DMARC-rapporter: Hur du läser och använder dem

Den här artikeln förklarar hur du tolkar de dagliga DMARC-rapporterna som skickas av mottagande e-postservrar.

Introduktion:

DMARC, som står för Domain-based Message Authentication, Reporting and Conformance, är ett e-postautentiseringsprotokoll. Det lägger till ett extra säkerhetslager genom att bygga på befintliga mekanismer (SPF och DKIM) för att effektivt förhindra förfalskning av avsändaridentitet och nätfiske. DMARC gör det också möjligt för domänägare att få rapporter om e-post som skickas i deras namn för att bättre kontrollera användningen av deras domän.

Denna standard hjälper till att skydda din domän från bedräglig användning av spammare, som kan förfalska avsändaradressen (”From”) för att få det att se ut som om e-postmeddelandet kommer från en legitim användare av din domän. DMARC förhindrar denna typ av förfalskning genom att säkerställa att e-postmeddelanden är auktoriserade att skickas för din domäns räkning.

DMARC bygger på andra standardautentiseringsprotokoll, såsom SPF (Sender Policy Framework) och DKIM (DomainKeys Identified Mail), för att hjälpa administratörer att identifiera bedrägliga e-postmeddelanden som skickas av cyberangripare. Genom att kombinera dessa mekanismer förbättrar DMARC möjligheten att upptäcka förfalskningsförsök och skydda domänens rykte.

Observera: När du autentiserar din domän på systeme.io läggs SPF och DKIM-posterna automatiskt till i din domän.

DMARC-protokollet tillåter avsändare att definiera en policy som anger hur mottagande servrar ska hantera e-post som misslyckas med SPF- eller DKIM-kontroller. Enligt denna policy kan icke-kompatibla meddelanden markeras som skräppost eller helt avvisas.

Vad är DKIM och SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM är en metod för e-postautentisering som använder en digital signatur för att låta mottagare verifiera att ett meddelande skickats av en auktoriserad avsändare och inte ändrats under överföringen.

När ett e-postmeddelande skickas signeras det med en privat nyckel som är kopplad till avsändarens domän. Vid mottagandet använder mottagarens e-postserver (som Gmail, Outlook osv.) en offentlig nyckel publicerad i domänens DNS för att validera signaturen. Detta säkerställer att e-postinnehållet inte har manipulerats under överföringen.

Med andra ord förhindrar DKIM att en tredje part avlyssnar ett e-postmeddelande, ändrar dess innehåll och skickar det med potentiellt bedräglig information.

En annan stor fördel med DKIM är att det hjälper till att bygga upp din sändande domäns rykte. Internetleverantörer (ISPer) analyserar sändningskvalitet (spamfrekvenser, studsningar, mottagarengagemang osv.) för att utvärdera domänens tillförlitlighet. Att följa dessa bästa metoder förbättrar direkt din e-postleveransbarhet.

2. SPF (Sender Policy Framework)

SPF är ett e-postautentiseringsprotokoll som tillåter ISPer, såsom Gmail, att verifiera om en e-postserver är auktoriserad att skicka meddelanden för en domän. I praktiken är det en vitlista deklarerad i domänens DNS som specificerar vilka tjänster eller IP-adresser som får skicka e-post för din räkning.

När ett meddelande tas emot kontrollerar destinationsservern om avsändaren finns på den tillåtna listan som definieras i SPF-posten. Om inte kan meddelandet markeras som misstänkt eller avvisas.

Vilka är fördelarna med DMARC?

Skydda din domäns rykte

DMARC skyddar ditt varumärke och din domän mot förfalskningsförsök. Det förhindrar obehöriga avsändare från att skicka e-post i ditt namn. I vissa fall kan enbart publicering av en DMARC-post förbättra din domäns rykte hos e-postleverantörer.

Bättre insyn i domänanvändning

DMARC-rapporter ger tydlig insikt i hur din domän används, legitimt eller inte. Du kan se vem som skickar e-post i ditt namn och snabbt identifiera misstänkt aktivitet.

Förbättra e-postleverans

DMARC verifierar att dina e-postmeddelanden är korrekt autentiserade via SPF och DKIM. Genom att upptäcka och åtgärda autentiseringsproblem ökar du chansen att dina e-postmeddelanden når mottagarnas inkorgar samtidigt som risken för att bli flaggad som skräppost minskar.

Minska skräppost och klagomål

Genom att förhindra att förfalskade e-postmeddelanden når slutanvändare hjälper DMARC till att minska skräppostklagomål och skydda din domäns rykte hos ISPer.

DMARC-rapporter gör det möjligt att analysera resultat från e-postautentisering och vidta åtgärder för att skydda din domän eller ditt företags rykte.

