”Hjälp! Våra nyhetsbrev verkar bara hamna i skräpposten hela tiden trots att vi lägger ner massor av tid och pengar på dem. Vad gör vi för fel med vårt innehåll?”.

Frågan dök upp i en Facebookgrupp jag är med i häromdagen. Och under de senaste fem åren har den också dykt upp med jämna mellanrum i allsköns olika sammanhang. Oftast från duktiga, men frustrerade marknadsförare eller egenföretagare. Och: visst kan det hända att både texter och bilder i dina nyhetsbrev behöver ses över och vässas till, men oftast är lösningen faktiskt enklare än så. Oftast är lösningen på ditt problem teknisk och tar inte längre än någon halvtimme att lösa.

Har du också problem med att nyhetsbreven blir klassade som skräppost?

➡️Se då till att cybersäkra dina nyhetsbrev genom att autentisera din avsändande domän med SPF, DKIM och DMARC.

Utöver att du omgående ökar leveransbarheten för dina nyhetsbrevutskick minskar du även risken för att bedragare missbrukar din domän och till exempel skickar skräppost i ditt namn; eller utsätter dina kontakter för sofistikerade phishingförsök.

Ok. Det låter bra! Men…vad är SPF, DKIM och DMARC egentligen?

Din IT-support kan säkerligen dra igenom alla tekniska detaljer du vill, men här nedan kommer en förenklad översikt á la vanlig människa med låg intressenivå – för dig som kanske är helt ny på det här med cybersäkerhet för din domän och för dina mejlutskick.

Ponera att du är nystartad företagare och att du köpt domänen mittexempelföretag.se. Du har satt upp e-postadressen anna.andersson@mittexempelforetag.se och det här är både den mejlen du använder till vardags när du mejlar med dina kunder, men också den mejladress som du konfigurerat som avsändare för dina nyhetsbrev i exempelvis Mailchimp. Inga konstigheter så långt, eller hur?

Problemet är bara att det i dag också är precis lika lätt för en hotaktör att utsätta ditt företag för bedrägeri och sätta upp motsvarande, men falska uppgifter.

Och det är här begrepp som MX, SPF, DKIM och DMARC kommer in. Genom att konfigurera de här säkerhets- och autentiseringsmekanismerna för din domän, i vårt fiktiva exempel alltså www.mittexempelforetag.se, minskar du risken för att själv bli utsatt, men skyddar också andra användare i ditt nätverk från att drabbas.

Fyra centrala begrepp:

- 1) MX (Mail Exchange)-poster – rätt väg för e-posten
  MX-poster i DNS uppger helt enkelt vilka servrar som hanterar inkommande post för din domän. Om jag till exempel skickar ett mejl till din domän så används MX-posten för att dirigera det till rätt e-postserver, kanske till mail.mittexempelforetag.se. Utan en korrekt MX-post skulle mitt mejl till dig inte ha någonstans att ta vägen.

2) SPF – förhindra att bedragare utger sig för att mejla i ditt eller företagets namn
SPF (Sender Policy Framework):-poster hjälper till att förhindra e-postförfalskning genom att styra vilka servrar som har tillåtelse att skicka e-post från din domän. Tänk dig till exempel att din domän mittexempelforetag.se har en SPF-post som säger att endast smtp.mittforetag.se får skicka e-post från din domän. Om en bedragare nu skulle försöka skicka mejl från din domän mittexempelforetag.se via en annan avsändande server, till exempel evilserverhittepånamn.se kan mottagarens e-postserver, exempelvis Gmail eller Microsoft, nu avvisa eller flagga bedragarens mejl som misstänkt.I det här fallet utgår vi så klart ifrån att du ska göra lagliga och bra grejer i ditt företag. För dig är det så klart en självklarhet att allt som skickas från mittexempelforetag.se per definition är autentiserat. Problemet med att du och dina mejlutskick hamnar i skräpposten handlar dock om att mottagande mejlservrar inte kan skilja på dig och eventuella bedragare som imiterar din domän ifall du inte har den här konfigurationen korrekt på plats.SPF hänger i sin tur även nära ihop med…

3) DKIM – Verifierar att mejlet inte har ändrats eller manipulerats.
När du fått ordning på dina konfigurationer för dittexempelföretag.se kommer dina utgående mejl att signeras med en så kallad DKIM-signatur, en kryptografisk signatur. Eller på ren bondsvenska: en digitalt verifierad underskrift från dig som avsändare.Om du till exempel mejlar till mig och min domän, ambaurora.com, kan nu min e-postserver använda den offentliga nyckeln för dittexempelforetag.se för att säkerställa att mejlet du ursprungligen skickade till mig inte har manipulerats på vägen. Skulle det ha inträffat någonting under resans gång så blir din DKIM-verifiering ogiltig och mitt mejlprogram kommer att flagga upp det för mig.Avslutningsvis har vi kommit till DMARC.

4) DMARC – bestämmer vad som ska hända med ogiltiga mejl. DMARC, eller Domain-based Message Authentication, Reporting & Conformance som det så vackert heter i sin helhet (😀) bygger på SPF och DKIM och styr vad som ska hända ifall ett mejl misslyckas med SPF och DKIM-kontrollerna. Din DMARC-konfigurering för dittexempelforetag.se kan till exempel instruera mottagande serverar att avvisa alla mejl som misslyckas med de här kontrollerna, alternativt acceptera mejlen eller vid behov sätta dylika mejl i karantän.

…och så här får du konfigurationerna på plats:

Är du tekniskt lagd? Fint, då är det här antagligen en no brainer för dig! Då är det bara att logga in på kontrollpanelen för ditt webbhotell (alltså det ställe där du hyr i dig med din domän mittexempelforetag.se). Exakt hur man går tillväga för att fixa de här konfigurationerna varierar från leverantör till leverantör, men de flesta brukar ha steg-för-steg guider (som finns tillgängliga online) som du kan följa.

Är du inte tekniskt lagd? Ta in hjälp. En duktig IT-konsult får du räkna med att betala från 1300-1500 SEK per timme för, men å andra sidan kan du också räkna med att det här är ett väldigt basalt ingrepp för en IT-människa att lösa åt dig. På andra sidan hägrar sinnesfrid, seriositet för ditt varumärke och, framför allt: riskminimering.

⚠️ Att strunta i att konfigurera SPF, DKIM och DMARC för din domän ökar risken för att du eller ditt företag blir utsatt för phishing och bedrägerier. Ingen SPF? Bedragare kan skicka e-post som ser ut att komma direkt från din domän, vilket kan lura dina kunder eller prospects att klicka på skadliga länkar eller ladda ner farliga bilagor. Som nämnt i inledningen kan du också se fram emot ökad risk att framför allt Gmail spamklassar dina marknadsföringsutskick och i värsta fall helt och hållet blockerar dem från att komma fram Parallellt med att både teknikutvecklingen och mängden cyberhot ökar har de flesta större e-postleverantörer som exempelvis just Gmail, Microsoft och Protonmail skärpt till sina säkerhetsprotokoll och rutiner. Något som i sin tur än mer ökar risken för att hamna i skräpposten – helt i onödan.

Cookie	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.