DMARC står for Domain-based Message Authentication, Reporting & Conformance. Det er limen der holder SPF og DKIM sammen — og fortæller modtageren hvad der skal ske med mails der fejler autentificering.
Uden DMARC har du ingen kontrol over hvad der sker når nogen forfalsker en mail fra dit domæne. Med DMARC kan du bestemme: skal den afvises, sendes til spam, eller bare logges?
De tre DMARC-politikker
| Politik | Hvad sker der? | Hvornår? |
|---|---|---|
| p=none | Falske mails leveres normalt, men du får rapporter | Start her – lær hvad der sker |
| p=quarantine | Falske mails sendes til modtagerens spam-mappe | Når du har tjekket rapporterne |
| p=reject | Falske mails afvises helt – de leveres aldrig | Målet – fuld beskyttelse |
Trin-for-trin opsætning
DMARC bør rulles ud gradvist. Start med overvågning, og stram op over tid:
Trin 1: Start med p=none (uge 1)
Type: TXT
Navn: _dmarc
Værdi: v=DMARC1; p=none; rua=mailto:dmarc@ditdomæne.dk; fo=1;
TTL: 3600
Dette logger alt men blokerer intet. rua angiver hvor rapporterne sendes hen. Opret en mailboks eller alias til at modtage dem.
Trin 2: Skift til p=quarantine (uge 3-4)
Type: TXT
Navn: _dmarc
Værdi: v=DMARC1; p=quarantine; rua=mailto:dmarc@ditdomæne.dk; fo=1;
TTL: 3600
Trin 3: Skift til p=reject (uge 6+)
Type: TXT
Navn: _dmarc
Værdi: v=DMARC1; p=reject; rua=mailto:dmarc@ditdomæne.dk; fo=1;
TTL: 3600
Sådan tjekker du din DMARC
nslookup -type=TXT _dmarc.ditdomæne.dkDu bør se en linje der starter med v=DMARC1. Hvis den mangler, har du ingen DMARC.
DMARC uden SPF virker ikke
DMARC bygger oven på SPF (og DKIM). Hvis du ikke har SPF, har DMARC intet at verificere imod. Opsæt altid SPF før du opsætter DMARC.