Group 2598

Implementering av On-Guard DMARC

Å starte med DMARC er ikke bare å kjøpe en lisens og slå på en bryter. Sodvin har en utprøvd implementeringsplan

Vår fremdriftsplan

Å få full DMARC støtte er en prosess som tar litt tid. Vi benytter i utgangspunktet følgende milepæler når vi starter DMARC Reisen for våre kunder:
dmarc reisen

1. Oppsett av DMARC

Reisen starter med å sette opp On-Guard DMARC og gjøre tekniske tilpasninger inn alle i selskapets DNS-domener. Det er her avgjørende at kunden har gitt oss alle tilganger til å gjøre endringer på alle DNS-domenekonsoller som benyttes av kunden.

Følgende arbeid omhandles:

  • Oppsett av DKIM meldingssignering på alle domener i feks MS365, On Guard E-postkontroll og andre kjente tjenester
  •  
  • Konfigurering av hostet SPF-løsning på alle domener
  • Konfigurering av tjeneste for E-postkryptering (MTA-STS) med monitorering og rapportering
  • Oppsett av DMARC oppføringer for monitorering og rapportering.

I denne prosessen vil ikke e-postflyt bli påvirket. Vi mottar daglige rapporter inn i løsningen på hvilke e-poster som er "full-kompatible" med DMARC, eller som vil kunne havne i spamfilter /avvises hos mottakere.

Vi vil i tillegg tildele selskapet en spesifikk "test-epostadresse" for test av alle kjente løsninger. Dette for å proaktivt finne nye eller ukjente tjenester som kanskje trenger litt ekstra oppmerksomhet.

Vi anbefaler at det om mulig sendes "test e-post" fra følgende tjenester for å gi godt overblikk: E-postklient, ERP-system, CRM-system, lønnssystem, kontaktskjema fra websider og eventuelt andre kilder.

Antatt tidsbruk: 2 - 3 timer

 

DNS-domener uten e-postflyt

For DNS-domener som ikke benyttes til e-postflyt vil vi kunne sperre for mulig misbruk fra tredjepart ved å aktivt stoppe mulighet for epost fra disse domene. Slike «deaktiverte» domener er det ikke abonnementskost for, men det er viktig at det tas stilling til om det skal tillates e-poster eller ikke på hvert domene. Typisk i denne kategorien er registrerte DNS-domener for selskapets tjenester, produkter og merkevarer som ikke aktivt benyttes i e-postflyt. Disse er like sårbare for misbruk som aktive e-postdomener, og enda enklere å misbruke da slike domener ofte ikke er satt opp med noe grunnoppsett! For DNS-domener som blir aktivt deaktivert fra e-postflyt vil det ikke lenger kunne sendes epost hverken legitime eller misbruk (hva hadde du gjort om du fikk en troverdig epost fra @iphone.com eller @android.no? Disse er eiet av Apple og Google, men benyttes ikke aktivt som epost-domener!)

Antatt tidsbruk: avhengig av antall "deaktiverte" domener

 

2. DMARC Analyse

Etter et par uker går vi igjennom rapportene, og lager en tiltaksplan for e-postløsninger som i dag ikke er satt opp i henhold til alle standarder.

Normal e-post går for eksempel ok gjennom DMARC, mens e-poster fra SuperOffice Online eller fra nyhetsbrev fra markedsløsninger kanskje fremdeles trenger ytterligere tuning for å få full DMARC-støtte.

Tiltaksplanen følges opp fortløpende, eksempelvis vil vi her se på hvordan tjenestene er satt opp og hvordan disse kan forbedres. Under forbedring kan det være behov for tilgang til ansatte, løsninger eller 3. parts leverandører for å få tilgang til å utføre anbefalte endringer.

Mengden arbeid som utføres i denne fasen kommer helt an på hvor kompleks oppsettet for det aktuelle domenet er. Noen har kun enkel e-postflyt, mens andre har mange komplekse tjenester hvor mange rapporter må gås igjennom for å få godt helhetsbilde.

Antatt tidsbruk: 2 - 5 timer

 

3. Håndheving av DMARC

Etter to nye uker kontrolleres nok engang rapportene. Her vil nye e-poster som for eksempel lønnsslipper eller andre e-poster som kun kommer månedlig eller periodisk ut kunne oppdages.

Nye tiltak planlegges, eller DMARC endres fra monitorering til håndheving, enten «quarantine» eller «reject», Vi setter også opp håndheving av E-postkryptering (MTA-STS).

Antatt tidsbruk: 2 timer

 

Eventuell gjennomgang med Kundens IT-kontakt

Etter gjennomføring av punkt 3, tilbyr vi en en enkel innføring og gjennomgang av On-Guard DMARC sammen med kundens IT-kontakt, hvis dette er av interesse. Det settes også opp en enkel månedlig e-postrapport, slik at IT-kontakt får statistikk over e-postflyt.

Antatt tidsbruk: 1 time

 

BIMI (logo i E-posthode)

Hvis selskapet har en firmalogo i SVG format, vil vi nå også kunne sette opp en enkel BIMI løsning for å få selskapets logo i mottakers e-postklient når DMARC er godkjent.

Merk for full BIMI støtte kreves dedikerte firmaattester, merkevareregistrering av logo og sertifikater som kun selskapet selv kan anskaffe.
Vi kan her bidra med å starte prosessen sammen med kunde, men har dessverre ingen påvirkningskraft over denne prosessen mot 3. partsleverandør. En full BIMI godkjenning utføres kun av et par sertifiserte europeiske aktører.

 

4. 100% DMARC kompatibel

Domenet er nå DMARC kompatibelt!
Dette vil blant annet øke treff- og leveringssikkerhet til e-postmottakere ved at selskapets omdømme i "e-postverden" er solid.
Vi anbefaler at DMARC Rapporter med jevne mellomrom sjekkes i detalj slik at utfordringer med e-postflyt oppdages.
Det kan for eksempel dukke opp nye tjenester som sender på vegne av deres domene, eller selskapet kan være under angrep fra trusselaktører. Hvis det dukker opp utfordringer kan man nå enkelt gjøre treffsikre valg for å sikre e-postflyten, eller varsle mottakere om pågående svindelforsøk.

 

 

Sjekk oppsettet på ditt selskap nå!

Bruk PowerAnalyzer for å sjekke om domenenavnet ditt er beskyttet mot phishing, spoofing, svindel og etterligning.

Du får en fullstendig analyse av e-postsikkerhetsautentiseringsstatusen for domenet ditt (DMARC, SPF, DKIM, MTA-STS, TLS-RPT, BIMI) og de nødvendige handlingene som må tas for å forbedre sikkerhetsstillingene din.

PowerAnalyzer er et verktøy fra vår samarbeidspartner PowerDMARC.

Sjekk domenet ditt

Snakk med oss om sikkerhetstjenester!