Mail-records del 1 – Gør dig klog på mail-records i DNS

Skrevet af Kasper Tang Højriis & Emil Øgaard
Udgivet
Længde
6 min.

Dette er første del i vores to-parts serie om mail-records. Du kan læse part 2 lige her: Mail-records part 2

Er du træt af, at dine mails går i spam hos dine kunder? Eller har du oplevet, at nogen har sendt mails ud, hvor de har udgivet sig for at være fra din virksomhed? Så er dette blogindlæg lige noget for dig. Blogindlægget her handler nemlig om mail-records, eller nærmere bestemt mailværktøjer, som anvender DNS-records til at fungere.

Har du ikke helt styr på DNS og DNS-records, har vi den ultimative begynder-guide til DNS, hvor vi kommer omkring, hvordan DNS virker, hvad DNS-records er og hvad de forskellige typer records kan. Læs det blogindlæg først, hvis du har brug for det, og vend så tilbage hertil, så du kan lære mere om mail-records.

Stort set alle virksomheder bruger deres domæne til at sende mails igennem. Og det er heldigvis en service, som er forholdsvis nem at få oprettet med lidt hjælp fra sin mailudbyder. Men når du tilføjer servicer til dit domæne, skal du regne med at skulle redigere eller tilføje DNS-records i dit domænes DNS-zone – og her er mailopsætning og mailsikkerhed ingen undtagelse. For at sikre at dine kunder modtager dine mails, er det nødvendig at øge dit domænes e-mail-godkendelse. Ydermere vil dette også øge leveringsevnen for dit domæne, hvilket i sidste ende vil sikre at dine mails altid ender, hvor de skal.

Disse 4 mail-records vil hjælpe dig med præcis det:

  • MX
  • SPF
  • DKIM
  • DMARC.

I dette blogindlæg kommer vi omkring de tre første: MX, SPF og DKIM. Det sidste mail-record på listen, DMARC, tackler vi i næste blogindlæg.

MX (Mail Exchange-record)

Et MX-record er teknisk set det eneste record på listen, som din mail ikke kan fungere uden. MX-records peger nemlig dit domæne mod en eller flere mailservere, som er den server, der står for selve afsendelsen af dine mails, samt modtagelsen af mails til dig. Grunden til, at du kan have flere MX-records og dermed flere mailservere, er pga. redundans, som sikrer, at hvis en mailserver skulle fejle, vil den næste server i rækken blive kontaktet. Med MX-records er det muligt at prioritere hvilke mailservere, der skal kontaktes først, og også hvilken rækkefølge de resterende mailservere skal kontaktes i, hvis fejl opstår. Det er dog også meget normalt kun at have et enkelt MX-record. Hvis mailserveren i dette tilfælde fejler, vil den bare blive forsøgt kontaktet igen. Mængden af MX-records er afhængig af hvilken mailudbyder, du bruger.

SPF (Sender Policy Framework)

Det er nemt at sende mails gennem et hvilket som helst domæne – også hvis domænet ikke tilhører dig. Dette kaldes for spoofing og bruges til cyberangreb (phishing-mails) og spam.

Et SPF-record er stillet op som en liste af IP-adresser og domæner og skal opsættes i record-typen TXT. Listen repræsenterer alle de IP-adresser og domæner, som har adgang til at sende mails på vegne af dit domæne. Det betyder, at når en mail modtages, slår modtagerens mailserver op i dit opsatte SPF-record og tjekker, om afsenderen er en IP-adresse eller domæne, som findes i SPF-record-listen. Findes afsenderen i SPF, vil tilliden til afsenderen øges og mail-leveringsevnen forbedres. Findes afsenderen dog ikke i SPF, vil mailen blive noteret som at have fejlet SPF.

I et SPF-record har du også mulighed for at have indflydelse på, hvordan mails, som har fejlet, skal håndteres. De to mest almindelige indstillinger er: softfail og fail.

Softfail vises i recordet som ~all”, og er det langt mest udbredte. Det betyder, at alle afsendere, som ikke er specifikt skrevet i SPF, bliver noteret som fejlet. I sidste ende vil de dog blive accepteret, selvom de muligvis ender i spam. Fail vises som ”-all” og betyder, at alle mails fra afsendere, som ikke er specifikt skrevet i SPF, vil blive kasseret.

