hvis domæne bestod. Du hører aldrig den rigtige årsag.
-
Omdømmeskaden du ikke kan fortryde. Dit domæne er draget ind i en phishing-kampagne. Snesevis af folk, der er snydt i dit navn, skriver advarsler og anmeldelser. Angrebet varer en uge; spørgsmålet “er denne virksomhed overhovedet sikker?” varer måneder.
-
Din egen e-mail der ryger i spam. Google og Yahoo mistror nu aktivt domæner uden håndhævet DMARC. Tilbud, fakturaer og svar, du virkelig sendte, begynder stille og roligt at lande i spammapper. Aftaler staller, og du finder aldrig ud af hvorfor.
Hvad det faktisk er (og hvad “godt” ser ud som)
DMARC bor som en enkelt tekstlinje i dit domænes indstillinger — en DNS “TXT”-record udgivet ved det specielle navn _dmarc.ditdomæne. Inde i den er der et par korte instruktioner. To af dem tæller mest, og de er præcis de to ting denne vurdering tjekker.
1. Politikken (p=) — vagtens ordrer. Dette er den stærkt vejede del af tjekket. Den kan være én af tre ting:
p=none— kun overvågning. Vagten noterer hvem der kom igennem, men stopper ingen. Dette beskytter dig ikke; det er et overvågningsstadie, ikke en færdig opsætning. (Vores motor scorer dette som et fejl — bedre end ingen DMARC overhovedet, men ingen beskyttelse.)p=quarantine— send falsknerier til spam. Rigtig beskyttelse, men en beslutsom angriber satser på, at folk tjekker spammappen. Et solidt mellemtrin — det giver omtrent halvt point.p=reject— afvis falsknerier ved døren. Den forfalskede e-mail leveres aldrig. Dette er den eneste indstilling, der fuldt ud beskytter dig og giver fulde point.
Hvad “godt” ser ud som: p=reject. Noget andet efterlader et hul.
2. Rapporteringsadressen (rua=) — din synlighed. Dette er det andet tjek på denne side. rua=-tagget beder enhver mailudbyder i verden om at sende dig et dagligt resumé over hvem der forsøgte at sende e-mail som dit domæne — dine egne systemer og eventuelle efterlignere. Uden det flyveer du blindt: du ved ikke hvem der misbruger dit navn. Med det opdager virksomheder rutinemæssigt mellem 5 og 50 uautoriserede afsendere allerede den første dag.
Hvad “godt” ser ud som for rapportering: en gyldig rua=mailto:-adresse (eller en rapporteringstjeneste-https:-URL) der faktisk modtager rapporterne.
Sådan fikser du det (gratis, ~30 minutter fordelt over to uger)
Overrækk dette afsnit til den der administrerer dit domæne, hjemmeside eller IT — fikset er helt gratis. Vi opkræver kun betaling for at overvåge, at det forbliver korrekt over tid, for at administrere en portefølje af domæner, eller for en revision. Selve ændringen koster ingenting.
Den gyldne regel: hop aldrig direkte til reject. Aktivér overvågning først, watch rapporterne, bekræft at din ægte post genkendes, stram derefter. Gjort i denne rækkefølge er det sikkert; gjort i en fart kan det junke din egen e-mail.
Trin 1 — Sørg for at SPF og DKIM er på plads først. DMARC afhænger af dem. Mangler en af dem, ret dem inden du håndhæver DMARC (se SPF- og DKIM-siderne).
Trin 2 — Udgiv en overvågningsrecord med rapportering aktiveret. Tilføj en DNS TXT-record:
- Host / navn:
_dmarc.ditdomæne(din DNS-udbyder viser måske bare_dmarc) - Type: TXT
- Værdi:
v=DMARC1; p=none; rua=mailto:dmarc@ditdomæne; adkim=s; aspf=s
Dette overvåger og rapporterer uden at blokere noget endnu.
Trin 3 — Læs rapporterne i ~2 uger. Råe DMARC-rapporter er tæt XML. Brug en gratis rapporteringstjeneste (for eksempel dmarcian eller Postmarks gratis DMARC-værktøj) til at omdanne dem til et læsevenligt dashboard. Bekræft at enhver legitim afsender — din mailboks-udbyder, nyhedsbrevværktøj, CRM, helpdesk, fakturaapp — består. Fikse evt. legitime afsendere der ikke gør.
Trin 4 — Flyt til quarantine. Når din ægte post er ren, skift p=none til p=quarantine. Se det an i endnu et par dage.
Trin 5 — Flyt til reject. Skift endelig p=quarantine til p=reject. Du er nu fuldt beskyttet. Den endelige record ser sådan ud:
v=DMARC1; p=reject; rua=mailto:dmarc@ditdomæne; adkim=s; aspf=s
Trin 6 — Glem ikke subdomæner. Sørg for at du ikke har sp=none stående. Udgiver du ingen sp, arver subdomæner din primære p=-politik, som er det du ønsker.
Bemærkninger per gængs platform:
- Google Workspace / Microsoft 365: Begge understøtter fuldt ud DMARC. Selve DMARC-recorden tilføjes hos din DNS-udbyder, ikke i Googles eller Microsofts administrationskonsol — sørg for at SPF og DKIM er aktiveret i administrationskonsollen først, udgiv derefter DMARC TXT-recorden hos dit registrar/DNS-host.