En DMARC-rapport innehåller vanligtvis följande information:

  • Enhetens namn (organisation eller leverantör) som genererar rapporten
  • Rapporteringsperiod (start- och slutdatum)
  • Autentiseringsstatus: godkänd eller misslyckad för SPF och DKIM
  • SPF/DKIM-överensstämmelse: om posterna stämmer överens med den avsändande domänen
  • Avsändarens IP-adress för det analyserade meddelandet
  • Åtgärd som vidtagits av mottagande server (accepterad, satts i karantän eller avvisad)

Dessa rapporter ger värdefull insyn i e-postflöden som använder din domän och hjälper till att upptäcka eventuella förfalskningsförsök.

Fördelar med att spåra DMARC-rapporter

Regelbunden övervakning av DMARC-rapporter ger flera viktiga fördelar för domänadministratörer:

  • Identifiera och åtgärda autentiseringsproblem

    Rapporter avslöjar SPF- och DKIM-fel som kan orsaka att dina e-postmeddelanden hamnar i skräppost. Att korrigera dessa fel förbättrar både ditt domänrykte och e-postens leveransbarhet

  • Bättre kontroll över avsändarkällor

    Med hjälp av rapportdata kan du säkerställa att all e-post som skickas från din domän kommer från legitima källor och snabbt upptäcka förfalskningar eller obehöriga sändningsförsök

  • Efterlevnad av regelkrav

    Med den ökande mängden e-postkommunikation kräver många myndigheter, inklusive e-postleverantörer som Google, implementering av autentiseringsprotokoll som DMARC. Till exempel kräver Google från och med februari 2024 att vissa avsändare följer dessa standarder för att upprätthålla plattformens säkerhet

  • Bevis på efterlevnad

    Arkiverade kopior av dina DMARC-rapporter kan fungera som handfasta bevis på efterlevnad av säkerhetsstandarder och regler för e-postkommunikation

Exempel på en DMARC-rapport

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Hur man läser en DMARC-rapport:

Du har två alternativ: manuell analys eller att använda AI-assistans.

A) Manuellt dela upp och tolka en DMARC-rapport

Nedbrytningen baseras på exemplet ovan:

  1. Din ISP, namnet på din e-postleverantör:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
  1. Rapports identifikationsnummer:
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
  1. Datumintervall (start och slut i sekunder):
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
  1. DMARC-postspecifikationer som publicerats i din domäns DNS:
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
  1. Avsändande källas IP-adress:
<source_ip>XXX.XXX.XXX.XXX</source_ip>
  1. Sammanfattning av autentiseringsresultat (SPF/DKIM godkänd/misslyckad):
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
  1. Från: domän:
<header_from> yourdomain.com</header_from>
  1. SPF-autentiseringsresultat:
<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>
  1. DKIM-autentiseringsresultat:
<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Använd AI som ChatGPT för att analysera en DMARC-rapport

Du kan använda AI-verktyg, som ChatGPT, för att analysera och tolka en DMARC-rapport. Den här sektionen visar steg-för-steg-instruktioner.

  1. Hitta DMARC-rapporten

Öppna e-postmeddelandet som innehåller XML-bilagan (de skickas vanligtvis automatiskt av mottagande e-postservrar).

  1. Öppna XML-filen

Efter nedladdning, öppna den med en enkel textredigerare som Notepad (Windows) eller TextEdit (Mac).

  1. Kopiera innehållet

Markera hela XML-innehållet och kopiera det.

  1. Klistra in det i ChatGPT

Gå till ChatGPT och klistra in XML-innehållet i chattfönstret. Du kan till exempel fråga:

“Kan du analysera denna DMARC-rapport och säga om några e-postmeddelanden misslyckades med SPF- eller DKIM-kontrollerna?”

  1. Tolka resultaten

ChatGPT kommer att analysera rapporttaggarna och ge en tydlig, strukturerad förklaring av informationen: avsändare, SPF/DKIM-resultat, använd IP-adress, åtgärd som vidtagits (accepterad, satts i karantän, avvisad) osv.

Våra rekommendationer för att gå vidare

Nu när du förstår hur man implementerar DMARC, dess fördelar och hur man tolkar rapporter, har du tagit ett avgörande första steg för att skydda din domäns rykte.

Men som domänägare upphör inte ditt ansvar där: detta är en pågående process som kräver regelbunden övervakning och justeringar.

Här är några löpande bästa praxis:

  • Övervaka regelbundet dina DMARC-rapporter

    Kontrollera rapporterna ofta för att upptäcka obehöriga sändningsförsök.

  • Analysera data och vidta korrigerande åtgärder

    Åtgärda snabbt eventuella autentiseringsproblem (SPF/DKIM) och justera din policy vid behov för att stärka sändningssäkerheten.

  • Använd din domän ansvarsfullt

    Följ goda sändningsrutiner (kvalificerade kontaktlistor, låga spamfrekvenser, relevant innehåll) för att upprätthålla ditt domänrykte och e-postleveransbarhet

Besvarade detta din fråga? Tack för feedback Det uppstod ett problem när vi skickade din feedback. Försök igen senare.