DNS‑baseret mailsikkerhed – komplet oversigt

08 februar 2026 Administrator DKIM, DMARC, DNS, Microsoft 365, Sikkerhed, SPF

🔐 DNS‑baseret mailsikkerhed – komplet oversigt (inkl. SPF/DKIM/DMARC/DANE)

Her er ALLE centrale teknologier, du kan implementere på DNS‑niveau for at sikre både indgående og udgående mail.

1. SPF (Sender Policy Framework) – DNS TXT‑record

Beskytter mod: spoofing (hvem må sende fra dit domæne)

SPF definerer hvilke servere/IP’er der har lov til at sende mail på vegne af domænet.

Eksempel:

v=spf1 include:spf.protection.outlook.com -all

2. DKIM (DomainKeys Identified Mail) – DNS TXT‑record

Beskytter mod: manipulation af mailindhold (integritet)

DKIM lægger en digital signatur i mailen, og den offentlige nøgle ligger i DNS.

Eksempel:

selector._domainkey.example.com  IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBg..."

3. DMARC – DNS TXT‑record

Beskytter mod: misbrug af domænet + rapportering

DMARC kræver SPF/DKIM alignment og styrer håndhævelse.

Eksempel (reject):

v=DMARC1; p=reject; rua=mailto:dmarc@example.com

🔒 4. DANE (DNS‑Based Authentication of Named Entities) – DNS TLSA-record

Beskytter mod: MITM‑angreb på SMTP, certifikat‑spoofing
Kræver: DNSSEC

Bruges til at binde TLS‑certifikatet til SMTP‑serveren via DNS.

Eksempel:

_25._tcp.mail.example.com. IN TLSA 3 1 1 <hash>

🛡️ 5. DNSSEC (DNS Security Extensions)

Beskytter mod: manipulation af DNS‑records (fundamentet for DANE)

DNSSEC tilføjer kryptografisk signering af dine DNS‑records.

Hvis du har DANE, bør DNSSEC være aktiv, men mange har det stadig ikke korrekt.

📦 6. MTA‑STS (SMTP Strict Transport Security)

Beskytter mod: TLS‑downgrade angreb, MITM når DANE ikke bruges

Består af:

  • TXT‑record: _mta-sts.domæne
  • HTTPS policy‑fil på:
    https://mta-sts.<domæne>/.well-known/mta-sts.txt

Eksempel TXT:

_mta-sts.example.com TXT "v=STSv1; id=20260208"

📊 7. TLS‑RPT (SMTP TLS Reporting)

Beskytter: indirekte – ved at overvåge fejl i krypteret SMTP
Rapporter: failures i TLS leveringer fra andre mailservere

Eksempel:

_smtp._tls.example.com TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

🏷️ 8. BIMI + VMC (Brand Indicators for Message Identification)

Beskytter mod: phishing via visuel brandforfalskning

Kræver:

  • DMARC enforcement (p=quarantine/reject)
  • Valid logo (SVG)
  • Ofte VMC‑certifikat (betalt)

Eksempel:

default._bimi.example.com TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/vmc.pem"

🪪 9. CAA (Certification Authority Authorization)

Beskytter mod: uautoriseret udstedelse af TLS‑certifikater

Eksempel:

example.com. CAA 0 issue "letsencrypt.org"
example.com. CAA 0 issuewild ";"

🔁 10. ARC (Authenticated Received Chain)

Ikke DNS, men relateret – vigtigt for forwarding

Beskytter mod:

  • DMARC failures ved videresendelse
  • Mailing‑lists / helpdesk / autosvar‑systemer

11. DNSBL / RBL (indgående spam‑beskyttelse)

DNS‑baseret bag‑sceningsteknologi til:

  • spamfiltrering
  • IP reputation
  • beskyttelse af modtagende mailserver

Ikke en DNS‑record, men baseret på DNS‑lookups.

🔒 Oversigt: DNS‑baseret mailsikkerhed og hvad hvert tiltag beskytter

Sikkerhedstiltag Beskytter hvad?
SPF Hvem må sende mail på vegne af domænet (anti‑spoofing)
DKIM Integritet af mailens indhold og afsenderautentifikation
DMARC (reject/quarantine) Politikhåndhævelse + rapportering + kombinationsbeskyttelse af SPF/DKIM
DNSSEC Integritet af DNS‑opslag (forhindrer manipulation, fundament for DANE)
DANE for SMTP (TLSA) Kryptering + autentifikation af SMTP‑servere (beskytter mod MITM)
MTA‑STS Sikrer TLS‑levering og forhindrer TLS‑downgrade, hvor DANE ikke er understøttet
TLS‑RPT Rapportering af fejl i krypteret SMTP‑transport (TLS problemer)
CAA Kontrol over hvilke CA’er der må udstede TLS‑certifikater til dit domæne
BIMI / VMC Visuel identitet og brandbeskyttelse i modtagerens indbakke
ARC Sikrer mails ved videresendelse, så DMARC ikke fejler
DNSBL / RBL Beskytter indgående mail mod spam via DNS‑baserede blocklists (ikke en record, men DNS‑opslag)

 

Tags :

Add comment