DMARCbis är på väg: Hur nästa generations e-postautentisering kommer att förändra säkerhet, efterlevnad och leveransbarhet

Vad är DMARCbis och varför spelar det roll?

DMARCbis är nästa generations DMARC – en omstrukturerad och förbättrad uppdatering av DMARC-protokollet som introducerades 2015. Till skillnad från den ursprungliga DMARC (som publicerades som en informativ RFC) ligger DMARCbis i fas att bli en formell IETF Proposed Standard 2025. Denna statusförhöjning signalerar bred branschsamstämmighet och tar tillvara lärdomar från ett decennium av DMARC-implementeringar. I praktiken är DMARCbis ingen radikal avvikelse från DMARC, men den tillför viktiga förbättringar i tydlighet, säkerhet och flexibilitet för att göra protokollet mer robust och framtidssäkert.

Viktiga förbättringar i DMARCbis (jämfört med ursprunglig DMARC)

DMARCbis bygger på många års praktisk erfarenhet av DMARC. Några av de mest anmärkningsvärda uppdateringarna och förbättringarna är:

• Förfinad identifiering av organisationsdomän (DNS Tree Walk): Den nya specifikationen ersätter beroendet av Public Suffix List (PSL) med en ”DNS Tree Walk”-algoritm för att fastställa en domäns organisationsdomän. Det innebär att mottagande e-postservrar, i stället för att använda en statisk lista över publika suffix, utför DNS-frågor uppåt i domänhierarkin för att hitta tillämplig DMARC-policy. Denna Tree Walk-metod gör justeringskontroller (alignment) mer tillförlitliga i komplexa domänstrukturer (t.ex. flernivå-subdomäner eller delegerade domäner) och låter domänägare styra vilken domän som ska betraktas som organisationsroten i DMARC. Den eliminerar inkonsekvenser orsakade av olika PSL-versioner och förbättrar interoperabiliteten genom att använda DNS självt för att upptäcka policygränser.
  
  
• Ny ”np”-tagg för subdomänpolicyer: DMARCbis introducerar en np-tagg som låter domänägare ange en policy för icke-existerande subdomäner separat från befintliga subdomäner eller moderdomänen. np-policyn gäller när någon försöker använda en subdomän som din organisation inte har satt upp (t.ex. en spoof som does-not-exist.yourdomain.com). Detta ger flexibilitet att skärpa eller mildra efterlevnaden för påhittade subdomäner utan att påverka e-postflöden för legitima subdomäner. Exempelvis kan en organisation sätta np=reject för att blockera all e-post som utger sig för att komma från oanvända subdomäner, vilket minskar missbruk, samtidigt som man använder en annan sp (subdomänpolicy) för verkliga delegerade subdomäner. Denna finare kontroll hjälper till att undvika både överdriven efterlevnad och otillräckligt skydd i hanteringen av subdomäntrafik.
  
  
• Avveckling av ”pct”- (procent-)taggen: I den ursprungliga DMARC möjliggjorde pct-taggen att domänägare endast delvis tillämpade sin policy (till exempel pct=50 för att endast tillämpa efterlevnad på hälften av misslyckade meddelanden). DMARCbis avvecklar pct-taggen, vilket speglar en förväntan om att domänägare ska tillämpa sin DMARC-policy fullt ut snarare än gradvis eller delvis. Med andra ord, när du går över till en efterlevnadspolicy (quarantine eller reject) bör du implementera den till 100 %. Denna förändring uppmuntrar en mer beslutsam hållning kring e-postautentisering och förenklar protokollet (mottagare behöver inte längre hantera procentbaserad sampling av efterlevnad). För organisationer innebär det att när du är trygg i din DMARC-distribution går du i regel direkt till full efterlevnad. (Notera att DMARCbis introducerar en ny testflagga som alternativ – se nästa punkt – i stället för att använda procent för långsam utrullning.)
  
