WebhotellitMicrosoft 365Digiturva365LisäpalvelutSceneTuki

Suojaa sähköpostisi DMARC:n avulla

13.1.2025

DMARC (Domain-based Message Authentication, Reporting, and Conformance) on tärkeä protokolla, joka auttaa suojaamaan sähköpostin lähettäjiä ja vastaanottajia roskapostilta, kalasteluviesteiltä ja väärennetyiltä sähköposteilta.

Mikä ihmeen DMARC?

DMARC parantaa sähköpostien toimitusvarmuutta ja auttaa estämään luvattomien tahojen yritykset lähettää väärennettyjä sähköposteja verkkotunnuksesi nimissä tunnistamalla ja raportoimalla lähteet joiden kautta verkkotunnukseltasi lähetetään sähköpostiviestejä ja määrittelemällä tarkat säännöt miten vastaanottajan tulee käsitellä viestejä eri tilanteissa. Sen toiminta perustuu kahteen tärkeään tekniikkaan:

SPF (Sender Policy Framework): SPF auttaa varmistamaan, että sähköpostit tulevat oikeilta lähettäjiltä. Lähettäjä määrittelee verkkotunnuksensa DNS-nimipalvelintiedoissa, mitkä IP-osoitteet ovat sallittuja lähettämään sähköpostia kyseisestä verkkotunnuksesta.

DKIM (DomainKeys Identified Mail): DKIM allekirjoittaa sähköpostit digitaalisesti, jotta vastaanottaja voi varmistua niiden aitoudesta. Sähköpostin lähettäjä luo DKIM-avaimen ja lisää sen sähköpostiinsa.

DMARC siis ohjeistaa sähköpostiviestin vastaanottajan sähköpostipalvelinta miten sähköpostiviestiä tulisi käsitellä jos se ei täytä verkkotunnuksesi SPF- ja DKIM-sääntöjä. Monet sähköpostipalveluntarjoajat, ml. merkittävät sähköpostipalveluntarjoajat kuten Google, Microsoft ja Yahoo! Mail tukee ja seuraa DMARC-sääntöjä. SPF:n ja DKIM:n aktivointi omalle verkkotunnukselle tulee tehdä ennen DMARC:n käyttöönottoa. Aikaisempi blogikirjoituksemme kertoo laajasti SPF:n ja DKIM:n toiminnasta ja käyttöönotosta webhotellin hallintapaneelissa.

DMARC-säännön lisääminen cPanelissa

  1. Kirjaudu cPaneliin.
  2. Valitse "Email Deliverability" kohdasta "Email".
  3. Valitse "Manage" verkkotunnuksen kohdalla.
  4. Siirry kohtaan DMARC.
  5. Tee haluamasi muutokset DMARC-sääntöön Value-kentässä (ks. esimerkit alempana).
  6. Tallenna DMARC-tietue "Install the Suggested Record" painikkeella.

DMARC-säännön esimerkit

  1. Vain seurantaa varten: v=DMARC1; p=none; rua=mailto:dmarc-raportit@esimerkki.com;

Tämä merkintä ei pakota DMARCia, mutta seurantaa varten kerätään raportteja epäonnistuneista sähköposteista. Korvaa dmarc-raportit@esimerkki.com omalla sähköpostiosoitteellasi.

  1. Karanteeni: v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-raportit@esimerkki.com;

Tämä merkintä siirtää epäonnistuneet sähköpostit roskapostikansioon tai karanteeniin. Pct=50 tarkoittaa, että sääntö koskee vain 50 % epäonnistuneista viesteistä. Korvaa dmarc-raportit@esimerkki.com omalla sähköpostiosoitteellasi.

  1. Täysi hylkäys: v=DMARC1; p=reject; rua=mailto:dmarc-raportit@esimerkki.com; ruf=mailto:dmarc-forensiikka@esimerkki.com;

Tämä sääntö estää epäonnistuneiden sähköpostien välittämisen kokonaan. Korvaa dmarc-raportit@esimerkki.com ja dmarc-forensiikka@esimerkki.com omalla sähköpostiosoitteellasi.

Tilaa raportit DMARC:n toiminnasta sähköpostiisi

Ylläolevissa DMARC-säännön esimerkeissä rua-tagi tarkoittaa "Reporting URI for Aggregate data". Se kertoo sähköpostin vastaanottajille mihin lähettää koontiraportit, jotka sisältävät yleiskatsauksen sähköpostiliikenteestä ja todennustuloksista verkkotunnuksellesi. Raportit ovat konekielisiä ja XML-formaatissa, jonka vuoksi niiden käsittelyyn kannattaa käyttää siihen erikoistunutta palvelua, kuten PostMark. Jos olet epävarma miten raportointi toimii, pyydä asiantuntija-apua tai voit halutessasi jättää rua-tagin myös kokonaan pois DMARC-säännöstä.

Tagi kirjoitetaan muodossa rua=mailto:raportit@esimerkki.com. Voit lisätä useita sähköpostiosoitteita erottamalla ne pilkuilla, esimerkiksi: rua=mailto:raportit@esimerkki.com,mailto:raportit2@esimerkki.com. Muista aina korvata raportit@esimerkki.com ja raportit2@esimerkki.com omalla sähköpostiosoitteellasi.

Koontiraportit sisältää seuraavia tietoja:
  • Kuinka monta sähköpostia läpäisi tai epäonnistui SPF- ja DKIM-tarkistuksissa.
  • Lähettäjien IP-osoitteet.
  • "From"-otsikossa käytetyt domainit.
  • Sovellettu DMARC-politiikka.

Sähköpostipalveluntarjoajat lähettävät näitä raportteja säännöllisesti, yleensä päivittäin. Analysoimalla näitä raportteja voit saada tietoa sähköpostin todennuksen suorituskyvystä ja havaita mahdollisen verkkotunnuksesi luvattoman käytön.

DMARC parantaa yrityksesi tietoturvaa

DMARC:n aktivointi kannattaa aina, sillä sen estäessä luvattomia tahoja lähettämästä väärennettyjä sähköposteja verkkotunnuksesi nimissä ja tunnistamalla ja raportoimalla lähteet joiden kautta verkkotunnukseltasi lähetetään sähköpostiviestejä, voit nopeasti havaita ja puuttua väärinkäytöksiin, kuten yrityksesi verkkotunnuksen nimissä lähetettyihin tietojenkalasteluviesteihin. Jos olet laajemmin kehittämässä yrityksesi tietoturvaa niin tutustu myös Digiturva365 -palveluumme, joka tarjoaa tietoturvaa yrityksille huolenpidolla.

Tarvitsetko apua DMARC:n käyttöönotossa?

Scenen asiantuntijat ovat apunasi! Ota siis rohkeasti yhteyttä.