DMARC hos viktige epost-avsendere

Oppdatert 18.01.2024

Tegning av et brev med spørsmålstegn på vei til å fly inn i en postkasse.
Illustrasjon: Modifisert Tumisu – Pixabay.com

DMARC er et system som bidrar til at vi kan føle oss litt tryggere på at eposter vi mottar er fra den ekte avsenderen og ikke fra en svindler.

Her er noen eksempler på epost-avsendere som vi ønsker å føle oss trygge på:

  • Bank og forsikring
  • Posten, PostNord og andre befraktere
  • Nettbutikker vi har brukerkonto hos

DMARC (Domain-based Message Authentication, Reporting and Conformance) er et svært viktig verktøy for å bevise at avsender er ekte.

For at DMARC skal gjøre jobben sin, må også SPF og DKIM benyttes. Dessuten må selvsagt konfigureringen av DMARC, SPF of DKIM være korrekt.

Siden DMARC-parameterne er definert i DNS, er det viktig at avsenderens DNS er sikker, altså at avsenderen benytter DNSSEC.

En del viktige avsendere benytter DMARC, men hos mange av dem er implementeringen svak. Situasjonen er på ingen måter kritisk, men det hadde vært fordelaktig om både nettsteder med samfunnsviktig informasjon og nettsteder med innlogging (f.eks. nettbutikker) hadde tatt DMARC i bruk på skikkelig vis.

For å finne ut hvordan det står til med viktige avsenderes bruk av DMARC (og DNSSEC), har jeg benyttet følgende verktøy.

Avsendere som IKKE benytter DMARC

Per 17.01.2024 benytter følgende epost-avsendere ikke DMARC, og mottakerne er dermed mer utsatt for at eposter fra disse faktisk kan være fra svindlere selv om avsender-adressen ser helt riktig ut. (Det er veldig enkelt å sende en epost med falsk avsender-adresse.)

Avsendere med undergravd DMARC-beskyttelse (Policy=none)

For at DMARC skal gi best mulig sikkerhet, må DMARC Policy være satt til Reject. Til nød kan Quarantine aksepteres. None gir ingen beskyttelse.

Per 17.01.2024 har følgende epost-avsendere None og har dermed satt hele DMARC-beskyttelsen ut av spill.

Avsendere med redusert DMARC-beskyttelse (svak Policy)

For at DMARC skal gi best mulig sikkerhet, må DMARC Policy være satt til Reject.
Dessuten må både SPF og DKIM være tatt i bruk.

Hvis Policy er satt til Quarantine, vil en epost med falsk avsender-adresse som oftest havne i mottakerens Spam-mappe.

Per 17.01.2024 har følgende epost-avsendere Quarantine som Policy, noe som gjør at mottakeren ikke er like godt beskyttet mot eposter som har falsk avsender-adresse.

Avsendere med noe sårbar DMARC-beskyttelse (mangler DNSSEC)

For at DMARC skal gi best mulig sikkerhet, må også DNSSEC benyttes.

Per 17.01.2024 benytter følgende epost-avsendere DMARC Policy = Reject (veldig bra), men mangler DNSSEC-beskyttelse på enten epost-adresse, epost-server eller begge deler. Dette gjør DMARC-beskyttelsen sårbar for angrep fra avanserte hackere.

Avsendere som benytter DMARC fullt ut

For at DMARC skal gi best mulig sikkerhet, må Policy være satt til Reject. Dessuten må DNSSEC benyttes på epost-adressens domene og på epost-serverens domene.

Per 15.01.2024 benytter noen få epost-avsendere DMARC (med Policy=Reject) i kombinasjon med korrekt bruk av DNSSEC.

 

Følg Stein2 sin blogg!
Motta et varsel på epost hver gang en ny artikkel publiseres.