  
• ”t”-testflagga: För att underlätta säker utrullning och testning lägger DMARCbis till en testflagga (t) som i praktiken ersätter den gamla pct-mekanismen för testdistributioner. När t=y (testläge) anges i en DMARC-post signalerar det till mottagare att domänen testar och begär att policyefterlevnaden ska behandlas som en nivå lägre än angiven. Om din DMARC-post till exempel säger p=reject men t=y (testläge), kan mottagare tolka detta som ”behandla det som quarantine” (ett steg under reject) i stället för fullständig avvisning. Om p=quarantine och t=y, behandla det som övervakning (none). Detta ger domänägare ett sätt att prova en efterlevnadspolicy på ett säkert sätt – rapporter fortsätter att komma in – utan att omedelbart påverka leveransbarheten. t-taggen är rådgivande (mottagare kan välja om de ska följa den), men den ger en tydligare testmekanism än pct gjorde. Som standard (t=n) tillämpas policyn fullt ut (motsvarar pct=100).
  
  
• Public Suffix Domain (PSD)-tagg: Ännu en ny tagg, psd, införs för uttryckligen att markera poster som publiceras på public suffix-domäner (som TLD:er eller registerkontrollerade domäner) jämfört med normala organisationsdomäner. En DMARC-post med psd=y talar om för mottagare: ”Denna domän är ett public suffix; behandla den inte som en organisationsdomän utan som en gräns.” Omvänt indikerar psd=n ”denna domän är definitivt en organisationsdomän för sig själv och sina subdomäner.” Denna tagg samspelar med DNS Tree Walk-algoritmen för att hantera gränsfall där ett register (eller en organisation som agerar som ett register) publicerar en DMARC-policy. Till exempel kan en landskodstoppdomän eller en branschförening publicera en DMARC-post på PSD-nivå för att täcka alla underliggande domäner – något som ursprunglig DMARC hade begränsat stöd för. PSD-taggen gör att domänmiljöer i flera nivåer och register kan använda DMARC mer effektivt genom att styra hur tree walk identifierar organisationsdomänen.
  
  
• Tydligare specifikation och vägledning: DMARCbis-dokumentet har omstrukturerats för tydlighet, med förbättrad terminologi och fler exempel för implementatörer. Tvetydigheter i den ursprungliga specifikationen har adresserats för att minska förvirring. DMARCbis klargör till exempel exakt hur policyarv fungerar för subdomäner och när tree walk ska stoppas, så att alla mottagare implementerar den konsekvent. Dessutom delar DMARCbis upp kärnprotokollet från rapportering: nya utkast som ägnas åt aggregerad rapportering och felrapportering följer med huvudspecifikationen, vilket säkerställer att varje aspekt är väldefinierad. Strategiskt innebär att DMARCbis går över till ett fullständigt standardspår med en renare specifikation att e-postleverantörer och organisationer får lättare att distribuera och granska DMARC, vilket ökar antagandet och interoperabiliteten. Viktigt är att DMARC-versionstaggen förblir ”v=DMARC1” för bakåtkompatibilitet – befintliga DMARC-poster kommer alltså inte att sluta fungera. Med tiden kan vi dock förvänta oss att brevlådeleverantörer anpassar sig till den nya specifikationen, och domänägare bör så småningom uppdatera eventuella poster eller praxis som den gamla specifikationen tillät men som DMARCbis avråder från (såsom att använda pct). Sammantaget erbjuder DMARCbis mer flexibilitet, precision och vägledning för att göra e-postautentisering starkare och mer effektiv.

DMARCbis jämfört med SPF och DKIM: hur står de sig?

SPF, DKIM och DMARC är kompletterande pusselbitar i e-postautentisering, där varje del fyller ett eget syfte:

• SPF (Sender Policy Framework): SPF låter en domänägare publicera en DNS-post som listar vilka e-postservrar som är auktoriserade att skicka e-post för domänens räkning. När en inkommande e-postserver tar emot ett meddelande som påstår sig komma från @yourdomain.com kan den kontrollera SPF-posten för yourdomain.com för att se om sändarens IP finns på den godkända listan. SPF är effektivt för att besvara ”vem får skicka?” genom att verifiera sändarens IP mot domänens policy. SPF har dock begränsningar: det kontrollerar envelope-sändaren (MAIL FROM)-domänen, som kan skilja sig från domänen i rubriken ”From:” som användare ser, och det kopplar inte i sig själv resultatet till den synliga avsändaren. Dessutom kan SPF gå sönder om e-posten vidarebefordras via en mellanhand (eftersom vidarebefordrarens IP kanske inte finns i den ursprungliga avsändarens SPF-lista).
  
