SPF, DKIM og DMARC

Introduktion

Godkendelse via shoppens domæne med SPF og DKIM, skal sikre at e-mails og nyhedsbreve når frem til kunden, frem for at ende som spam eller helt at blive afvist af den modtagende mail server.

Bemærk: Denne artikel er henvendt til DanDomain Classic Webshop. Benytter du derimod DanDomain Webshop skal du læse videre her.

Uanset om der er tale om shoppens ordrestatus e-mails eller nyhedsbreve, så udgår e-mails fra en mail server, som sender på vegne af shoppen. Mail serveren tilhører med andre ord en helt anden adresse på internettet, omend den sender mails med shoppens domæne. Så hvis man skal sikre sig at den modtagende mail server, kan få vished om at de afsendte e-mails faktisk tilhører shoppens domæne, og ikke bare er spam fra en tilfældig mail server, så kan man gøre dette ved at tilføje nogle henvisninger til en eller flere mail servere på shoppens domæne, kaldet “SPF”. Vi kan ydermere tilføje en sikkerhedsnøgle, kaldet “DKIM”. Begge dele tilføjes som DNS-records i domænets DNS-administration.

Hvis du har registreret dit domæne ved os, og det er tilknyttet DNS, så kan du tilgå dette via dit kundecenter, eller ved at kontakte kundeservice. Hvis du har brug for at godkende systemer fra andre leverandører, skal du kontakte de pågældende instanser, for at få udleveret informationerne til hhv. SPF og DKIM. Er du i tvivl kan du altid kontakte vores kundeservice, som kan hjælpe dig videre.

SPF

SPF inkluderer adresser som dit domæne siger god for. SPF skal sættes op individuelt på alle domæner hvor du ønsker at benytte SPF. Log ind i din DNS-manager og tilføj en ny DNS-record af typen “TXT”, med følgende indhold (denne SPF er udelukkende relateret til e-mails afsendt igennem shopsystemet):

Type: TXT
Hostnavn: (domæne)
TTL: 3600
Værdi: v=spf1 include:spf.dandomain.dk -all

Din record skal gerne ende med at se således ud i DNS manageren, med dit domæne i stedet for “(domæne)”:

(domæne)    TXT    3600    v=spf1 include:spf.dandomain.dk -all

1	(domæne) TXT 3600 v=spf1 include:spf.dandomain.dk -all

“spf.dandomain.dk” samler adresserne til de SMTP mail services som shopsystemet benytter til udsendelse af e-mails. Og hvis der sker ændringer i et underliggende system, vedligeholdes listen af os, så du er fri for at ændre i din DNS.

Bemærk: Ovenstående record er lavet med forudsætning om at du udelukkende benytter domænet til mails der sendes igennem shopsystemet. Sender du igennem andre mailservere (Exchange, mailhotel, webmail mv.), skal du udvide SPF-recorden til at inkludere disse. Sørg altid for at din SPF-record er 100% korrekt, ellers kan du risikere at dine udgående mails ikke bliver leveret (se link til SPF-tester nederst i artiklen).

Hvad betyder SPF?

Forkortelsen står for “Sender Policy Framework” (SPF) og er en liste af godkendte “hostnames” og “ip-adresser” der kan laves forespørgsler imod på dit domæne. Du finder specifikationen her.

DKIM

DKIM højner niveauet med en sikkerhedsnøgle, der kan valideres ved forespørgsel. DKIM skal sættes op individuelt på alle domæner hvor du ønsker at benytte DKIM. Log ind i din DNS-manager og tilføj en ny DNS-record af typen “CNAME”. Indsæt følgende værdier, hvor “(domæne)” erstattes med dit domænenavn:

Type: CNAME
Hostnavn: ddclassic._domainkey.(domæne)
TTL: 3600
Værdi: dkim.ddclassic.dandomain.dk

Din record skal gerne ende med at se således ud i DNS manageren (med dit domæne i stedet for “(domæne)”):

ddclassic._domainkey.(domæne)    CNAME    3600    dkim.ddclassic.dandomain.dk

1	ddclassic._domainkey.(domæne) CNAME 3600 dkim.ddclassic.dandomain.dk

Bemærk: Ovenstående DKIM-record benyttes udelukkende til DanDomain Classic Webshop. Du skal selv DKIM-signere udgående mails der ikke er sendt igennem shopsystemet, og opsætte den nødvendige DNS-record hertil.

Hvad betyder DKIM?

