E-mail sikkerhed6 min læsetid

Hvad er DMARC? – Stop spoofing af dit domæne

DMARC fortæller modtagere hvad der skal ske med falske mails. Uden DMARC kan du ikke kontrollere hvem der sender som dit domæne.

DMARC står for Domain-based Message Authentication, Reporting & Conformance. Det er limen der holder SPF og DKIM sammen — og fortæller modtageren hvad der skal ske med mails der fejler autentificering.

Uden DMARC har du ingen kontrol over hvad der sker når nogen forfalsker en mail fra dit domæne. Med DMARC kan du bestemme: skal den afvises, sendes til spam, eller bare logges?

De tre DMARC-politikker

PolitikHvad sker der?Hvornår?
p=noneFalske mails leveres normalt, men du får rapporterStart her – lær hvad der sker
p=quarantineFalske mails sendes til modtagerens spam-mappeNår du har tjekket rapporterne
p=rejectFalske mails afvises helt – de leveres aldrigMålet – fuld beskyttelse

Trin-for-trin opsætning

DMARC bør rulles ud gradvist. Start med overvågning, og stram op over tid:

Trin 1: Start med p=none (uge 1)

DNS Record

Type: TXT

Navn: _dmarc

Værdi: v=DMARC1; p=none; rua=mailto:dmarc@ditdomæne.dk; fo=1;

TTL: 3600

Dette logger alt men blokerer intet. rua angiver hvor rapporterne sendes hen. Opret en mailboks eller alias til at modtage dem.

Trin 2: Skift til p=quarantine (uge 3-4)

DNS Record

Type: TXT

Navn: _dmarc

Værdi: v=DMARC1; p=quarantine; rua=mailto:dmarc@ditdomæne.dk; fo=1;

TTL: 3600

Trin 3: Skift til p=reject (uge 6+)

DNS Record

Type: TXT

Navn: _dmarc

Værdi: v=DMARC1; p=reject; rua=mailto:dmarc@ditdomæne.dk; fo=1;

TTL: 3600

💡
Brug en gratis DMARC-rapporteringsjeneste som Postmark DMARC eller DMARCian til at visualisere rapporterne. Rå DMARC-rapporter er XML og næsten umulige at læse manuelt.

Sådan tjekker du din DMARC

Tjek din DMARC record
nslookup -type=TXT _dmarc.ditdomæne.dk

Du bør se en linje der starter med v=DMARC1. Hvis den mangler, har du ingen DMARC.

DMARC uden SPF virker ikke

DMARC bygger oven på SPF (og DKIM). Hvis du ikke har SPF, har DMARC intet at verificere imod. Opsæt altid SPF før du opsætter DMARC.

⚠️
Spring ikke direkte til p=reject. Hvis du har services (nyhedsbreve, CRM, faktura-systemer) der sender mail på dit domænes vegne, og de ikke er inkluderet i din SPF, vil deres mails blive afvist. Start med p=none og tjek rapporterne først.

Tjek dit domæne nu

Gratis scan på 10 sekunder. Se om din opsætning er på plads.

Scan dit domæne