  
• DKIM (DomainKeys Identified Mail): DKIM adresserar innehållsintegritet och domänauktorisation genom att den sändande e-postservern bifogar en digital signatur i e-posthuvudena. Signaturen är kopplad till en domän via en kryptografisk nyckel som publiceras i DNS. Den mottagande servern hämtar avsändarens publika nyckel från DNS och verifierar signaturen, vilket säkerställer att meddelandet inte har manipulerats och bekräftar att det faktiskt signerades av den påstådda domänen. DKIM är kraftfullt eftersom signaturen överlever vidarebefordran (innehållet och signaturen förblir intakta), men DKIM garanterar inte i sig att signerande domän är samma som From-domänen – en avsändare kan signera med en domäns nycklar samtidigt som e-posten påstår sig komma från en annan domän, vilket kan förvirra mottagare.
  
  
• DMARC: DMARCs roll är att knyta SPF- och DKIM-resultat till den domän som är viktig för mottagaren – adressen i ”From:”-huvudet – och att ange en policy för hur misslyckanden ska hanteras. Enkelt uttryckt sitter DMARC ovanpå SPF och DKIM och frågar: ”Kommer e-posten faktiskt från den domän den säger sig komma från?” Det görs genom att kräva identifierarjustering (alignment) – domänen i From:-adressen måste matcha (eller vara en subdomän av) den domän som klarade SPF eller den domän som signerade DKIM-signaturen. Om varken SPF eller DKIM passerar med justering anser DMARC att e-posten är oautentiserad. Domänägaren kan tala om för mottagare vad de ska göra med sådana misslyckade meddelanden (övervaka dem, sätta dem i karantän som misstänkta eller avvisa dem helt) via DMARC-policyn (p=none/quarantine/reject). Detta är något varken SPF eller DKIM erbjuder på egen hand – de överför inte avsändarens policy till mottagaren. Dessutom ger DMARC återkoppling till domänägare: aggregatrapporter (sammanfattning av autentiseringsresultat) och valfria forensiska rapporter. Dessa gör det möjligt för organisationer att övervaka vem som skickar e-post som påstår sig komma från deras domän och att upptäcka missbruk eller felkonfigurationer. Kort sagt: SPF kontrollerar servern, DKIM kontrollerar innehållet och DMARC kontrollerar domänidentiteten och policyn. Tillsammans bildar dessa tre ett lagerförsvar mot spoofing och nätfiske.
  
  
• DMARCbis och ekosystemet: Det är viktigt att notera att DMARCbis inte ersätter SPF eller DKIM – det förlitar sig fortfarande på dem som underliggande autentiseringsmekanismer. Kärnlogiken ”en e-post passerar DMARC om den passerar SPF eller DKIM (eller båda) och domänen justeras” är oförändrad i DMARCbis. Tekniskt sett är DMARCbis alltså bakåtkompatibelt med hur e-post autentiseras; all e-post som passerade DMARC enligt den gamla specifikationen kommer också att passera enligt DMARCbis (kriterierna för SPF/DKIM-justering har inte förändrats i grunden). Det DMARCbis förbättrar är tillförlitligheten och konsekvensen i att avgöra mot vilken domän justeringen ska kontrolleras. Under den gamla DMARC kunde till exempel olika mottagare ha något olika tolkningar av organisationsdomäner i udda fall (på grund av variationer i PSL). DMARCbis standardiserar detta via tree walk och psd-taggar, vilket innebär att SPF- och DKIM-resultat utvärderas mot korrekt organisationsdomän mer konsekvent över hela linjen. Denna konsekvens stärker effektiviteten i SPF/DKIM genom att säkerställa att DMARC kontrollerar den avsedda domänen.