- Cloudflare: DNS > Records > Tilføj record > TXT, navn
_dmarc, indsæt værdien.
Almindelige fejl
- At stoppe ved
p=none. Den mest almindelige fejl. Overvågning er starten, ikke slutningen — et domæne fast på ‘none’ kan stadig forfalskes fuldt ud. - At haste direkte til
rejectuden overvågning. Den modsatte fejl. Uden overvågningsstadiet indser du måske ikke, at en legitim afsender ikke er korrekt konfigureret — og du begynder at blokere din egen post. - At glemme subdomæne-politikken. En stærk
p=rejectmedsp=noneefterlader en bagdør åben; angribere forfalskeer bare et subdomæne i stedet. - En defekt rapporteringsadresse. En fejlskrevet
rua=(eller en der manglermailto:-præfikset) betyder, at rapporterne intet sted sendes, og du forbliver blind uden at indse det. - “Vi sender ikke e-mail, så vi springer det over.” Et ikke-afsendende domæne er et primært mål præcis fordi ingen holder øje med det. Udgiv en streng
reject-politik for at låse det helt ned.
En bemærkning om scoring
Politik-tjekket (p=) er et af de tungeste-vejede elementer i hele vurderingen — fordi det er den afgørende faktor for om din virksomhed kan efterlignes. reject giver fuld score; quarantine giver omtrent halvt; none og en manglende record scores som fejl.
Rapporterings-tjekket (rua=) bærer reel vægt også — men tænk på det mindre som et afkrydsningsfelt og mere som det værktøj, der lader dig nå reject sikkert.
Konfigurer det hos din udbyder
Trin for trin hos populære udbydere:
- Konfigurer DMARC hos GoDaddy
- Konfigurer DMARC hos Namecheap
- Konfigurer DMARC hos Cloudflare
- Konfigurer DMARC hos Google Workspace
- Konfigurer DMARC hos Microsoft 365
- Konfigurer DMARC hos Squarespace
- Konfigurer DMARC hos Wix
- Konfigurer DMARC hos AWS Route 53
- Konfigurer DMARC hos Hostinger
- Konfigurer DMARC hos Porkbun
- Konfigurer DMARC hos IONOS
- Konfigurer DMARC hos Bluehost
FAQ
Jeg er slet ikke teknisk — er dette noget jeg faktisk kan klare?
Ja, men du behøver ikke gøre det personligt. Fikset er et par linjer tilføjet til dit domænes indstillinger, og det er gratis. Den nemmeste vej er at sende afsnittet 'Sådan fikser du det' nedenfor til den der kører din hjemmeside eller din IT-support. Det tager dem som regel under en time, fordelt over et par ugers sikker overvågning.
Vil det at aktivere DMARC ved et uheld stoppe mine egne e-mails i at komme igennem?
Det kan det — men kun hvis du springer den sikre udrulning over. Hele pointen med at starte ved 'kun overvåg' (p=none) med rapportering aktiveret er at se i to uger og bekræfte, at enhver legitim afsender (din mailboks, dit nyhedsbrevværktøj, din fakturaapp) genkendes korrekt INDEN du skifter til blokering. Gjort i den rækkefølge påvirkes din ægte post ikke. At haste direkte til 'reject' uden at tjekke rapporterne er den ene almindelige fejl, der bryder levering.
Jeg har allerede SPF og DKIM opsat. Er det ikke nok?
Nej — og dette er det vigtigste punkt at forstå. SPF og DKIM er låsene; DMARC er instruktionen der siger 'hvis låsene ikke stemmer, afvis e-mailen.' Uden DMARC ved 'reject' kan en modtagende server bemærke, at en e-mail er forfalsket og stadig levere den. SPF og DKIM er forudsætninger for at DMARC virker, men alene stopper de ikke en forfalsket e-mail i at nå indbakken.
Hvad er forskellen på 'none', 'quarantine' og 'reject'? Hvilken har jeg brug for?
'none' overvåger og rapporterer kun — det stopper ingenting, så det beskytter dig ikke. 'quarantine' sender falsknerier til spammappen. 'reject' afviser dem direkte, så de aldrig ankommer. 'reject' er målet og den eneste indstilling, der giver fulde point. 'quarantine' er et rimeligt mellemtrin; 'none' er et startpunkt for de første par uger, ikke en destination.
Hvad er dette 'rua'-rapporteringsnoget, og har jeg brug for det?
rua-tagget beder mailudbydere om at sende dig et dagligt resumé over enhver tjeneste der forsøgte at sende e-mail som dit domæne — inklusive kriminelle. Det er sådan virksomheder opdager de 5 til 50 uautoriserede afsendere, der typisk misbruger et domæne fra dag ét. Det bærer i sig selv mindre vægt end politikken, men det er det der lader dig sikkert nå 'reject' uden at bryde din ægte post, så opsæt det på samme tid.
Vi sender knap e-mail, eller vi sender slet ingen e-mail fra dette domæne. Har vi stadig brug for DMARC?
Især så. Et domæne der sender lidt eller ingen ægte e-mail er et perfekt, lav-støj mål for kriminelle at efterligne, fordi ingen holder øje. Et domæne du aldrig sender post fra, bør udgive en streng reject-politik — det er en ren, lav-risiko gevinst der slår døren helt i.