Nye krav til e-mail 2024

Google og Yahoo ønsker at sørge for, at deres brugere i endnu højere grad bliver sikret mod spam, ransomware, phishing og andre angreb. 

Derfor stiller de nu en række krav til den tekniske opsætning hos virksomheder, der udsender mails.

Specielt hvis din virksomhed er B2C, er der formentlig en stor andel af dine subscribers, der har enten gmail eller Yahoo, og det er derfor relevant at imødekomme kravet, så du sikrer, at de fortsat modtager dine nyhedsmails, mailflows mv.

Der er desuden mulighed for, at flere af de andre mailsystemer følger efter og dermed også kommer til at stille lignende krav.

Den adresse din modtager ser i indbakken, når de modtager en mail fra din virksomhed skal stemme overens med dit afsenderdomæne. 

Gennemgå dine aktive kampagner og flows og tjek at alt afsendes fra virksomhedens sending domain.

Styrk sikkerheden ved at opsætte DMARC (Domain-based Message Authentication, Reporting & Conformance) for dit afsenderdomæne.

For mange mailsystemer er dette allerede en del af systemet, at der automatisk indgår et “Afmeld”-link i skabelonerne. Det gælder systemer som fx. Klaviyo og Hubspot. 

Bruger du et system, hvor det ikke automatisk er en del af systemet, så skal dette tilføjes.   

Tænk på dine modtagere. Forventer og ønsker de at høre fra dig? Hvis ikke, så lad være med at sende til dem. Send primært til modtagere, der åbner dine mails. 

Send kun til modtagere som aktivt har sagt ja tak til at modtage dit indhold. Dette gælder også ift. GDPR.

Reglerne gælder fra 1. februar og omfatter i første omgang virksomheder, der udsender over 5.000 mails dagligt, men anbefales også til øvrige virksomheder.

Ønsker du at hjælp til opsætning, er du velkommen til at kontakte os her. Og vil du selv læse ned i de tekniske detaljer, så fortæller vores SEO Specialist Dan, yderligere om SPF Records, DKIM og DMARC i det følgende.

En SPF-record (Sender Policy Framework) er en DNS-post, der hjælper med at forhindre uautoriseret afsendelse af e-mails på vegne af et domæne. Det er en tekstbaseret post, der angiver, hvilke mailservere der er autoriseret til at sende e-mails fra det pågældende domæne. Ved at definere en SPF-record kan du reducere risikoen for spam- og phishingforsøg, igennem det pågældende domænenavn.

 Sådan opsættes en SPF record:

1. Identificer mailservere:
   Først skal alle mailservere, der skal have tilladelse til at sende e-mails på vegne af domænet,  identificeres. Dette kan inkludere egne mailserver, tredjeparts tjenester som Gmail eller Microsoft 365, og eventuelle andre systemer(f.eks. mailchimp osv.).

2. Opret SPF-record:
   En SPF-record oprettes som en TXT-record i DNS-indstillingerne. Formatet for en SPF-record starter med “v=spf1”, efterfulgt af specifikationer for de tilladte servere.

3. Angiv tilladte servere:
   Brug specifikke direktiver til at angive, hvilke servere der er tilladt.
   Dette kunne være:
   a – Tillader servere, der er angivet i A- eller AAAA-records for domænet.
   mx – Tillader servere, der er angivet i MX-records for domænet.
   ip4 – Tillader en specifik IPv4-adresse.
   ip6 – Tillader en specifik IPv6-adresse.
   include – Inkluderer SPF-record for et andet domæne (ex. include:_spf.google.com for Google Workspace).

4. Definer hvad der skal ske med ikke matchende e-mails:
   Til sidst skal det angives, hvad der skal ske med e-mails, der ikke matcher SPF-recorden. Dette gøres med et af følgende direktiver:
   ~all – (anbefales, markerer ikke-matchende e-mails som mistænkelige).
   -all – (afviser aktivt ikke-matchende e-mails).
   ?all – (ingen specifik handling anbefales).

5. Opdater DNS-Indstillinger:
   Tilføj SPF-recorden til domænets DNS-indstillinger. Gøres normalt gennem domæneregistrator eller hosting udbyder.

6. Test SPF-record:
   Det er vigtigt at teste SPF-recorden for at sikre, at den fungerer korrekt. Der findes online værktøjer til at validere SPF-records

Bemærk: Det kan tage lidt tid, inden DNS ændringerne er fuldt opdateret. SPF-recorden skal løbende opdateres, hvis der skiftes udbyder eller der skal benyttes flere/andre mailservere.