I praktiken bör organisationer fortsätta att implementera SPF och DKIM för alla sina sändande domäner – dessa är förutsättningar för att DMARC (inklusive DMARCbis) ska fungera. DMARCbis gör det enklare att hantera och verkställa policyer på dessa domäner, särskilt om du har komplexa domänstrukturer eller använder tredjepartssändare. En annan aspekt är e-postvidarebefordran: även om DMARCbis förbättrar många delar av DMARC löser den inte direkt problemet att legitima vidarebefordrare bryter SPF eller DKIM. Lösningar som ARC (Authenticated Received Chain) förblir kompletterande för att bevara autentisering genom vidarebefordran. Icke desto mindre säkerställer DMARCbis att så länge ett meddelande kan autentiseras via SPF eller DKIM kommer det att justeras korrekt och hanteras enligt domänens policy – vilket ger domänägare och mottagare ett tydligt, enhetligt sätt att upprätthålla e-postäkthet som SPF eller DKIM ensamma inte kan uppnå.

Konsekvenser av DMARCbis för företag (säkerhet, regelefterlevnad och efterlevnadspolicy)

Ur ett affärsperspektiv är DMARCbis mer än bara en teknisk uppdatering; den har strategiska konsekvenser för e-postsäkerhet, regelefterlevnad, interoperabilitet och policyefterlevnad. Organisationer – från storföretag till småföretag – som förlitar sig på e-post för kommunikation eller marknadsföring bör förstå dessa konsekvenser:

• Starkare säkerhet & varumärkesskydd: Förbättringarna i DMARCbis bidrar direkt till starkare försvar mot spoofing, nätfiske och ”business email compromise”. Genom att förfina domänjustering och stänga kryphål (som attacker via snarlika subdomäner) hjälper DMARCbis till att säkerställa att endast auktoriserade avsändare kan använda din domän. Detta skyddar dina kunder, partner och anställda från nätfiskemejl som utger sig för att komma från ditt företag. En lyckad DMARC- (eller DMARCbis-)implementering skyddar ditt varumärkes rykte genom att förhindra att angripare missbrukar din domän i bedrägerier. Uppdateringarna i DMARCbis är uttryckligen utformade för att stärka skyddet mot spoofing och nätfiske, vilket i sin tur ökar kundernas förtroende för de mejl de får från dig. Många branschinitiativ hänger också samman med DMARC-efterlevnad – för att till exempel visa verifierade logotyper med BIMI måste du ha en fullt verkställd DMARC-policy. Att omfamna DMARCbis innebär att din organisation ligger i framkant av bästa praxis för e-postsäkerhet, minskar risk och visar kunder och partner att du tar e-postsäkerhet på allvar.
  
  
• Regelefterlevnad och regulatorisk anpassning: E-postautentisering blir allt oftare en del av regulatoriska och branschspecifika efterlevnadsramverk. I vissa regioner och sektorer uppmuntras eller krävs DMARC (ofta på en efterlevnadspolicy) för vissa organisationer (till exempel har amerikanska federala myndigheter varit skyldiga att implementera DMARC med p=reject). När DMARCbis står inför att bli en officiell internetstandard kan vi förvänta oss en ännu starkare branschdriven push för antagande. Företag som hanterar känsliga data eller är verksamma inom finans, vård eller statliga leveranskedjor kan finna att implementering av DMARCbis inte bara är valfritt utan en efterlevnadsförväntning för att uppfylla cybersäkerhetsriktlinjer. Den goda nyheten är att DMARCbis gör det enklare att vara kompatibel: den tydligare specifikationen innebär färre felkonfigurationer, och möjligheten att publicera policyer för subdomäner (inklusive ”icke-existerande” via np) innebär att du kan täcka alla hörn av ditt e-postdomänutrymme med en policy. Detta hjälper till att säkerställa att det inte finns några luckor som angripare kan utnyttja. Att gå över till DMARCbis tidigt positionerar dessutom din organisation som ”mer compliant” och proaktiv i brevlådeleverantörers ögon. Leverantörer som Google och Microsoft värderar högt domäner som autentiserar och verkställer DMARC; sådan e-post har större sannolikhet att levereras till inkorgen. Som Excedo-bloggen noterade kommer organisationer som tar initiativ kring DMARCbis att vara bättre skyddade, mer kompatibla och mer betrodda av brevlådeleverantörer och mottagare. Sammanfattningsvis kommer antagande av DMARCbis sannolikt att bli synonymt med att följa de högsta standarderna inom styrning av e-postsäkerhet.
  
