Slik leser du DMARC-rapporter
DMARC-rapporter (rua) viser deg hvem som sender e-post fra domenet ditt. Lær å tolke dem og stramme inn policyen trygt, steg for steg.
Du har satt opp DMARC for domenet ditt – bra. Men DMARC gjør mer enn å beskytte mot spoofing. Det sender deg også rapporter som viser nøyaktig hvem som sender e-post på vegne av domenet ditt, og om meldingene passerer autentiseringssjekken. Disse rapportene er uvurderlige når du vil forstå e-postflyten din og stramme inn sikkerheten trygt.
Hva er DMARC rua-rapporter?
Når du legger til en DMARC-post i DNS-en din, kan du spesifisere en e-postadresse for aggregerte rapporter – det er det rua-taggen gjør:
v=DMARC1; p=none; rua=mailto:dmarc@dittdomene.no
Mottakende e-postservere sender da daglige XML-rapporter til den adressen. Rapporten forteller deg:
- Hvilke IP-adresser som har sendt e-post fra domenet ditt
- Hvor mange meldinger som ble sendt fra hver IP
- Om meldingene bestod SPF-sjekken og DKIM-sjekken
- Om meldingene er i samsvar med DMARC (pass eller fail)
Det finnes også ruf-rapporter (forensic/failure-rapporter) som gir detaljer om individuelle meldinger som feiler, men disse støttes ikke av alle e-postleverandører og kan inneholde sensitiv informasjon.
Hvordan ser en rapport ut?
Rapportene leveres som XML-filer, ofte zippet. Råformatet er ikke lesbart uten verktøy. Her er et forenklet eksempel på hva en rapport kan inneholde:
<record>
<row>
<source_ip>198.51.100.42</source_ip>
<count>47</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
</record>
Dette betyr at IP-adressen 198.51.100.42 sendte 47 meldinger, og alle bestod både DKIM og SPF. DMARC vurderer dette som pass.
Et annet innslag kan se slik ut:
<record>
<row>
<source_ip>203.0.113.9</source_ip>
<count>3</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
</record>
Her feiler begge sjekker. Det kan bety at en ukjent tredjepart forsøkte å sende e-post fra domenet ditt – eller at en legitim tjeneste du bruker ikke er riktig konfigurert.
Bruk et leserverktøy
Å lese XML manuelt er tidkrevende. Det finnes flere gratis og betalte verktøy som gjør jobben lettere:
- Google Postmaster Tools – nyttig hvis mye e-post går til Gmail
- MXToolbox DMARC Analyzer – gratis grunnrapportering
- Postmark DMARC Digests – gratis ukentlig sammendrag
- dmarcian, Valimail – betalte løsninger med avansert analyse
Disse verktøyene viser deg rapportene i et leservennlig grensesnitt, gruppert etter avsender-IP og tjeneste.
Tolke resultatene: hva bør du se etter?
Kjente avsendere med pass
Du bør se IP-adressene til e-posttjenestene du faktisk bruker – e-postserverne fra Vymo , eventuelt tredjepartstjenester som nyhetsbrevplattformer eller CRM-systemer. Disse bør alle vise dkim: pass og spf: pass.
Kjente avsendere med fail
Finner du en legitim tjeneste (f.eks. et nyhetsbrevverktøy) som feiler, betyr det at du ikke har konfigurert SPF eller DKIM for den tjenesten. Du må legge til riktige DNS-poster. Se vår guide til SPF, DKIM og DMARC for å forstå hva som må endres.
Ukjente IP-adresser med fail
Dette er et tegn på at noen forsøker å sende e-post som utgir seg for å komme fra domenet ditt – spoofing. Med policy satt til none skjer det ingenting ennå. Men det bekrefter at du bør stramme inn policyen.
Forwarded e-post
Videresending kan bryte SPF-sjekken fordi den vidersendende serveren ikke er autorisert i din SPF-post. Du kan da se fail på SPF men pass på DKIM – DMARC er fleksibelt nok til at dette kan regnes som pass, så lenge én av sjekene er i samsvar med domenet.
Stramme inn DMARC-policy trygt
De tre DMARC-policyene er:
| Policy | Hva skjer med fail? |
|---|---|
p=none | Ingenting – bare rapportering |
p=quarantine | Meldingen havner i søppelpost |
p=reject | Meldingen avvises helt |
Fremgangsmåten er:
1. Start med p=none og samle rapporter i minst to til fire uker. Identifiser alle legitime avsendere og sørg for at de viser pass.
2. Gå til p=quarantine når du er trygg på at alle legitime avsendere er konfigurert. Du kan bruke pct-taggen for å rulle ut gradvis:
v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@dittdomene.no
Dette betyr at kun 10 % av meldingene som feiler, faktisk settes i karantene. Øk prosenten gradvis.
3. Gå til p=reject når du har bekreftet at ingen legitime meldinger feiler. Dette er det sikreste nivået og anbefales for alle domener som sender forretningse-post.
Ikke hopp direkte til
p=rejectuten rapporteringsfase. Det kan føre til at legitim e-post – for eksempel fra faktureringssystemet ditt – avvises av mottakerne.
Hva med underdomener?
Har du underdomener (f.eks. nyhetsbrev.dittdomene.no), kan du sette en separat policy for dem med sp-taggen:
v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@dittdomene.no
Her er hoveddomenet satt til reject, men underdomener behandles med quarantine. Nyttig hvis du ikke har full kontroll over all e-postaktivitet fra underdomener.
Oppsummert
DMARC-rapporter er ikke bare teknisk støy – de er en direkte innsikt i hvem som bruker domenet ditt til å sende e-post. Å lese og handle på disse rapportene er et av de viktigste stegene du kan ta for å sikre e-posten din.
Start med p=none, samle data, og jobb deg trygt opp mot p=reject. Vil du lære mer om helheten, er artikkelen vår om e-postsikkerhet for bedrifter
et godt neste steg.
Klar til å sikre domenet ditt?
Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.