Dkim:s krypteringsnycklar är ”självsignerade”, alltså intygar ingen tredje part vem avsändaren är. Men fördelen är att nycklarna blir oberoende av den opålitliga ca-hierarkin som till exempel tls-protokollet bygger på. E-posten skickas via det vanliga smtp-protokollet, fast med några extra rader i headern för dkim-informationen. För att kontrollera avsändaren och innehållet används det gamla vanliga dns-systemet, så att mottagare lätt kan slå upp dem.
Säkerheten höjs ännu mer om man använder dnssec, men det är absolut inget krav.
Både spf och dkim kan till och med använda gamla dns-mjukvaror från 1990-talet om det kniper. Och framför allt behöver man inte veta om mottagaren har aktiverat stödet för vare sig spf eller dkim, e-posten kommer fram ändå.
Som ett skal
Dmarc bygger som sagt på spf och dkim, man kan säga att det fungerar lite som ett skal som kompletterar de två grundläggande protokollen och anpassar dem bättre till verklighetens praktiska behov. Faktum är att dmarc har designats för att kunna använda vilka underliggande autentiseringstekniker som helst, men i dagsläget är det bara spf och dkim som stöds.
Även dmarc-reglerna publiceras i dns-systemet. Dmarc kompletterar med funktioner för att kunna väga samman tvetydiga resultat av spf- och dkim-testerna som görs.
Dessutom inför dmarc ett standardiserat sätt där mottagarna kan rapportera till avsändaren hur valideringen gick om ett mejl blockerades. Om avsändaren begär det ska mottagaren rapportera hur dmarc-reglerna har tolkats på de meddelanden som inte godkändes. Antingen kan man begära att få en rapport per blockerat mejl eller en samlingsrapport, till exempel en gång per dygn.
På det här sättet kan avsändaren alltså snabbt se om någon regel är alltför strikt eller om någon annan försöker skicka skräppost i ens namn. Tanken är att fler ska våga använda dmarc utan att riskera driftstörningar.
Rapporterna kan levereras via olika protokoll som http eller ftp, men vanlig e-post måste alltid stödas av den mottagande parten.
Stramt eller avslappnat
I dmarc kan man specificera att både spf- och dkim-reglerna ska tolkas strikt eller mer tillåtande, relaxed mode. I det läget tillåts att inkommande e-post har olika adresser i de olika avsändarfälten så länge de hör till samma huvuddomän, så att olika avdelningar eller dotterbolag i en koncern kan göra utskick på egen hand.
I strikt läge finns inte den här möjligheten, då måste all e-post skickas ut från samma e-postsystem som publicerar organisationens dmarc-regler.
Innehållsförteckning
Dmarc är ett nytt protokoll, en ännu inte helt färdig standard och med mindre än två år på nacken. Trots det har redan många av de allra största tjänsteleverantörerna på internet anammat tekniken, ett bevis så gott som något på att det fungerar. Google, Hotmail, Office 365, Linkedin, Facebook och Yahoo har alla stöd för dmarc, därtill en stor mängd andra företag och organisationer.
Redan i början av 2013 uppskattade intresseorganisationen Dmarc.org att 60 procent av världens e-postkonton var skyddade med dmarc för inkommande mejl. Gott och väl en tredjedel av de tjugo största e-postutsändarna hade lagt upp dmarc-regler för utgående mejl, som tvingade mottagare att kasta bort fejkad e-post skickad i deras namn.
Man kan alltså lugnt påstå att dmarc är en succé när det gäller att skydda konsumenter. På företagssidan finns det däremot fortfarande mycket kvar att göra. Men eftersom det redan finns många dmarc-kompatibla e-postsystem installerad där ute får man fördelar direkt om man inför dmarc själv, speciellt de företag och myndigheter som ofta sänder e-post till privatpersoner.