  
• Interoperabilitet & förbättrad leveransbarhet: En praktisk konsekvens av DMARCbis är förbättrad interoperabilitet i e-postekosystemet. Under den gamla DMARC kunde olika mottagare implementera identifiering av organisationsdomän något olika (eftersom ingen enskild PSL var mandat), vilket potentiellt ledde till inkonsekvent efterlevnad. DMARCbis övergång till DNS-baserad upptäckt innebär att varje mottagare använder samma metod, vilket bör resultera i enhetlig efterlevnad av din domänpolicy överallt. För avsändare är den konsekvensen fördelaktig – du slipper leverantörer som misslyckas med att hitta din DMARC-post på grund av en föråldrad PSL eller ett ovanligt domänsuffix. Dessutom klargör DMARCbis hur subdomänpolicyer ärvs eller överstyr, så om du delegerar en subdomän till en tredjeparts utskicks­tjänst och publicerar en policy för den, bör alla mottagare respektera den på ett konsekvent sätt. Allt detta förbättrar leveransbarheten för legitim e-post: när dina mejl är korrekt autentiserade och justerade är de mindre benägna att flaggas som skräppost. Omvänt blockeras obehöriga mejl mer tillförlitligt. Företag som implementerar DMARCbis kan förvänta sig färre falska negativa och falska positiva i e-postfiltreringen – vilket betyder att riktiga mejl kommer fram och falska stoppas, som avsett. Interoperabilitet omfattar även hur rapporter hanteras; eftersom DMARCbis tillhandahåller striktare rapporteringsformat och dokumentation bör organisationer som använder DMARC-övervakningsverktyg se mer standardiserade rapporter från mottagare, vilket gör analysen enklare över olika ISP:er. Kort sagt jämnar DMARCbis ut protokollets ojämnheter och gör det enklare för din e-post att fungera sömlöst i det globala e-postnätet.
  
  
• Policyefterlevnad & flexibilitet: DMARCbis balanserar mellan strikt efterlevnad och flexibilitet, vilket får direkta konsekvenser för hur företag hanterar e-postpolicy. Å ena sidan uppmuntrar avvecklingen av pct och filosofin bakom DMARCbis att röra sig mot full efterlevnad (100 % quarantine eller reject) som slutmål, snarare än att stanna på obestämd tid i ”övervakningsläge”. Det innebär att organisationer bör planera för att så småningom verkställa DMARC på all e-post – det är där fördelarna mot spoofing kommer. Å andra sidan tillför DMARCbis verktyg för att ta sig dit säkert och finjustera policyer.
  
  Införandet av t- (test-)flaggan gör att du tillfälligt kan begära nedgraderad efterlevnad, vilket i praktiken låter dig testa en reject-policy utan rädsla för att omedelbart tappa meddelanden – något som kan lugna intressenter som oroar sig för att blockera något viktigt. På samma sätt ger np-taggen och förbättrad hantering av subdomäner större organisationer mer granulär kontroll: du kan verkställa reject på subdomäner du aldrig skickar ifrån, samtidigt som du använder en mjukare policy på en subdomän som fortfarande är under övergång eller används av en tredje part. Denna flexibilitet minskar risken för ”över-efterlevnad” (att oavsiktligt påverka legitima e-postflöden) samtidigt som den möjliggör stark säkerhet där det behövs.
  
  Praktiskt bör företag se över sin domänarkitektur och sina sändningsflöden: identifiera alla domäner och subdomäner som skickar e-post (eller kan missbrukas om de inte gör det) och avgör hur var och en ska styras under DMARCbis. Med den nya specifikationen kan du publicera DMARC-poster på flera punkter i din domänhierarki om det behövs (tree walk hittar den mest relevanta).
  
