Att skicka e-post brukade vara en enkel process, men i takt med att e-post började missbrukas och det blev svårare att skilja legitim e-post från skräppost, har olika motåtgärder införts.

Tekniker för verifiering av avsändare

Alla befintliga motåtgärder bygger på antagandet att du har kontroll över DNS-inställningarna för domännamnet du skickar e-post från.

SPF (Sender Policy Framework)

Om du saknar en SPF-post i DNS är risken stor att dina e-postmeddelanden hamnar direkt i mottagarens skräppostmapp, om de ens levereras alls. I många fall kommer mottagarservern helt enkelt att släppa dem.

SPF definierar vilka servrar som har tillåtelse att skicka e-postmeddelanden med en viss domän som avsändaradress. Detta är en bra start, men det finns några uppenbara fallgropar:

1. Ofta används tjänster som Sendgrid, Mailchimp (Mandrill) eller liknande för att skicka e-post. Eftersom SPF-posten är offentlig i DNS, är det enkelt att ta reda på vilken tjänst som används för att skicka e-post från en viss domän. En angripare kan då registrera sig för samma tjänst och börja skicka e-post som ser ut att komma från den domänen.
2. SPF-posten anger inte vad mottagarservern ska göra om ett e-postmeddelande misslyckas med verifieringen, vilket innebär att olika servrar kan hantera det på olika sätt.

DKIM (DomainKeys Identified Mail)

DKIM åtgärdar några av bristerna i SPF och tillsammans kommer de närmare målet att eliminera skräppost.

DKIM bygger på ett nyckelpar där den ena nyckeln publiceras i DNS, medan den andra hålls privat och används för att digitalt signera utgående e-postmeddelanden. Mottagarservern kan sedan verifiera autenticiteten med den offentliga nyckeln.

Denna teknik eliminerar risken för att någon utger sig för att vara en avsändare genom att använda samma e-posttjänst, eftersom de inte har tillgång till den privata nyckeln.

Precis som med SPF saknas dock instruktioner för vad mottagarservern ska göra om ett e-postmeddelande misslyckas med verifieringen.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC har ett komplicerat namn, men dess funktion är enkel – det ger instruktioner om vad som ska göras när SPF eller DKIM misslyckas med autentiseringen. Det definierar alltså hur mottagarservern ska agera om den tar emot ett meddelande som av någon anledning inte uppfyller någon av de tidigare nämnda säkerhetspolicyerna.

När allt är korrekt konfigurerat bör DMARC ställas in så att alla e-postmeddelanden som misslyckas med verifieringen avvisas, vilket i teorin eliminerar alla försök att skicka skräppost som utger sig för att komma från en viss domän.

Under implementeringen rekommenderas dock att DMARC används i övervakningsläge, så att funktionaliteten kan verifieras innan det aktiveras fullt ut. Detta minskar risken för att legitima e-postmeddelanden går förlorade vid en eventuell felkonfiguration.

DMARC används normalt i kombination med en rapporteringstjänst, t.ex. DMARC Digests, vilket ger insikt i vilka e-postmeddelanden som passerar eller misslyckas med SPF- och DKIM-kontrollerna, samt var de skickas från.

BIMI (Brand Indicators for Message Identification)

Även om ovanstående tekniker är effektiva för att säkerställa att endast legitima e-postmeddelanden skickas från din domän, finns det andra scenarier där de inte hjälper.

Det är tyvärr vanligt att bedragare skickar e-post i en teammedlems eller VD:s namn, men från en helt annan e-postadress. På grund av hur e-postklienter fungerar är det ofta inte uppenbart att e-posten är falsk. En skickligt skriven e-post kan lätt lura mottagaren att tro att avsändaren är den de utger sig för att vara. Det enda sättet att avslöja detta är att kontrollera e-postadressen – och även det kan vara svårt om angriparen har registrerat en domän som liknar den riktiga.

Det är här BIMI kommer in. Genom att lägga till en BIMI-post i din DNS kan du visa din logotyp bredvid e-postmeddelanden i mottagarens inkorg. Dessutom kräver BIMI att logotypen är ett registrerat varumärke, vilket innebär att en angripare inte bara kan lägga till samma logotyp på en annan domän.

När certifikatet har utfärdats och BIMI-posten har lagts till i DNS kommer logotypen att visas bredvid legitima e-postmeddelanden från din domän i de flesta större e-postklienter.

BIMI-initiativet stöds av flera stora aktörer inom teknikbranschen, inklusive Google, Mailchimp, Validity och Sendgrid, och fler ansluter sig kontinuerligt. Läs mer på BIMI Group.

Även om BIMI-standarden tillåter att en logotyp läggs till utan ett certifikat, visar de flesta tjänster inte logotypen om den inte kan verifieras. Därför är det viktigt att ha ett registrerat varumärke när man implementerar BIMI.

Vi kan hjälpa dig!

Även om detta kan verka komplicerat har vi lång erfarenhet av att konfigurera dessa tekniker på rätt sätt, få BIMI-certifiering och lösa problem relaterade till e-postsäkerhet.

Om du står inför liknande utmaningar, hör av dig till oss. Vi är specialister på att låsa upp potentialen i din infrastruktur och ser till att du kan hålla jämna steg med framtiden.