Hvorfor er email-sikkerhed vigtigt?
Email-spoofing er et af de mest udbredte angreb på internettet. Uden ordentlig beskyttelse kan hvem som helst sende emails der ser ud til at komme fra dit domæne. Dette bruges til:
- Phishing: Svindlere sender falske mails til dine kunder
- CEO fraud: Angribere udgiver sig for at være ledelsen
- Malware distribution: Falske mails med ondsindede vedhæftninger
- Omdømmeskade: Dit domæne ender på spam-lister
Med SPF, DKIM og DMARC kan du beskytte dit domæne og dine modtagere.
SPF: Sender Policy Framework
SPF er den første forsvarslinje. Det er en simpel TXT-record i din DNS der fortæller verden hvilke servere der har lov til at sende email fra dit domæne.
Sådan fungerer SPF
- Du publicerer en SPF-record i DNS
- Når nogen modtager en email fra dit domæne, slår de din SPF-record op
- De tjekker om afsender-serveren er på listen
- Hvis ikke, kan emailen markeres som spam eller afvises
Opsæt SPF-record
En grundlæggende SPF-record ser sådan ud:
v=spf1 include:_spf.google.com -all
Forklaring:
v=spf1- SPF version 1include:_spf.google.com- Tillad Google Workspace at sende-all- Afvis alt andet (brug~allfor soft fail under test)
Almindelige SPF-includes
| Udbyder | Include |
|---|---|
| Google Workspace | include:_spf.google.com |
| Microsoft 365 | include:spf.protection.outlook.com |
| Mailchimp | include:servers.mcsv.net |
| SendGrid | include:sendgrid.net |
DKIM: DomainKeys Identified Mail
DKIM tilføjer en digital signatur til hver email du sender. Modtageren kan verificere signaturen for at sikre at emailen er ægte og ikke er ændret undervejs.
Sådan fungerer DKIM
- Din mailserver signerer udgående mails med en privat nøgle
- Den offentlige nøgle publiceres i DNS som en TXT-record
- Modtageren bruger den offentlige nøgle til at verificere signaturen
- Hvis signaturen er gyldig, er emailen autentisk
Opsæt DKIM
DKIM opsættes typisk hos din email-udbyder:
Google Workspace:
- Gå til Admin Console > Apps > Google Workspace > Gmail
- Vælg "Authenticate email"
- Klik "Generate new record"
- Tilføj den genererede TXT-record til din DNS
Microsoft 365:
- Gå til Microsoft 365 Defender
- Email & collaboration > Policies > DKIM
- Vælg dit domæne og aktivér DKIM
- Tilføj de to CNAME-records til din DNS
DMARC: Den ultimative email-beskyttelse
DMARC samler SPF og DKIM og giver dig kontrol over hvad der sker med emails der fejler autentificering.
Sådan fungerer DMARC
- Du publicerer en DMARC-policy i DNS
- Modtagere tjekker om emails består SPF og/eller DKIM
- De tjekker om domænet "aligner" (matcher afsender-adressen)
- Emails der fejler behandles efter din policy
- Du modtager rapporter om alle emails sendt fra dit domæne
DMARC policies
| Policy | Effekt |
|---|---|
p=none |
Ingen handling, kun rapportering |
p=quarantine |
Send til spam/karantæne |
p=reject |
Afvis fuldstændigt |
Opsæt DMARC trinvist
Trin 1: Start med rapportering
v=DMARC1; p=none; rua=mailto:dmarc@ditdomæne.dk
Trin 2: Analysér rapporter Vent 2-4 uger og gennemgå rapporterne. Identificér legitime afsendere du måske har glemt.
Trin 3: Skru op for beskyttelsen
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@ditdomæne.dk
Trin 4: Fuld beskyttelse
v=DMARC1; p=reject; rua=mailto:dmarc@ditdomæne.dk
Test din email-sikkerhed
Brug DomainiFys gratis scanner til at tjekke din SPF, DKIM og DMARC-opsætning. Scanneren giver dig konkrete anbefalinger hvis noget mangler.