  Detta kan vara användbart för företag med decentraliserad e-postadministration – till exempel ett multinationellt bolag med landspecifika subdomäner kan delegera DMARC-kontroll till varje lands IT genom att utnyttja tree walk för att ha DMARC-poster på de subdomänerna markerade som organisatoriska (psd=n). Sammanfattningsvis kräver DMARCbis viss anpassning – att ta bort utfasade taggar från DNS, justera policyer – men ger säkerhetsteamen större trygghet och kontroll i att upprätthålla e-postpolicy i hela organisationen.

Framtida trender och hur du förbereder dig för DMARCbis

Från och med 2025 är DMARCbis på väg att bli den nya standarden för e-postautentisering. Framåt syns flera trender:

• Bredare antagande och striktare efterlevnad: Vi kan förvänta oss att stora e-postleverantörer och säkerhetsgateways snabbt antar DMARCbis-standarden när den väl är färdigställd. Vissa mottagare kan redan testa DNS Tree Walk-metoden parallellt med PSL-metoden för att säkerställa en smidig övergång. När ekosystemet anpassas vill domänägare som implementerat DMARC försäkra sig om att deras poster förblir effektiva under den nya algoritmen – vilket de i de flesta fall gör om du har en DMARC-post på din organisationsdomän.
  
  En trend att bevaka är ökad skärpning hos mottagare: i takt med att DMARCbis klargör hur subdomänspoofing ska hanteras kan brevlådeleverantörer bli striktare i att tillämpa domänpolicyer. Det betyder att om din policy är ”reject” kommer mottagare sannolikt att hedra det resolut (särskilt när pct försvinner och testläge signaleras uttryckligen). Företag som stannat vid ”p=none” (övervakning) kommer att utsättas för större tryck att gå mot efterlevnad för att till fullo dra nytta av standarden. Dessutom kommer branschinitiativ (som BIMI för varumärkeslogotyper, e-postcertifieringsprogram etc.) fortsatt att kräva DMARC med efterlevnad – så att ha DMARCbis med en quarantine/reject-policy blir inte bara en säkerhetsåtgärd utan också en affärsfördel för marknadsföring och varumärkesexponering.
  
  
• Utveckling av standarder för e-postsäkerhet: DMARCbis är en del av en bredare rörelse för att stärka e-postens decennier gamla protokoll. Parallellt med DMARCbis uppdaterar IETF:s DMARC-arbetsgrupp även rapporteringsformaten (aggregat och forensik) och uppmuntrar antagande av närliggande standarder som MTA-STS (för krypterad transport) och BIMI. I framtiden kan vi se tätare integration mellan dessa standarder – till exempel att avsändare med stark DMARC-efterlevnad får förmånligare behandling i skräppostfilter, eller att mottagare delar mer data tillbaka till avsändare för hotinformation.
  
  En annan trolig trend är mer automation och verktyg för att hantera e-postautentisering. I takt med att komplexiteten ökar (med nya taggar och överväganden i DMARCbis) kommer organisationer att luta sig mot paneler och tjänster för att övervaka DMARC-efterlevnad. Många leverantörer uppdaterar redan sina plattformar för att stödja DMARCbis-taggar som psd och np och för att simulera tree walk för dina domäner. Med tiden kan DMARCbis också bana väg för framtida förbättringar i protokoll – till exempel, om branschen hittar ett bättre sätt att hantera vidarebefordrad e-post eller identitetsverifiering, kommer det byggas på den solida grund som DMARCbis etablerar (med tydliga regler för domänjustering).
  
  
• Ökat medvetande hos intressenter: För tio år sedan var det få utanför e-postadministratörer som kände till SPF/DKIM/DMARC. I dag, när nätfiske och ransomware syns på löpsedlarna, känner även högsta chefer och styrelser till behovet av e-postautentisering. Utrullningen av DMARCbis är ett tillfälle för CISO:er och IT-ledare att utbilda intressenter om e-postsäkerhet. Vi förväntar oss mer vägledning från organisationer som NIST, CIS och andra cybersäkerhetsorgan med uppdaterade rekommendationer för DMARCbis.
  
