Jeg har skiftet webhotel. Det er billigere end det gamle, men det er egentlig ikke årsagen. Årsagen var nye muligheder for teknisk opsætning der skal sikre bedre "renommé" og sikkerhed for rockland.dk som webside og min email adresse i særdeleshed.

Hjemmesiden...

Det eneste du nok umiddelbart kan se der er nyt, er at rockland.dk har fået hængelås i browserens adresselinje som viser der køres krypteret https protokol. Indtil få år siden kostede det ikke bare penge, men var også en ret besværlig proces at installere og opsætte sikker https kryptering på et website. Men med introduktionen af Let's Encrypt kom der ikke bare en gratis mulighed, men også en meget lettere proces. I mit nye webhotel er det bare er et simpelt valg i konfiguration at understøtte https med et Let's Encrypt certifikat. Og der bestilles og installeres automatisk et nyt certifikat når det gamle er ved at udløbe, både på PHP- og ASP-webhoteller.

Nu har du ikke brug for at logge ind på Rockland for at kommentere, eller kan foretage dig andet "følsomt" her på siden. Så strengt taget kan man sige kryptering ikke er særlig nødvendigt her. Men browser fabrikanterne tænder flere og flere "advarselslamper" i deres browsere når der surferes over ukrypteret forbindelse. Og det er nu rart at det ikke ser ud som om det er farligt at komme forbi rockland.dk :-)

Men det vigtigste i skiftet var nu i virkeligheden også de nye muligheder i email opsætning...

Email-adressen - DKIM, SPF og DMARC...

Så længe jeg har haft mobiltelefon, har jeg haft det samme mobilnummer. Og det er planen at det skal være konstant for livet. Jeg har derfor også fra starten været forsigtig med at smide mig omkring med det. Stort set alle webshop spørger f.eks. i dag om et telefonnummer når man bestiller, men de får ikke mit mobilnummer. Det omtrent værste jeg kan forestille mig, er hvis jeg en dag skulle begynde at modtage spam pr. sms. Så jeg gider ikke have mit nummer registreret alle mulige steder hvorfra det kunne blive misbrugt eller lækket. Og er det ude tilstrækkelig mange steder, sker det sidste med sikkerhed på et tidspunkt.

Helt så forsigtig var jeg desværre ikke med min email-adresse i starten. Udover at det var cool med eget domæne til sin hjemmeside, var formålet med anskaffelsen af domænet rockland.dk i 1999, at få en fast email-adresse for livet. En email-adresse der var uafhængig af af et aktuelt uddannelsessted, en bestemt arbejdsplads, en bestemt internet udbyder, eller bare en bestemt mail-service på nettet. Ergo, eget domæne var nødvendigt.

Men jeg var jeg ikke så tilbageholdende med at skilte med min email i starten. Og den kom hurtigt til at stå public og i klar tekst i mine indlæg på usenet og forums, i kommentarer til artikler og på alle mulige net-profiler. Desuden har jeg nok heller ikke i starten været særlig ukritisk med hvad jeg abonnerede på af nyhedsmails, eller tilmeldte mig af konkurrencer på alverdens sites, etc. Resultatet har selvfølgelig været spam. Masser af SPAM. Men det er nu ikke det værste.

Det værste er, at jeg efterhånden erfarede at min egne emails oftere og oftere blev fanget i spam-filtrene. Selv venner jeg havde skrevet med mange gange, kunne tilsidst risikere at skulle kigge i spam-mappen for at finde mine emails. Nu er det omtrent ligeså let at forfalske en afsender på en email, som det er at skrive falsk afsender på god gammeldags analog brevpost. Og det var tydeligt nogen misbrugte min email-adresse (eller i hvert fald mit domæne), så dårligt ry som mine emails efterhånden havde fået. Jeg mener, så "spammy" er jeg da normalt ikke selv?...

Så noget måtte ske for at genoprette tilliden til min email-adresse, og teknologier som DKIM, SPF og DMARC skulle gerne være svaret derpå. Nu vil jeg ikke komme ind på tekniske detaljer omkring disse teknologier - well, tildels fordi jeg heller ikke er helt skarp på detaljerne. Men det korte og det lange er, at modtagende mailsystemer kan verificere at emails som er afsendt med min email-adresse som angivet afsender, også er afsendt fra min mail-konto. Og med fuld DMARC opsætning kan jeg forhindre emails der misbruger mit domæne som afsender-adresse, i at nå frem til deres modtager.

