En lite udda funktion i dmarc är möjligheten att specificera att enbart en viss andel av en viss användares e-post ska kontrolleras. Man kan välja ett värde i procent, och då gör mottagarna ett slumpmässigt urval av inkommande meddelanden som kommer att verifieras mot dmarc-reglerna, medan resten går vidare till nästa steg i mottagandet.
Tanken med det här är att en avsändare ska införa sina regler gradvis, så att konsekvenserna av en felskriven regel begränsas till en liten del e-post innan man har testat dem färdigt och vågar öka andelen till hundra procent.
På samma sätt bör man gå tillväga med åtgärderna: börja testa med p=none, alltså en policy som bara utför testerna men ändå levererar all e-post. Sedan kan man gå över till policyn quarantine och, efter mycket noggranna tester, policyn reject.
Underlättar för admin
Dmarc har alltså flera olika funktioner som underlättar livet för den stackars systemadministratören, som måste förutspå hur utgående e-post kommer att adresseras och signeras. Men för organisationer som själva vill hantera sin e-posttjänst blir det lite krångligare. Vare sig Lotus Notes eller Microsoft
Exchange har inbyggt stöd för dmarc. Kunder som använder de produkterna – och många andra – måste alltså komplettera e-postsystemet med en dmarc-kompatibel server för in- och utgående e-post.
En del mjukvaror med öppen källkod stöder dmarc, det är fråga om tilläggsfilter som fungerar med populära e-postservrar som Postfix och Sendmail. Den som vill prova dmarc kan också använda en del gratis tjänster och verktyg på nätet som hjälper till att skapa dmarc-reglerna och att sammanställa information från rapporterna som skickas in, men dessa är inte heltäckande så flera olika behöver integreras.
Man får alltså räkna med en del manuellt konfigurationsarbete om man inför dmarc, ofta även med lite skriptprogrammering. Men det är rätt enkelt att genomföra, åtminstone om man nöjer sig med att kontrollera inkommande e-post.
En del säkerhetsprodukter börjar få stöd för dmarc, till exempel kom svenska Halon ut med en uppdatering så sent som i september i år som ger deras produkter för e-postsäkerhet grundläggande stöd för protokollet.
Säkerheten kan rundas
Men visst finns det metoder för den som vill runda dmarc-säkerheten. En sak som inte kan hindras av dmarc är om någon skickar förfalskad e-post från ett domännamn som påminner om den legitima, till exempel från example.net i stället för example.com.
Elakingar på nätet kan också försöka överbelasta rapportservrarna som en organisation annonserar i dmarc-systemet, det försvårar åtminstone tillvaron för e-postadministratören som inte längre kan lita på informationen där. I dmarc kan man ange maxstorlek för inkommande rapporter och hur ofta samlingsrapporterna får sändas, men det är ju knappast något som en attackerande hacker kommer att ta notis om. Man bör alltså konfigurera motsvarande begränsningar även på servern för de inkommande rapporterna.
Innehållsförteckning
Dmarc är ett nytt protokoll, en ännu inte helt färdig standard och med mindre än två år på nacken. Trots det har redan många av de allra största tjänsteleverantörerna på internet anammat tekniken, ett bevis så gott som något på att det fungerar. Google, Hotmail, Office 365, Linkedin, Facebook och Yahoo har alla stöd för dmarc, därtill en stor mängd andra företag och organisationer.
Redan i början av 2013 uppskattade intresseorganisationen Dmarc.org att 60 procent av världens e-postkonton var skyddade med dmarc för inkommande mejl. Gott och väl en tredjedel av de tjugo största e-postutsändarna hade lagt upp dmarc-regler för utgående mejl, som tvingade mottagare att kasta bort fejkad e-post skickad i deras namn.
Man kan alltså lugnt påstå att dmarc är en succé när det gäller att skydda konsumenter. På företagssidan finns det däremot fortfarande mycket kvar att göra. Men eftersom det redan finns många dmarc-kompatibla e-postsystem installerad där ute får man fördelar direkt om man inför dmarc själv, speciellt de företag och myndigheter som ofta sänder e-post till privatpersoner.