  Företag bör vara redo att svara på frågor som ”Är vi skyddade mot spoofade mejl? Har vi implementerat den senaste standarden?” Att vara tidig med DMARCbis kan vara en försäljningspunkt gentemot kunder och partner och visar att din organisation ligger steget före hoten. I vissa fall kan det till och med bli en konkurrensfördel eller ett krav i B2B-avtal (t.ex. att en partner kräver att du autentiserar e-post till dem via DMARC). Trenden går alltså mot att göra e-postautentisering till en baskrav i affärsrelationer, ungefär som att HTTPS blev en basnivå för webbplatser.

Hur bör din organisation förbereda sig för DMARCbis? Här är några konkreta steg för att säkerställa en smidig övergång:

1. Granska dina nuvarande DMARC-poster: Gå igenom DMARC-DNS-poster för alla domäner och subdomäner du äger. Ta bort eller undvik taggar som snart blir utfasade. Om din post till exempel innehåller pct= eller rapporteringstagg­arna ri= eller rf= bör du planera att ta bort dessa värden (de ignoreras i DMARCbis). Säkerställ att din organisationsdomän (t.ex. yourdomain.com) har en DMARC-post med en lämplig policy, eftersom det är den primära posten DMARCbis kommer att leta efter via tree walk. Om du förlitade dig på subdomän-wildcards eller implicit täckning, överväg att lägga till explicita poster eller sp/np-policyer vid behov.
   
   
2. Förstå din domänhierarki: Karta ut vilka subdomäner som skickar e-post och vilka som inte gör det. Med DMARCbis nya algoritm kan du publicera DMARC på flera nivåer. Utnyttja detta. För komplexa upplägg – simulera DNS Tree Walk-logiken (många DMARC-analysverktyg kan göra detta) för att verifiera vilken DMARC-policy som skulle gälla för e-post från var och en av dina subdomäner. Om resultatet inte blir som du vill kan du justera genom att lägga till en DMARC-post på en högre nivå i subdomänen eller använda psd-taggen för att markera organisationsgränser. Om till exempel mail.department.company.com hanteras av ett separat team kan du publicera en DMARC-post på _dmarc.department.company.com med psd=n för att låta dem kontrollera allt under den noden självständigt. En sådan planering säkerställer att DMARCbis fungerar med din organisations struktur i stället för mot den.
   
   
3. Använd de nya taggarna med eftertanke: Du måste inte använda de nya taggarna, men de kan vara mycket användbara. Utvärdera om np-taggen är rätt för dig – många organisationer kommer att sätta np=reject i DMARC-posten på toppdomänen för att definitivt blockera missbruk av icke-existerande subdomäner (en vanlig nätfisketaktik). Överväg att använda t=y (testläge) när du först går från övervakning till en efterlevnadspolicy, så att du kan bedöma påverkan. Tänk på att inte alla mottagare nödvändigtvis hedrar t=y, men de största kommer att behandla den som rådgivande. Att använda psd=y är sällsynt (endast om du driver ett public suffix som ett register eller en paraplyorganisation), men om du kontrollerar något som en lands-TLD eller en ISP:s kunddomänutrymme, undersök att publicera en DMARC-post med psd=y för att hjälpa till att skydda allt under den. Dokumentera alla ändringar du gör för DMARCbis så att ditt team och efterträdare vet varför taggarna finns där.
   
   
4. Övervaka rapporter och justera: Fortsätt (eller börja) samla in DMARC-aggregatrapporter (rua) och granska dem regelbundet. Med DMARCbis kommer aggregatrapporter att indikera om den nya tree walk användes eller om några policyer var i ”testläge”. Denna information hjälper dig att finjustera implementeringen. Om du till exempel sätter np=reject och sedan ser i rapporter att legitima källor använde en felkonfigurerad subdomän (en som du trodde var icke-existerande), kan du agera för att konfigurera den subdomänen korrekt eller ge den ett undantag. Håll även utkik efter avvikelser när mottagare börjar anta DMARCbis – rapporterna kan avslöja att en DMARC-post högre upp i din domänträdstruktur oavsiktligt överstyr vad du förväntade dig. Tidig övervakning fångar dessa problem. I fel-/forensiska rapporter (ruf) har DMARCbis ett eget utkast; om du använder dem, se till att dina adresser och system kan hantera något uppdaterade format. Överlag är rapporteringen din radar för att upptäcka både missbruk och implementeringsbuggar, så lämna inte din DMARC på autopilot – särskilt under övergångsperioden.
   
