Til innhold

Sørg for at e-posten din når frem

For å sikre både at e-postene dine faktisk blir levert, og at domenet ditt er beskyttet mot svindlere, er det tre forkortelser du ganske enkelt må kjenne til: SPF, DKIM og DMARC.

Publisert
Bilde av e-post som ikke ble levert

Opplever du at viktige e-poster havner i søppelposten hos mottakeren? Eller er du bekymret for at uvedkommende skal sende ut falske e-poster i din virksomhets navn?

For å sikre både at e-postene dine faktisk blir levert, og at domenet ditt er beskyttet mot svindlere, er det tre forkortelser du ganske enkelt kjenne til: SPF, DKIM og DMARC.

I dag er det ikke lenger nok å bare trykke på «send». Store e-postleverandører som Microsoft (365) og Google (Gmail) har blitt betraktelig strengere. Hvis de tekniske innstillingene dine ikke er på plass, risikerer du i verste fall at e-postene dine blir slettet før de i det hele tatt når mottakerens innboks.

Nasjonal sikkerhetsmyndighet (NSM) er tydelige i sin anbefaling: > Disse sikkerhetsmekanismene bør være på plass for alle norske virksomheter. Les mer i NSMs aktuelle sak om sikrere e-post.

Hvorfor haster dette nå?

Tidligere holdt det ofte å ha én av delene på plass, men spillereglene har endret seg. Microsoft og Google krever nå at virksomheter som sender større mengder e-post (såkalte «high-volume»-sendere) har både SPF og DKIM aktivt.

Uansett om dere sender 50 eller 5 000 e-poster om dagen, er det i dag etablert som beste praksis å ha alle de tre mekanismene konfigurert korrekt.

Her er en enkel gjennomgang av hva de tre elementene faktisk gjør:

De tre pilarene for sikker e-post

1. SPF: «Gjestelisten»

SPF (Sender Policy Framework) er den eldste løsningen. Tenk på det som en digital gjesteliste som ligger i domenet ditt sine DNS-innstillinger.

  • Hva gjør den? Den forteller verden hvilke servere (IP-adresser eller tjenester) som har lov til å sende e-post på vegne av ditt domene.

  • Slik fungerer det: Når du sender en e-post, sjekker mottakerens server listen din. Står avsenderens IP-adresse på gjestelisten? Da slippes e-posten inn.

  • Svakhet: SPF har en utfordring ved videresending. Hvis en mottaker automatisk videresender e-posten din til en annen adresse, vil SPF ofte feile fordi den nye videresendingsserveren ikke står på din opprinnelige liste.

2. DKIM: «Det digitale voksseglet»

DKIM (DomainKeys Identified Mail) fungerer som et digitalt vokssegl på konvolutten.

  • Hva gjør den? Den signerer e-posten din kryptografisk. Dette beviser overfor mottakeren at e-posten faktisk stammer fra din server, og at innholdet ikke har blitt endret eller manipulert underveis.

  • Fordel: I motsetning til SPF, overlever DKIM-signaturen at e-posten videresendes. Dette gir e-posten din betraktelig høyere tillit hos sluttmottakeren.

3. DMARC: «Instruksjonsboken»

DMARC (Domain-based Message Authentication, Reporting, and Conformance) er den siste og kanskje viktigste brikken. Den binder SPF og DKIM sammen, og gir klare instruksjoner til mottakende server om hva de skal gjøre dersom en e-post feiler på testene.

Med DMARC kan du sette tre ulike sikkerhetsnivåer:
NivåNavnHva skjer i praksis?
1None (Overvåking)None (Overvåking)Ingenting skjer med e-posten, men du får rapporter om hvem som prøver å sende e-post i ditt navn. Perfekt i en startfase for å kartlegge egne systemer.
2Quarantine (Karantene)E-post som ikke består SPF eller DKIM sendes rett i mottakerens søppelpost i stedet for innboksen.
3Reject (Avvis)Dette er målet. Mistenkelig e-post blir stoppet fullstendig og slettet. Dette gir den sterkeste beskyttelsen mot at uvedkommende misbruker ditt domene til svindelforsøk (phishing).

DMARC genererer også daglige rapporter (såkalte rua-rapporter). Ved å analysere disse får du full synlighet over hvem som sender e-post på vegne av virksomheten, og om noen forsøker å forfalske deres identitet.

Oppsummering: Er din virksomhet klar?

Selv om det stadig utvikles nye sikkerhetslag på horisonten (som for eksempel DANE), er SPF, DKIM og DMARC i dag selve industristandarden du ikke kommer utenom.

Vår anbefaling for veien videre:

  1. Sørg for at både SPF og DKIM er konfigurert korrekt for alle verktøy dere bruker (Outlook/Gmail, nyhetsbrev, CRM-systemer osv.).

  2. Implementer en DMARC-policy satt til "none" for å få oversikt og samle inn data.

  3. Analyser rapportene, gjør nødvendige justeringer, og beveg dere kontrollert mot "quarantine" og til slutt "reject" for maksimal sikkerhet.

Ved å ta e-postsikkerhet på alvor beskytter du ikke bare virksomhetens merkevare og rykte – du sikrer også at de viktige beskjedene dine faktisk når frem til kundene og partnerne dine.

Kontaktpersoner