DMARC - Det strammes til. Hva skjer videre og hvilke krav vil du få fremover ?

Det skjer nå en betydelig innstramming rundt DMARC (Domain-based Message Authentication, Reporting & Conformance) fra flere store aktører, og at PCI DSS 4.0 setter en klar frist for implementering med spesifikke krav. Dette er en tydelig indikasjon på en bredere trend mot økt fokus på e-postsikkerhet og autentisering av domener.

Her er hva du kan forvente av den videre utviklingen og kravene fremover:

Kortsiktige forventninger (neste 1-2 år):

  • Ytterligere skjerping fra e-postleverandører: Google, Yahoo og Microsoft har allerede tatt betydelige skritt. Det er sannsynlig at de vil fortsette å skjerpe sine krav til DMARC-policy (sannsynligvis mot p=quarantine eller p=reject som anbefalte minimum) og håndhevelse for å beskytte sine brukere mot spam, phishing og spoofing. Dette kan inkludere strengere sanksjoner for domener som ikke har implementert DMARC korrekt, som for eksempel økt sannsynlighet for at e-post havner i søppelpost eller blir blokkert.
  • Økt bransjespesifikk regulering: PCI DSS 4.0 er et tydelig eksempel på at bransjestandarder vil inkludere krav til e-postautentisering. Andre bransjer som håndterer sensitiv informasjon (helse, finans, offentlig sektor) kan følge etter med lignende krav for å sikre kommunikasjonen med sine kunder og partnere.
  • Større fokus på DMARC-rapportering og analyse: Etter hvert som DMARC blir mer utbredt og håndheves strengere, vil viktigheten av å overvåke og analysere DMARC-rapporter øke. Virksomheter vil trenge verktøy og kompetanse for å forstå disse rapportene, identifisere legitime og illegitime e-postkilder, og justere sine DMARC-innstillinger deretter.
  • Økt bevissthet og krav fra kunder og partnere: Etter hvert som e-posttrusler blir mer sofistikerte, vil også sluttbrukere og samarbeidspartnere bli mer bevisste på viktigheten av sikker e-postkommunikasjon. Dette kan føre til at de forventer at virksomheter de samhandler med har implementert robuste sikkerhetstiltak som DMARC.

Langsiktige forventninger (neste 3-5 år og utover):

  • DMARC som en standard for e-postsikkerhet: Det er sannsynlig at DMARC vil etablere seg som en global standard for e-postautentisering, på linje med SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail). Manglende DMARC-implementering vil kunne bli sett på som et tegn på dårlig sikkerhetspraksis.
  • Utvikling av mer avanserte e-postautentiseringsmetoder: Selv om DMARC er en kraftig mekanisme, er det ikke usannsynlig at det vil komme ytterligere forbedringer og nye standarder for e-postautentisering for å håndtere stadig mer avanserte trusler. Dette kan inkludere tettere integrasjon med andre sikkerhetsprotokoller.
  • Økt automatisering og forenkling av DMARC-håndtering: Etter hvert som kompleksiteten i e-postinfrastruktur øker (bruk av flere e-postleverandører, tredjepartstjenester osv.), vil det bli et større behov for automatiserte løsninger som kan hjelpe virksomheter med å implementere, overvåke og håndtere DMARC på en effektiv måte.
  • Potensielle krav om strengere DMARC-policyer: Der PCI DSS 4.0 nå krever p=quarantine eller p=reject, kan det hende at fremtidige krav og anbefalinger vil bevege seg mot en enda sterkere håndhevelse (p=reject som standard) for å minimere risikoen for e-postmisbruk.
  • Utvidet omfang til andre kommunikasjonskanaler: Selv om DMARC fokuserer på e-post, kan prinsippene for domeneautentisering og rapportering etter hvert bli relevante for andre digitale kommunikasjonskanaler som SMS og potensielt andre meldingsplattformer for å bekjempe spoofing og svindel på tvers av ulike kanaler.

Hva betyr dette for virksomheter og bransjer?

  • Proaktivitet er nøkkelen: Virksomheter bør ikke vente på at nye krav blir innført, men heller være proaktive med å implementere DMARC og gradvis stramme inn policyene sine.
  • Invester i kompetanse og verktøy: Det er viktig å ha tilstrekkelig kompetanse internt eller samarbeide med eksterne eksperter for å sikre korrekt implementering og kontinuerlig overvåking av DMARC. Invester i verktøy som kan forenkle analyse av DMARC-rapporter.
  • Helhetlig tilnærming til e-postsikkerhet: DMARC er en viktig del av en helhetlig e-postsikkerhetsstrategi som også bør inkludere SPF, DKIM, opplæring av ansatte og andre tekniske og organisatoriske tiltak.
  • Tilpasning til bransjekrav: Virksomheter må følge nøye med på utviklingen innenfor sin egen bransje og eventuelle nye reguleringer eller standarder som inkluderer krav til e-postsikkerhet og domeneautentisering.

Kort oppsummert kan vi forvente en kontinuerlig og akselererende trend mot strengere krav til e-postsikkerhet, der DMARC spiller en sentral rolle. Virksomheter som tar dette på alvor og implementerer robuste løsninger vil være bedre rustet til å beskytte sine domener, sine kunder og sitt omdømme mot e-postbaserte trusler. Fristen 31. mars for PCI DSS 4.0 er en viktig påminnelse om at dette ikke lenger er valgfritt for mange virksomheter.

Løs problemet med PowerDMARC

PowerDMARC Recognized as Grid Leader for DMARC in G2 Spring Reports 2025.