At sende e-mails plejede at være en simpel mekanisme, men da det blev mere og mere misbrugt og sværere at skelne mellem legitime e-mails og spam, blev der introduceret forskellige modforanstaltninger.

Sender-verifikationsteknologier

Alle nuværende modforanstaltninger er baseret på antagelsen om, at du kontrollerer DNS for det domænenavn, du sender fra.

SPF (Sender Policy Framework)

Hvis du ikke har en SPF-post, vil dine e-mails næsten helt sikkert ende direkte i modtagerens spam-mappe, hvis de overhovedet bliver leveret. I mange tilfælde vil den modtagende server simpelthen afvise dem.

SPF er en definition af, hvilke servere der har lov til at sende e-mails ved hjælp af e-mailadresser baseret på et domænenavn. Dette er et godt udgangspunkt, men det har nogle åbenlyse faldgruber.

1. Ofte bruges tjenester som Sendgrid, Mailchimp (Mandrill) eller lignende til at sende e-mails. Fordi en SPF-post er defineret offentligt på DNS, er det nemt at finde ud af, hvilken tjeneste der har lov til at sende for et specifikt domænenavn og blot tilmelde sig den samme tjeneste og begynde at sende e-mails fra domænenavnet.
2. Der er intet i SPF-posten, der siger, hvad den modtagende server skal gøre, hvis en e-mail fejler kontrollen, og derfor kan de behandles forskelligt.

DKIM (DomainKeys Identified Mail)

DKIM adresserer nogle af SPF’s mangler, og sammen kommer de tættere på målet om at eliminere spam.

DKIM består af et nøglepar, hvor den ene nøgle er offentliggjort på DNS. Den anden nøgle holdes privat og bruges til at digitalt signere alle udgående beskeder, så den modtagende server kan verificere ægtheden med den offentlige nøgle.

Denne teknologi eliminerer risikoen for, at nogen udgiver sig for en afsender ved at bruge den samme e-mailtjeneste, da de ikke har adgang til den private nøgle.

Dog, ligesom med SPF, instruerer intet den modtagende server i, hvordan den skal reagere, når en e-mail fejler autentificeringen.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Med et kompliceret navn adresserer dette de manglende direktiver om, hvordan man skal handle, når SPF eller DKIM fejler autentificering. Dvs. det definerer, hvad den modtagende server skal gøre, hvis den modtager beskeder, der af en eller anden grund fejler en af de ovennævnte politikker.

Når alle systemer fungerer som forventet, sættes dette til at afvise alle fejlede beskeder, hvilket i teorien eliminerer alle spam-beskeder, der forsøger at udgive sig for at være beskeder fra et specifikt domæne.

Når det er under opsætning, anbefales det at bruge det i overvågningsmode, mens den korrekte funktionalitet af e-mail-leveringssystemet verificeres. Det undgår risikoen for, at e-mails går tabt ved fejlopstilling.

DMARC bruges normalt i kombination med en form for rapporteringstjeneste, f.eks. https://dmarcdigests.com/, som giver indsigt i beskeder, der passerer eller fejler SPF- og DKIM-kontroller, og hvor de bliver sendt fra.

BIMI (Brand Indicators for Message Identification)

Mens de ovenstående teknikker er gode til at sikre, at kun legitime e-mails når frem til destinationen ved hjælp af dit domænenavn, er der desværre andre scenarier, hvor de ikke hjælper.

Det er desværre almindeligt, at e-mails sendes i en teammedlems eller en CEO’s navn ved hjælp af en helt anden e-mailadresse. På grund af den måde, e-mailklienter fungerer på, er det ofte ikke umiddelbart klart, at e-mailen ikke er legit, og derfor kan en korrekt skrevet e-mail ofte overbevise modtageren om, at den person, der skriver til dem, er den, de påstår at være. Den eneste måde at verificere, at det ikke er tilfældet, er at kigge på e-mailadressen, og i nogle tilfælde kan det også være svært, hvis angriberen har registreret et domænenavn, der er meget lig det ægte.

Her kommer BIMI ind. Ved at tilføje en BIMI-post til dit domæne vises ikke kun et logo ved e-mailen i modtagerens e-mailklient, men det certificerer også, at logoet er et registreret varemærke. Dvs. det er ikke bare et spørgsmål om at tilføje det samme logo til et andet domæne, da logoet og varemærket er manuelt verificeret, før certifikatet udstedes.

Når certifikatet er udstedt og posten tilføjet til DNS, vil logoet blive vist ved legitime e-mails for et specifikt domæne i de fleste store e-mailklienter.

Denne indsats støttes af mange store navne i tech-industrien, såsom Google, Mailchimp, Validity og Sendgrid, og flere tager det i brug. https://bimigroup.org/

Mens BIMI-standarden tillader at tilføje et logo uden at have et medfølgende certifikat, viser de fleste tjenester ikke logoet, da det ikke kan autentificeres. Derfor er det vigtigt at have et eksisterende registreret varemærke, når du tilføjer BIMI.

Vi kan hjælpe!

Selvom dette kan lyde kompliceret, har vi lang erfaring med at opsætte det korrekt, få BIMI-certificering og løse problemer relateret til de forskellige teknologier.

Hvis du står over for lignende udfordringer, så kontakt os. Vi specialiserer os i at låse op for din infrastrukturs potentiale og sikre, at du kan følge med fremtiden.