Defaults.Exposed › Opsætning › DMARC

Sådan opsætter du DMARC på Microsoft 365

Tilføj en DMARC-record i dit DNS, så modtagere ved, hvad de skal gøre med e-mail, der fejler dine SPF- og DKIM-tjek.

Hvad det betyder for din virksomhed

DMARC er den politik, der binder SPF og DKIM sammen. Den fortæller modtagende mailservere, hvad de skal gøre, når en e-mail, der påstår at komme fra dit domæne, fejler disse tjek — ignorere den, sende den til spam eller afvise den direkte — og den kan sende dig rapporter, der viser, hvem der sender (og forfalsker) post som dig. I klart sprog: DMARC er det, der rent faktisk forhindrer kriminelle i at udgive sig for dit domæne og bedrage dine kunder og medarbejdere. Det er gratis, og det forvandler SPF og DKIM fra “rart at have” til reel beskyttelse.

Sæt SPF og DKIM op først

DMARC kræver SPF og DKIM. Sæt dem op før, eller sideløbende med, DMARC. En DMARC-record alene — uden fungerende SPF/DKIM — kan risikere at blokere din egen legitime e-mail. Start blidt (se politiknotat nedenfor), og stram til over tid.

Vigtigt: hvor du gør det

Ligesom SPF er DMARC en DNS-record, ikke en indstilling i Microsoft 365. Microsoft 365 er din mailplatform (den kører postkasserne), men DMARC-recorden tilføjes dér, hvor dit domænes DNS befinder sig — din registrar, webhost, Cloudflare eller den, der kontrollerer dine nameservers. Lader du Microsoft administrere dit DNS, tilføjer du den i Microsoft 365 admin center → Settings → Domains → DNS records; ellers tilføjes den hos din DNS-host. Der er ingen særskilt “DMARC-knap” i Microsoft — Microsofts del er blot, at fungerende SPF og DKIM (opsat separat) er det, DMARC bygger på.

Først: hvilket firma kører dit DNS?

En DMARC-record virker kun, hvis den tilføjes dér, hvor dit domænes nameservers peger. Er du i tvivl, tjekker du sektionen Nameservers hos din registrar eller spørger den, der satte dit website op. Tilføj recorden i det firmas DNS-indstillinger (kig efter DNS / Records / Advanced DNS).

Hvad du tilføjer

En enkelt TXT-record på et særligt hostnavn: _dmarc.

En sikker startværdi, der kun overvåger og aldrig blokerer noget, er:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = overvåg kun; intet blokeres endnu. Godt til de første par uger.
• rua=mailto:... = hvor opsummerende rapporter sendes. Brug en rigtig postkasse, du tjekker.
• Når du har bekræftet (via rapporterne og den gratis kontrol), at din legitime post består, kan du stramme politikken til p=quarantine (send fejl til spam) og senere p=reject (afvis fejl direkte). Microsoft anbefaler at arbejde hen imod p=reject, når du er sikker.

Trin

1. Log ind hos din DNS-host (din registrar, webhost eller DNS-udbyder — eller Microsoft 365 admin center, hvis Microsoft kører dit DNS).
2. Åbn DNS-indstillingerne for dit domæne (kig efter DNS / Records / Advanced DNS).
3. Tilføj en ny record, og vælg TXT.
4. I feltet Name / Host skriver du præcis _dmarc (med den indledende understreg). Skriv ikke _dmarc.yourdomain.com — DNS-hosten tilføjer dit domæne automatisk.
5. I feltet Value indsætter du din DMARC-streng, f.eks. v=DMARC1; p=none; rua=mailto:[email protected] (erstat e-mailadressen med en rigtig adresse, du overvåger).
6. Lad TTL stå på standard.
7. Gem.

Fælder folk typisk falder i

• Det er ikke en postkasseindstilling. Folk leder efter “DMARC” i Microsoft 365’s indstillinger — den er ikke der som en til/fra-knap. Den hører hjemme i dit DNS.
• Hostnavnet er _dmarc, med understreg. Glemmer du understregen, eller skriver du hele domænet bagefter, placeres recorden forkert, og DMARC vil ikke blive fundet.
• Pas på anførselstegnene. Indsæt værdien uden; de fleste DNS-hosts tilføjer selv anførselstegnene. Pak ikke ind i "..." selv.
• Kun én DMARC-record. Der bør kun være én TXT-record ved _dmarc. Hvis der allerede eksisterer en, skal du redigere den i stedet for at tilføje en ny.
• Start med p=none. Springer du direkte til p=reject, inden SPF/DKIM er solide, kan du blokere dine egne fakturaer og tilbud. Overvåg først, stram til siden.
• Brug en rigtig rapporteringspostkasse. rua-adressen skal være en, du faktisk kan modtage post på.
• Giv det tid. DNS-ændringer kan tage fra minutter op til et par timer at slå igennem overalt.

Verificer at det virkede

Når recorden er gemt, kan du bekræfte, at din DMARC-record er live og korrekt, med den gratis kontrol på Defaults.Exposed. Indtast dit domæne, og siden fortæller dig på klart sprog, om DMARC er sat korrekt op, og hvad du skal gøre nu. Dine data behandles i EU.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.