Forkortelsen står for “DomainKeys Identified Mail” (DKIM) og er en sikkerhed der verificerer e-mail mellem en afsender og en modtager. Det gør at mailen bliver verificeret som kommende fra den rigtige kilde, og at afsenderen er, hvem han/hun giver sig ud for at være. Du finder specifikationen her.

DMARC

SPF og DKIM fungerer uafhængigt af hinanden, og DMARC kobler disse to sammen og angiver retningslinjer for hvordan modtageren skal forholde sig. DMARC er en DNS record, der bruges til at opsætte en politik for hvordan modtageren skal reagere på indgående mails for et domæne, om den skal afvise mails der ikke er SPF- eller DKIM-valideret eller ej. Samtidigt benytter DMARC sig af rapporter som kan sendes tilbage til dig, så du kan tilpasse din DMARC politik og overvåge om din opsætning af SPF og DKIM er korrekt.

Dette betyder at DMARC skal opsættes individuelt, og vi kan derfor give en anbefaling til en liberal opsætning når du starter ud, da du selv skal tage stilling til hvornår du vil stramme reglerne i din DMARC politik efterhånden som du får feedback ind via rapporterne.

Opsætning

Log ind i din DNS-manager og tilføj en ny DNS-record af typen “TXT”. Indsæt følgende værdier, hvor “(domæne)” erstattes med dit domænenavn, og e-mailadressen med den ønskede modtager (vi forklarer mere om dette længere nede i artiklen):

Type:

TXT

1

TXT
Hostnavn:

_dmarc.(domæne)

1

_dmarc.(domæne)
TTL:

3600

1

3600
Værdi:

v=DMARC1;p=none;

1

v=DMARC1;p=none;

Din record skal gerne ende med have denne signatur i DNS manageren:

_dmarc.(domæne)    TXT    3600    v=DMARC1;p=none;

1	_dmarc.(domæne) TXT 3600 v=DMARC1;p=none;

Til en opstart anbefaler vi at sætte policy (p) til “none” så intet afvises. Og, hvis du ønsker at modtage rapporter kan dette f.eks. gøres via tagget ruf (se tabellen herunder for mere information), som indsættes i forlængelse af ovenstående, her vist med en fiktiv e-mailadresse:

_dmarc.(domæne)    TXT    3600    v=DMARC1;p=none;ruf=mailto:din-e-mail@eksempel.dk

1	_dmarc.(domæne) TXT 3600 v=DMARC1;p=none;ruf=mailto:din-e-mail@eksempel.dk

Rapporterne genereres og sendes retur til angivne e-mail. Rapporten kan bla. benyttes til, at se hvem der evt. udgiver sig for at sende på vegne af vores domæne. På baggrund af rapporten er det muligt for os, at tilpasse vores DMARC politik. Se sektionen E-mærket og DMARC for information vedr. E-mærket.

Her kan du se en tabel over udvalgte DMARC tags og deres funktioner:

Tag navn	Formål	Eksempel
v	Protokol version	v=DMARC1
ruf	Indberetnings URI til fejl rapporteringer (forensic reports)	ruf=mailto:e-mail@example.com Hvis du benytter e-mail til rapportering skal der tages stilling til hvilken e-mail der tilføjes tagget ruf=mailto:e-mail@example.com (se sektionen DMARC rapporter). ruf er ikke påkrævet men benyttes hvis man har brug for ekstra monitorering.
rua	Indberetnings URI til samlede rapporter (aggregate reports)	rua=mailto:e-mail@example.com Hvis du benytter e-mail til rapportering skal der tages stilling til hvilken e-mail der tilføjes tagget rua=mailto:e-mail@example.com (se sektionen DMARC rapporter). rua er ikke påkrævet men benyttes hvis man har brug for ekstra monitorering.
p	Organisationens domæne politik	p=none, quarantine, reject
sp	Politik for subdomæner på organisationens domæne	sp=none, reject

Du kan læse mere omkring hvordan de forskellige tags benyttes her. Ønsker du at udforme DMARC politikken for dit domæne, kan med fordel benytte https://dmarcian-eu.com til hjælp med opsætning og overvågning af DMARC.