[Illustration: dmarc statistik] Det er kun en brøkdel af de emails der sendes med en angivet afsender på rockland.dk domænet, der rent faktisk er afsendt af mig. "Snylter-mails" er afsendt gennem alle mulige mail-servere jeg aldrig nogensinde har hørt om, og fra alle mulige steder omkring i verdenen. Her en oversigt fra min konto på dmarcian der viser aktiviteten en uges tid i marts.

På mit nye webhotel hos UnoEuro er det rimelig let at sætte support for SPF, DKIM og DMARC op. I hvert fald så længe alle ens emails bliver sendt igennem deres systemer. Man skal pille lidt ved noget DNS opsætning, hvilket man selv kan direkte fra sit "kontrolpanel". SPF og DKIM er rimelig ligetil at aktivere. For DMARC skal man først finde ud af hvilken politik man vil føre overfor emails der ikke kan valideres. Det letteste er at oprette en konto på et site som dmarcian og så lade dens DMARC Record Wizard generere din DMARC DNS record. Dmarcian vil så konstruere en record på baggrund af en wizard, og med opsætning så din mail-statistik sendes til en dmarcian email tilknyttet din konto for opsamling af data og generering af overblik som vist herover. Som en der er rimelig uvidende omkring opsætning af DNS-records, skulle jeg lige have bekræftet af UnoEuro's support, at det var i orden at fjerne eksisterende _dmarc.rockland.dk/CNAME record i min opsætning, for at gøre plads til den nye _dmarc.rockland.dk/TXT record jeg havde genereret på dmarcian. Man da jeg først havde fået at bekræftet at det var vejen frem, var første version af DMARC opsætning også klar.

Det er normalt at starte med en "blød" DMARC opsætning hvor man kun samler statistik om emails, og så senere konfigurere det så ukendte mails klassificeres som spam, og til sidst når man føler sig rimelig sikker på at alle ens egne mails er korrekt signeret, kan man sætte det op så ukendte emails helt afvises af mail-systemerne og aldrig kommer frem til deres modtager. De fleste privat-personer afsender nok kun emails igennem deres email-klient, men virksomheder kan have mange systemer der sender mails på firmaets vegne som man måske ikke har helt overblik over. I mit tilfælde havde jeg også en NAS som udsender en email ved "system-events", som jeg lige skulle have konfigureret til at bruge rigtige konto og mail-server, for at sikre at beskederne ikke blev behandlet som ukendte emails.

Som mail-klient bruger jeg i øvrigt gmail. Den kan sagtens sættes op til at bruge tredjeparts mail servere og konti til at hente og sende emails. Det har jeg nu gjort i mange år med 3 forskellige webhoteller. Det fungerer fint, og er dejlig fleksibelt.

For at DMARC opsætning skal have effekt, kræves selvfølgelig at modtagende mailsystemer understøtter teknologierne. Når det gælder "outbound support" lader det faktisk til at være en overraskende lille klub rockland.dk nu er medlem af. Men når det gælder "inbound support" er det mit indtryk at stort set alle mailsystemer og services har support for teknologierne, inkl. selvfølgelig de populære webmail-services Google, Yahoo og Microsoft tilbyder [Update: Microsoft dog ikke 100%]. Så jeg forventer at mails der misbruger mit domæne som afsender, vil blive afvist i langt de fleste tilfælde, og aldrig nå nogen modtager. Og jeg sover nu lidt mere forvisset om at mine egne emails når frem og ikke ender i spam-filtre :-)

Update: Cirka ét år efter jeg konfigurerede DMARC for mit domæne, stoppede misbrug af mit domæne som afsender-adresse for emails nærmest fra den ene dag til den anden. Min konklusion er at der kun var en enkelt spammer som bare brugte mail-servere spredt over hele Verdenen til udsendelse af spam. Og da vedkommende registrerede at mails med email angivet på rockland.dk som afsender ikke nåede frem til modtagerne, blev rockland.dk fjernet fra listen af domæner misbrugt til afsender.

PS. Lidt tips til at analysere mail headers og autenticiteten af emails.

Comments

Write a comment... 

 

There are no comments to this post

Only Name and Comment are required fields when commenting here. If you specify your email address, everyone will be able to find it at your comment. However your email will only be directly visible when hovering over your name, and in the code behind it will not look like an email address. So the risk of bots harvesting email addresses here, should be minimal. But again, you are free to leave the email blank when commenting.

If you tick Remember me, your name, email and homepage address will be remembered and prefilled at your next visit (Uses a cookie when ticked).

Full URLs (starting with "http://" or "https://") in comment text will be converted into active links when comment has been verified by a human as not being spam. Comments that looks too much like spam, will immidiately/proactively be rejected by the system and never reach a human eye.