   
5. Utbilda och kommunicera: Förbered slutligen människor och processer. Säkerställ att dina e-postadministratörer, IT-säkerhetspersonal och incidenthanterare känner till DMARCbis och dess förändringar. Uppdatera din dokumentation för e-postsäkerhetspolicy för att återspegla de nya taggarna och beteendena. Om du använder tredjeparts e-postavsändare (t.ex. marknadsförings-plattformar eller SaaS-tjänster som skickar e-post i din domäns namn), kontakta dem för att bekräfta att de är linjerade med DMARC (de bör signera med DKIM och routa via auktoriserade servrar). Tala om att du planerar att verkställa DMARC (om du inte redan gör det) och säkerställ att de kan fungera under den ordningen. Internt – kommunicera till ledningen att antagande av DMARCbis är en del av det kontinuerliga förbättringsarbetet inom säkerhet – det är mestadels arbete bakom kulisserna, men det minskar risk väsentligt. Om DMARC (eller avsaknaden av det) någon gång orsakat leveransproblem för e-post i din organisation, använd utrullningen av DMARCbis för att åtgärda dessa (till exempel kanske en avdelnings mejl misslyckades med DMARC på grund av bristande justering; nu åtgärdbart med bättre vägledning). Genom att vara proaktiva och behandla antagandet av DMARCbis som ett projekt undviker ni att behöva agera i panik om en partner eller reglering plötsligt kräver det.

Slutsats: att omfamna DMARCbis-eran

DMARCbis representerar framtiden för e-postautentisering – en framtid där domänägare har mer kontroll och angripare färre gömställen. Detta uppdaterade protokoll tar en framgångsrik, stridstestad standard (DMARC) och förfinar den för att adressera de utmaningar och tvetydigheter som uppdagats under år av kamp mot nätfiske. För organisationer är budskapet tydligt: det är nu dags att få ordning på din e-postautentisering. Om din DMARC-implementering har haft ”stödhjul” (pct<100 eller ingen efterlevnad), börja röra dig mot full utrullning och använd DMARCbis testfunktioner vid behov. Om du inte alls har infört DMARC är DMARCbis den perfekta katalysatorn – det har aldrig varit enklare att implementera korrekt med den förbättrade dokumentationen, och behovet av att skydda din domän mot missbruk har aldrig varit större.

Fördelarna med att införa DMARCbis sträcker sig längre än att bara stoppa spoofade mejl. Du förbättrar din e-postleveransbarhet, skyddar kunder, uppfyller framväxande standarder och värnar ditt varumärkes rykte. Med den ständigt ökande sofistikeringen i nätfiskeattacker kan ingen organisation kosta på sig att ignorera e-postautentisering. DMARCbis är ett kraftfullt verktyg i din arsenal, med tyngd av branschsamförstånd och teknisk stringens i ryggen.

Sammanfattningsvis kommer DMARCbis snabbt, och organisationer som tar proaktiva steg nu kommer att ligga steget före – bättre skyddade, mer kompatibla och mer betrodda av brevlådeleverantörer och mottagare. Övergången är inte betungande, men den kräver uppmärksamhet och planering. Genom att se över dina policyer, uppdatera dina DNS-poster och utbilda ditt team kan du smidigt omfamna DMARCbis och fortsätta säkra din e-postkanal mot missbruk. E-postsäkerhet är en resa, inte en engångsinsats – och DMARCbis är nästa milstolpe på den resan. Vänta inte – börja förbereda dig för DMARCbis redan i dag, så att din organisation skördar fördelarna av ett säkrare och mer tillförlitligt e-postekosystem när det blir branschstandard.

Redo att stärka ditt e-postförsvar? Ta tillfället i akt att granska din e-postautentisering nu – framtiden för DMARC är här, och det är en uppgradering du inte vill missa. Boka en kostnadsfri rådgivning med våra DMARC-experter.