Vi kan også anbefale denne DMARC FAQ

E-mærket og DMARC

E-mærket kræver, at DMARC-politikken sættes til quarantine eller reject. Herunder kan du se konsekvensen af de to politikker:

p=quarantine: En DMARC “p=quarantine”-politik lader de deltagende e-mailmodtagere vide, at du gerne vil have dem til at behandle e-mail, der fejler DMARC-godkendelseskontrollen, med ekstra forsigtighed. Når denne politik er implementeret, accepterer indbakken e-mails, der overtræder DKIM- eller SPF-tjekket, men markerer dem som spam.
p=reject: En DMARC “p=reject”-politik giver dig mulighed for at sikre, at al ondsindet e-mail bliver stoppet når kriterierne for DKIM eller SPF ikke er mødt. Som en ekstra bonus vil modtageren af den tilsigtede ondsindede e-mail aldrig blive opmærksom på e-mailen i første omgang, da den aldrig vil blive sendt til en spam- eller karantænemappe.

Quarantine er den mest lempelige af de to politikker, og det er vigtigt at være opmærksom på konsekvenserne af at anvende dem.

Eksempel på DMARC-record med politikken sat til quarantine:

_dmarc.(domæne)    TXT    3600    v=DMARC1;p=quarantine;

1	_dmarc.(domæne) TXT 3600 v=DMARC1;p=quarantine;

Krav til DMARC med Gmail og Yahoo

I takt med en øget indsats mod spoofing, phishing og spam har Gmail og Yahoo fra februar 2024 indført nogle nye tiltag som vi vil gennemgå her.

Kravene gælder, hvis du sender 5000 e-mails eller mere om dagen til en af de to udbydere. I så fald skal dit e-maildomæne fra februar 2024 have en DMARC-politik i din DNS. Dine e-mails skal bestå DMARC Alignment, ellers vil de ikke blive leveret (læs mere her). Dette omfatter meddelelser, der sendes på vegne af din organisation af tredjeparts e-mailserviceudbydere som f.eks. MailChimp, Heyloyalty og HubSpot mv., der bruger dit e-maildomæne.

Følgende hovedkriterier skal opfyldes for, at overholde Gmail og Yahoos retningslinjer:

Du skal have opsat DMARC i din DNS:
- Check om du allerede har en DMARC med DMARC Inspector toolet.
- Se vores vejledning øverst i artiklen for et eksempel på hvordan din DMARC-record kan se ud.
- En policy med p=none vil være tilstrækkeligt for Google og Yahoo.
- Det er ikke et krav at benytte e-mail rapportering.
Dine e-mails skal bestå DMARC. Se sektionen DMARC check i afsnittet Sådan fungerer det i praksis.
Afsendende IP-adresser (mailservere og e-mailmarketing platforme) skal have en PTR-record opsat i DNS’en på det tilhørende domæne:
- Hvis du har dine egne mailservere, bør du kontrollere, at hver IP-adresse har en tilsvarende PTR-record.
- Det er sjældent, at legitime mailservere ikke har en PTR-record. De e-mails der sendes ud fra shopsystemet (ordrebekræftelser osv.) er f.eks. dækket ind med en PTR-record, som er sat op på SMTP-serverens domæne.
Dine e-mails skal formateres efter RFC 5322 standarden (dette gør de fleste e-mail marketing platforme).
Du skal inkludere et one-click afmeldingslink i dine e-mails så kunden let kan afmeldes listen (dette krav gælder fra juni 2024). Du bør rekvirere et sådan link fra udbyderen af din e-mailmarketing platform.
Undgå at sende spam til dine mailinglister. Gmail kræver f.eks. at du har en Spam Complaint Rate under 0.3%.

Du kan læse mere i følgende artikler fra demarcian, Google og Yahoo:

Hvis du starter på bar bund med ovenstående begreber kan vi anbefale, at du får et overblik over SPF, DKIM og DMARC.

DMARC rapporter

Som nævnt i introduktionen, så vil man i indkørselsfasen benytte sig af rapporter som modtageren sender på baggrund af de tags du kan tilføje i din DMARC record. Rapporterne leveres som en fil der kan åbnes i et regneark eller uploades til en analyzer, som kan vise indholdet i et format, der er let at læse og analysere:

DMARC XML to Human Converter (dmarcian.com)
DMARC Report Analyzer (mxtoolbox.com)

Følgende services kan sættes op til at modtage rapporterne direkte og præsentere dem i et grafisk interface:

Ovenstående services har både gratis og betalte planer med forskellige features. F.eks. er det muligt med dmarc.postmarkapp.com at få tilsendt en ugentlig mail med en opsummering.

Nyttige links

- SPF test værktøj: kitterman.com/spf/validate.html
- Byg SPF-records med SPF Wizard: spfwizard.net
- DKIM test værktøj: mxtoolbox.com/dkim.aspx
- Få en visuel repræsentation af indholdet i din SPF med: dmarcian.com/spf-survey/