E-mail er blandt de ældste teknologier på internettet og fra en tid, hvor alle brugere kendte hinanden og spam var et komplet ukendt fænomen. Derfor er det grundlæggende design usikkert og bygger på massere af tillid. For at rette op på det, har man i tidens løb lavet en masse tilføjelser, og en af de nyeste skud på stammen er DKIM – DomainKeys Identified Mail.
DKIM sikrer at e-mails er autentiske. Dvs. at indholdet ikke er blevet ændret under afsendelse og at afsenderen er den, som vedkommende udgiver sig for. Dermed kan man mindske misbruget af falske afsenderadresser, hvilket bl.a. er populært blandt spammere. Det kan lyde mærkeligt, at det rent faktisk er muligt at benytte en falsk afsenderadresse i e-mails, men det svarer nøjagtigt til, at man også kan sende et brev med posten med en hvilken som helst afsender.
Sådan fungerer DKIM
Ved opsætning af DKIM gemmes der en offentlig nøgle i DNS opsætningen på dit domæne. Når der afsendes en e-mail fra dit domæne via vores server, så sørger den for at tilføje en kryptografisk signatur i headeren af e-mailen. Denne header er ikke en, som modtageren normalt kan se, men mailservere vil tjekke den, når de modtager e-mailen. Sammenholdt med den offentlige nøgle i DNS tjekkes signaturen i forhold til både afsender og indhold, som dermed valideres imod manipulation.
DKIM giver godt omdømme
Når modtagere som Gmail, Outlook.com osv. kan være sikre på afsenderadressen, så kan de begynde at opbygge data i deres spamfiltre baseret på afsenderadressen. Dvs. hvis du sender rigtige e-mail, som modtagere er interesseret i, vil dit domæne begynde at få et godt omdømme i deres systemer og chancen for, at din e-mail bliver betragtet som spam falder.
Omvendt sender du spam eller mange ligegyldige beskeder, vil de begynde at betragte dine beskeder som uønskede og enten flytte dem automatisk til en undermappe eller undlade leveringen helt.
Hos Gmail kan man bl.a. også se, om modtaget e-mails er gyldigt signeret. På sigt kommer vi formentlig til at se, at usignerede får tildelt en advarsel.
Hos Netsite får du dit webhotel med DKIM
Hos Netsite har vi indført DKIM signering af alle udgående e-mails og indgående bliver tjekket for gyldighed.
Du skal dog være opmærksom på, at vi kun kan aktivere det for domæner, hvor vi forvalter DNS og hvor vores navneservere bliver benyttet. Har du dit domæne hos en ekstern DNS udbyder, beder vi dig kontakte vores support, som vil hjælpe med opsætningen.
SPF er både et alternativ og supplement
Udover DKIM eksisterer der også SPF (Sender Policy Framework), men som har nogle uhensigtsmæssigheder i forhold til DKIM. SPF fungerer ved at man i DNS opsætningen whitelister hvilke IP-adresser, som må afsende e-mails for domænet. Det store problem her er, at mange modtagere har sat deres e-mails til at blive videresendt, og så sker levering ikke til den endelig destination via en godkendt server.
Derudover sikrer SPF ikke imod ændringer i indholdet af e-mailen undervejs.
SPF kan dog opsættes til såkaldt "softfail", hvilket vi anbefaler i kombination med DKIM og DMARC.
DMARC er næste skridt
For at DKIM bliver effektiv, skal man også implementere DMARC (Domain-based Message Authentication, Reporting and Conformance), som er regelsæt der definerer, hvad der skal ske med e-mails, som fejler et DKIM tjek hos modtageren. Ultimativt skal det opsættes således, at hvis en e-mail ikke er signeret eller ugyldig signeret, så skal modtageren afvise den. Således har vi f.eks. selv opsat det på netsite.dk.
SPF og DMARC på nye webhoteller
Udover aktiveringen af DKIM for alle eksisterende kunder, så opsætter vi nu som standard både SPF og DMARC på alle nye webhoteller. Ligeledes bliver opsætningen tilføjet for dit domæne, hvis du resetter DNS via Mit Netsite.
Det er desværre ikke muligt at tilføje SPF og DMARC for eksisterende konti uden at vi potentielt skaber problemer, da man som kunde sagtens kan have opsat eksterne services der afsender e-mails, som vi ikke har kendskab til. Det vil derfor være nødvendigt at flette disse tjenester ind i opsætningen.
Kontakt os endelig, hvis du har spørgsmål eller ønsker hjælp med overstående på dit domæne hos Netsite.
Tilføjelse: DNSSEC
DMARC, DKIM og SPF bygger på DNS, og derfor har vi efterfølgende helt oplagt udvidet med DNSSEC for alle domæner placeret hos os. Læs nærmere i vores DNSSEC blogindlæg.
Hej Netsite
En lille rettelse til hvordan DMARC fungerer.
DMARC er valid når SPF ELLER DKIM er aligned med From: adressen, dvs en invalid DKIM signatur er ikke katastrofal når bare SPF er aligned.
Hej Henrik
Det er helt rigtigt, at den ene kan fejle, uden at DMARC fejler. Derfor er det også en god ide at implementere begge dele, da f.eks. SPF nemt kan fejle i forbindelse med e-mails, der bliver videresendt.
/Christian