Bloggat – Har du gjort allt för att säkra din e-post?

Publicerad 29 oktober 2019 i Advitum Svarar, Blogginlägg, Nyheter

Krister Bernhardsson, Advitum

Enligt de senaste rapporterna genomförs 90% av alla dataintrång via e-post vilket naturligtvis innebär att man behöver göra det som står i ens makt för att förhindra intrången.

Ett grundläggande skydd för sin organisations e-post är att ha koll på följande (utöver spamfilter samt verktyg för att skydda mot illvilliga länkar och bifogade filer)

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting and Conformance)

Att konfigurera detta är några enkla steg och ger en säkrare leverans och mottagning av e-post, oftast utan investeringar (förutom tiden för konfiguration)

Är du osäker om du redan har dessa skydd aktiverade, då kan du använda exempelvis verktyget mxtoolbox.com

SPF
SPF används övergripande för att berätta för mottagande mailservrar vilka godkända servrar som får skicka mail i ditt domännamn. Om ett mail skickas i ditt domännamn från en server som inte finns med i domänens SPF-record så kommer mailet anses som osäkert.

SPF:s fokus ligger på domännamnet som hittas i headern på mailet (Return-path, Mail-from, Bounche address). Om headern inte finns så tittar SPF på ”HELO/EHLO” hostnamnet för att se om SPF-recordet finns där. Finns avsändande mailserver med i SPF får vi en spf=pass på mailet.

DKIM 
DKIM lägger till en digital signatur i varje mail som skickas. Mottagande mailserver frågar DNS i avsändardomänen som mailet kommer från om den publika nyckeln för signeringen. Med den privata nyckeln kontrolleras att mailet kommer från den påstådda avsändaren och att mailet heller inte modifierats sen det skickades från avsändande mailserver.

När mailet är avkrypterat med gott resultat får vi en dkim=pass i headern på mailet.

DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC används för att  kontrollera om SPF och DKIM är uppfyllda på mottagande mailserver.  Därefter genomförs en kontroll om ”Return-Path”/”Mail from” som används av SPF och/eller ”d=” domain som används av DKIM överensstämmer med ”From” domain i headern på mailet. Nästa steg är att DMARC policyn exekveras som är publicerad i DNS för ”FROM” domänen.

DMARC kräver inte bara att SPF eller DKIM uppfylls utan kräver även att domännamnet som används av en av funktionerna stämmer överens med domänen i ”FROM” adressen.

Vad händer om DMARC inte uppfylls?

-None (report-only mode): Används bara för att få rapporter om vad som skulle hända om man aktiverar policyn ”quarantine” eller ”reject”
-Quarantine mode: Email kommer att hamna i karantän och troligtvis sluta i spamfoldern hos mottagaren.
-Reject mode: Mottagande mailserver kommer att koppla ner anslutningen och email kommer inte att nå mottagaren.

Oavsett vilken policy som är aktiverad så kommer en rapport att skickas till rapportprocessorn för DMARC som är specificerad i DNS.

Vill du diskutera detta vidare med oss är du självklart välkommen att kontakta oss, se advitum.se/kontakt för kontaktuppgifter.

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.