SPF er desværre ikke perfekt og har visse svagheder. Du vil fx se SPF fejle, når du videresender mails eller har sat SPF ukorrekt op. Hvis fail er anvendt i en sådan situation, kan det skabe problemer. Skulle der tilmed opstå et false positive, vil mailen blive kasseret i stedet for at markeres som fejlet. Netop af den grund er softfail mere udbredt og bliver i dag også brugt som et effektivt våben mod angreb og spam, samtidig med at SPF øger e-mail-godkendelsen og opretholder et godt omdømme for dit domæne.

DKIM (DomainKeys Identified Email)

Helt basalt er DKIM et værktøj, som bruges til at validere, om en mail er sendt af ejeren af domænet. Når DKIM-recordet opsættes, genereres der to nøgler. En nøgle, som kun ejeren af domænet er i besiddelse af (Private Key), bliver matchet til en nøgle, som er offentlig (Public Key). Er dette match succesfuldt, vil DKIM blive valideret.

Private Key er en hemmelig nøgle, som kun din(e) mailservere kender. Den må aldrig deles. Public Key er det, vi kender som et DKIM-record. Dette record offentliggøres i DNS-zonen og bliver på denne måde frit tilgængeligt for alle. DKIM skal oftest opsættes i et TXT-record, hvori selve nøglen står skrevet i fuld længde. Det er dog også nogle gange sat op som et CNAME-record. Dette varierer afhængig af din mailudbyder.

DKIM virker ved, at din mailserver laver en digital mail-signatur, som tilføjes til hver enkelt mail, der sendes fra dit domæne. Din mailserver bruger din Private Key, samt elementer fra den pågældende mail, og krypterer det til en værdi, som er specifik for hver mailsignatur og dermed hver mail. Signaturen findes i din mail-header. Informationerne i mail-headeren er ikke synlige i selve mailen og læses normalt kun af den modtagende mailserver. For DKIM er de vigtigste informationer i mail-headeren den krypterede værdi, og hvor Public Key kan findes. Den modtagende mailserver slår op i afsender-domænets DNS-records, altså dit domæne, og finder Public Key, som den bruger til at matche den krypterede værdi i mailsignaturen. Er der et match, vil DKIM være valideret. Matcher værdien derimod ikke med Public Key, fejler mailen DKIM. DKIM bygger altså på det princip, at hvis du er i besiddelse af Private Key, som kun ejeren af domænet burde være, vil den afsendte mail blive valideret.

Mails, som fejler DKIM, bliver noteret som at være fejlet og mistænksomme og vil muligvis også gå i spam. Men er DKIM succesfuld, vil det ligesom SPF øge dit domænes fremtidige mailleveringsevne og e-mail-godkendelse.

Derfor er SPF, DKIM og DMARC vigtige records at have

I dette blogindlæg er vi kommet omkring SPF og DKIM – det næste blogindlæg kommer til at omhandler DMARC, som er det record, der forener de to andre. Alle tre records er vigtige at have, da de tilsammen giver den bedste mail-opsætning, der optimerer dit domænes e-mail-godkendelse og maillevering. Det er også netop derfor, de er vigtige at have kendskab til.

Mail-records kan virke uhåndgribeligt, og mange giver op på dem, inden de overhovedet er kommet i gang. Det er heldigvis ikke noget, du behøver at sidde med selv. I stedet for selv at gå i gang, kan du kontakte din mailudbyder, og få dem til at hjælpe dig.

Får du disse mail-records opsat korrekt, mister du ikke dit domænes gode omdømme, og dine kunder finder ikke mails fra din virksomhed i deres spammappe igen.

Brænder du inde med spørgsmål?

Nu hvor du har læst blogindlægget til ende, er der måske opstået nogle spørgsmål undervejs. I så fald er du altid velkommen til at kontakte os – også hvis det gælder spørgsmål til vores andre blogindlæg, eller hvordan Salecto kan hjælpe dig godt på vej, hvis du skal igang med at bygge en webshop. Grib telefonen og ring til os på +45 81 81 01 01 eller skriv en mail til [email protected]. Vi ser frem til at høre fra dig.

Tak for interessen.

Jeg håber, at jeg har vakt din interesse. Hvis du vil vide mere omkring emnet, så er du velkommen til at skrive til mig.

Kasper Tang Højriis
Product Developer