2017-09-04
Ta kontroll över dina mail domäner
Ta kontroll över dina mail domäner, implementera SPF, DKIM och DMARC | Vad är SPF, DKIM and DMARC? Dessa tre komponenter används för att skydda din mail domän från att personer utanför din organisation skickar mail så att det ser ut som att det är skickat inifrån din organisation, detta är mer känt som spoofing.
Vad är detta och varför ska vi ha det?
Ett mail består av flera lager där varje komponent skyddar olika lager. Med lager så menar jag RFC 5321 (som hanterar envelope) och RFC 5322 (som hanterar “Mail Från”). Att implemetera dessa tre komponenter (SPF, DKIM and DMARC) är starkt rekommenderat och kommer hjälpa er i att skydda era domäner från att nyttjas för spoofing samt att era domäners trovärdighet kommer öka.
Om ni idag har er mail i Office 365 så rekommderar jag att ni tittar igenom Microsofts technet artikel för att implementera detta (Även om ni inte har mailen i Office 365 så rekommenderar jag er att läsa igenom den): https://technet.microsoft.com/en-us/library/mt734386(v=exchg.150).aspx
Viktigt: Om ni implementerar detta så tänk då på att ni sätter DMARC policy till None i början så inte viktiga mail försvinner på vägen. När ni sedan fått en bättre bild över er miljö så kan ni ändra policyn till antingen “quarantine” eller “reject”.
Hur läser jag xml filerna?
När ni lägger till DMARC i er externa DNS så ska man även ange en SMTP adress dit rapporterna skickas. Mailboxen som har denna adressen kommer då att ta emot bifogade ZIP/GZ filer från andra domäner som ger er en rapport med status information som kan se ut som nedan:
<?xml version=”1.0″ encoding=”UTF-8″?>
-<feedback>
<version>1.0</version>
-<report_metadata>
<org_name>Domain.com</org_name>
<email>dmarc-noreply@domain.com</email>
<extra_contact_info/>
<report_id>e2ff6e$badd050=34b3a16c1687298f@domain.com</report_id>
-<date_range>
<begin>1504303202</begin>
<end>1504389602</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>altitude365.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp/>
<pct>100</pct>
</policy_published>
-<record>
-<row>
<source_ip>IP Address XXX.XXX.XXX.XXX</source_ip>
<count>1</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<header_from>altitude365.com</header_from>
<envelope_from>altitude365.com</envelope_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>altitude365.com</domain>
<selector>selector1</selector>
<result>pass</result>
</dkim>
-<spf>
<domain>altitude365.com</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Det finns flera tjänster idag som kan analysera dessa xml filer, till exempel Dmarcian och Dmarc analyzer, nackdelen med dessa är att de även kommer med en kostnad per månad.
Vad jag istället gjort är att jag byggt en lösning som baserar sig på produkter som vi redan betalar för, så som Exchange Online, SQL, Azure Automation och PowerBI.
Som ett exempel på hur detta kan se ut så kan ni antingen titta på bilden nedan eller så kan ni titta interaktivt på data genom följande länk:
* datat ovan har modifierats
Genom att kombinera dessa produkter så kan jag läsa dessa rapporter i ett mer användarvänligt sätt istället för att köpa en tredjepartsprodukt eller försöka läsa xml filerna rakt upp och ner.
Med denna lösning så kan vi få en bättre översikt över vilka tredjepartssystem, både externa och interna, som skickar ut mail med våra domäner som avsändare.
Om ni vill höra mer och få hjälp med att implementera detta så är när välkomna att höra av er till oss.
Relaterade inlägg
Vill du vara säker på att inte missa något
Som du märker brinner vi för att dela med oss av våra erfarenheter, nyttiga lärdomar och spaningar ut i exosfären. Se till att följa vårt nyhetsbrev eller vårt flöde på Linkedin så du inte missar något.