Skydda oanvända domäner mot spoofing

Ingen vill se sitt företag utsättas för spoofade email eller lida de omskrivna konsekvenser som förfalskade mejl kan föranleda. Till följd av detta, väljer allt fler företag att implementera DMARC för deras primära domäner, som används för att skicka e-post.

Men något som lätt glöms bort är domäner som inte används för att skicka e-post. Även dessa domäner är frekvent utsatta för spoofing – en säkerhetsrisk för företag och dess kunder som inte bör missas. Ett sätt att reducera risken, är att nyttja DNS-inställningar samt existerande säkerhetsprotokoll, för att blockera utgående e-post.

Skydda era domäner (som inte används för e-post) mot spoofing.

Genom att nyttja DNS inställningar och existerande säkerhetsprotokoll för att blockera utgående e-post kan man förebygga att spoofad e-post når inkorgar världen runt. Kortfattat innebär det rent tekniskt att addera DMARC, DKIM och SPF i zonfilerna för samtliga av dessa domäner. Detta kommer meddela mottagande servrar att ingen e-post ska godkännas från domänen och hur de ska agera när de mottar ett mejl som inte är auktoriserat.

OBS: För domäner som aktivt nyttjas för e-post ska inte nedan guide följas, läs då mer om tjänsten DMARC här istället!

   1. Skapa SPF för er domän som inkluderar subdomäner.

SPF talar om vilka mailservrar som får skicka e-post på uppdrag av en domän. Varje gång ett mejl mottas kontrollerar mottagande mailserver DNS-posten för att se om mailservern mejlet skickades ifrån är auktoriserad eller inte.

Genom att konfigurera en parkerad domäns SPF enligt nedan, talar ni om för mottagaren att det inte finns någon mailserver alls som får skicka e-post på uppdrag av denna domän.

(byt example.com till er egen domän – samtliga exempel)

”`

example.com TXT v=spf1 -all

”`

Samt nedan record för subdomäner:

”`

*.example.com TXT v=spf1 -all

”`

2. Lägg till DKIM

DKIM gör att mottagande server kan veta att mejlet kommer från den domän som påstås och att innehållet inte har förändrats. Detta sker genom att avsändande e-postserver signerar mejl med en privat nyckel, som får en matchande offentlig nyckel publicerad i domänens DNS.

Ett tomt värde för den publika nyckeln betyder att denna återkallats. Effekten blir ogiltig DKIM, vilket medför att DKIM-kontroller av mottagande e-postservrar bör misslyckas.

*._domainkey.example.com TXT v=DKIM1; p=

Denna DKIM-post gäller för såväl domän- som subdomän, och talar om att all e-post som skickas från dessa domäner ska anses falska.

3. Använd DMARC

DMARC binder ihop SPF och DKIM, och talar om hur e-post ska hanteras om det inte godkänns i SPF- och DKIM-kontroller. Det finns tre scenarion:

  • Endast övervaka (”p=none”)
  • Karantän som spam (”p=quarantine”)
  • Avvisa direkt (”p=reject”)

Genom att följa ovan för SPF- DKIM- och DMARC, blir budskapet att inget mejl skickas legitimt från den specifika domänen, och om så sker, ska det avvisas.

”`

_dmarc.example.com TXT v=DMARC1; p=reject;

”`

Ps. Om ni vill monitorera e-post-trafiken för domänerna i fråga kommer ni även behöva lägga till en mottagaradress för XML-filerna som skickas av e-postklienterna (RUA). Om ni har en DMARC partner, rådfråga dem för optimalt upplägg kring rapportering. 

“Job half done”

För att skydda ert namn och rykte, är det viktigt att ni äger rätt domäner. Det innebär även relevanta felstavade domäner (typosquatting). Att äga sådana domäner är ett viktigt verktyg mot spoofing och andra potentiella risker.

Vi på Dotkeeper svarar gärna på frågor kring hur ni kan skydda er mot e-postbedrägerier och kan hjälpa er vidare med att förebygga e-post från parkerade domäner. Skriv till oss på hej@dotkeeper.com, så hörs vi!