DKIM er en signering af udgående mail, der bruges til at bekræfte, at en e-mail faktisk er sendt fra det angivne domæne og ikke er blevet ændret undervejs. DKIM tilføjer et digitalt signaturstempel til e-mails, hvilket gør det muligt for modtagerens mailserver at verificere, at e-mailen faktisk kommer fra det angivne domæne og ikke er forfalsket.

Sådan opsættes DKIM:

1. Generer DKIM nøgler:
   Først skal der genereres et nøglepar bestående af en offentlig og en privat nøgle. Den private nøgle bruges af mailserveren til at signere udgående e-mails, mens den offentlige nøgle offentliggøres på  domænets DNS for at tillade modtagere at validere signaturen.

2. Konfigurer mailserver:
   Konfigurer mailserveren så den bruger den private nøgle til at signere alle udgående e-mails. Dette trin varierer afhængigt af hvilken mailserver eller e-mail tjeneste der benyttes. Nogle e-mail-tjenester som Google og Microsoft 365 tilbyder automatiseret DKIM-konfiguration.

3. Opret DKIM record i DNS:
   Den offentlige nøgle skal tilføjes til domænets DNS som en TXT-record. Denne record indeholder den offentlige nøgle og nogle yderligere indstillinger for DKIM. Formatet for en DKIM TXT-record kan variere, men det indeholder typisk et domænenavn (kaldet en “selector”), som er en unik identifikation.

4. Opdater DNS-Indstillinger:
   Tilføj DKIM TXT-recorden til domænets DNS-indstillinger. Gøres normalt gennem domæneregistrator eller hosting udbyder.

5. Test DKIM opsætning:
   Det er vigtigt at teste om alt fungerer korrekt. Der findes online værktøjer, til at validere DKIM-opsætningen. Dette gøres ved at sende en test-e-mail til en specifik service, der tjekker for DKIM-signaturen.

6. Vedligeholdelse:
   Der er minimal vedligeholdelse, med mindre den private nøgle bliver kompromitteret

Ved korrekt opsætning hjælper DKIM med at forbedre e-mails troværdighed og reducerer risikoen for, at e-mails bliver markeret som spam.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) er en e-mail valideringsmetode, der bygger på SPF og DKIM. DMARC hjælper med at beskytte dit domæne mod e-mail spoofing, phishing og andre former for misbrug. Dette gøres det ved at angive en politik for, hvordan modtagerens mailserver skal håndtere e-mails, der ikke består SPF- og DKIM tjek, og tilbage hændelserne.

Sådan opsættes DMARC:

1. DMARC politikker (policy):
   DMARC tillader tre typer af politikker for håndtering af e-mails, der fejler validering:
   – none – Ingen specifik handling; bruges typisk til overvågning og fejlfinding.
   – quarantine – E-mails, der fejler validering, anbringes i karantæne (f.eks. spam-mappe).
   – reject – E-mails, der fejler validering, afvises fuldstændigt.

2. Opret DMARC record:
   DMARC politikken defineres i en TXT-record i domænets DNS. Denne record starter med “v=DMARC1” og indeholder politikken og andre relevante tags.

3. Vigtige tags i DMARC record:
   – p – Angiver politikken (none, quarantine, reject).
   – rua – Angiver en e-mail adresse til at modtage rapporter om e-mails (f.eks. rua=mailto:[email protected]).
   – ruf – Angiver en e-mail adresse til at modtage detaljerede fejlrapporter (valgfrit).
   – pct – Procentdel af e-mails, der er underlagt DMARC-filtrering (valgfrit, standard er 100%).

4. Opdater DNS indstillinger:
   Tilføj DMARC TXT-recorden til domænets DNS-indstillinger. Dette gøres normalt gennem din domæneregistrator eller hosting udbyder.

5. Test DMARC-opsætning:
   HUSK at teste om opsætningen virker efter hensigten! Der findes online værktøjer, der kan hjælpe med at validere din DMARC opsætning.

6. Overvåg og juster: Start med en mere ”blød” politik (f.eks. p=none og derefter så en p=quarantine) og overvåg rapporterne for at se, hvordan e-mails behandles. Juster politikken og konfigurationen baseret på disse observationer, hvis nødvendigt.

7. Gradvis implementering:
   Når pkt 6. giver det ønskede resultat, kan der opgraderes til strengere politik som quarantine eller reject.