DMARC. Kaj je DMARC, kako ga nastavimo, kaj so njegove karakteristike?

DMARC (Domain-based Message Authentication, Reporting & Conformance) – je splošno priznan e-poštni protokol, ki ljudem in podjetjem pomaga zaščititi njihove e-poštne naslove in domene pred zlorabo s strani tretjih oseb. Pomaga prepoznati, da je poslano e-poštno sporočilo poslano od resničnega uporabnika. Ta metoda preverjanja pristnosti e-pošte ščiti pošiljatelje in prejemnike pred dejavnostmi, kot so ribarjenje, pošiljanje neželene pošte in ponarejanje.

PO DOMAČE : DMARC pove kaj naj poštni strežnik pri prejemniku naredi z e-mail sporočili poslanih iz vaše domene, ki so se izkazala kot neustrezna pri preverjanju DKIM podpisa e-maila in SPF DNS vpisa. Z DMARC lahko tako vi jasno poveste Microsoftovemu, Gmailovemu, Yahoojevemu strežniku ali drugemu poštnemu strežniku:

a.) naj kljub neustreznosti spusti naprej takšna sporočila v INBOX ali promocije (najmanj strogi DMARC),
c.) naj da neustrezna sporočila za nekaj časa karanteno in nato večinoma v SPAM mapo .
b.) naj neustrezna sporočila takoj zavrne že na nivoju strežnika in jih prejemnik sploh ne bo mogel videti (izjemno strogi DMARC).

Pri ustvarjanju e-poštne kampanje je pomembno razumeti DMARC in kako ga je mogoče uporabiti za zaščito pošiljateljev in prejemnikov. Preverjanje DMARC lahko pomaga preprečiti nepooblaščeno uporabo vaše domene, kar pa lahko pomaga zmanjšati količino neželene pošte v poštnih predalih prejemnikov.

Kaj je DMARC?

DMARC za ocenjevanje pristnosti e-poštnih sporočil uporablja okvir politike pošiljatelja (SPF) in domensko identificirano pošto (DKIM). Ta orodja skupaj preprečujejo prakse, kot sta ribarjenje in ponarejanje domen.

Goljufanje je kibernetsko kaznivo dejanje, pri katerem se nekdo predstavlja za verodostojno osebo, kot je banka, javna agencija ali celo vaš delodajalec, in poskuša pridobiti občutljive podatke, kot so podatki o kreditni kartici, gesla. Izkrivljanje domene je oblika ribarjenja, ki vključuje uporabo lažnega e-poštnega naslova ali domene, da bi bila videti legitimna.

DMARC omogoča lastnikom domen, da določijo, kako se obravnava e-poštno sporočilo, ki se zdi poslano iz te domene, če ne vsebuje pravih podatkov. Neoverjena e-poštna sporočila se lahko na primer blokirajo ali pošljejo naravnost v mapo za nezaželeno pošto na podlagi nastavitev v zapisih za domeno tega e-poštnega naslova.

Zakaj je DMARC pomemben?

Pošiljatelji neželene elektronske pošte in spletni goljufi lahko veliko pridobijo, če ogrozijo uporabniške račune. Z dostopom do gesel, podatkov o kreditnih karticah, bančnih računov in drugih finančnih instrumentov lahko zlonamerni akterji zlahka pridejo do denarja svojih žrtev, še preden se te sploh zavedo, da so bile prevarane.

Elektronska pošta je še posebej privlačna in pogosta tarča, zlasti za lažne prevare. Že tako preprosta stvar, kot je vstavitev logotipa znane blagovne znamke v e-pošto, lahko nekatere prejemnike zavede, da so prepričani, da so prejeli legitimno sporočilo.

DMARC rešuje to težavo v velikem obsegu. Brezplačne e-poštne storitve, kot so Google, Yahoo ali Hotmail, realno ne morejo pregledati vsakega e-poštnega sporočila, ki gre skozi njihove strežnike, da bi ugotovile, katera e-poštna sporočila je treba dovoliti in katera so morda goljufiva.

Pri tem lahko pomagajo zapisi SPF in DKIM, vendar so ti postopki sami po sebi omejeni. Če se ti protokoli uporabljajo z DMARC, pomagajo pošiljateljem in prejemnikom sodelovati pri boljšem varovanju e-poštnih sporočil

Prednosti DMARC

Zapisi DMARC so pomemben del zaščite sebe in oseb, ki jim pošiljate e-pošto. Poleg zaščite vaše domene pred nepooblaščeno uporabo lahko z DMARC ugotovite, kdo uporablja vašo e-poštno domeno za pošiljanje nepooblaščenih e-poštnih sporočil.

DMARC zagotavlja tri glavne prednosti: varnost, ugled in vidnost.

Varnost

Poleg zaščite strank je uporaba DMARC koristna tudi za celotno e-poštno skupnost. DMARC z vzpostavitvijo okvira za dosledno politiko ravnanja z nepreverjenimi e-poštnimi sporočili pripomore k večji zanesljivosti in varnosti e-poštnega ekosistema.

Ugled

DMARC ščiti blagovne znamke, saj deluje kot vratar – preprečuje zlonamernežem, da bi ponaredili vašo domeno in pošiljali e-poštna sporočila, za katera se zdi, da prihajajo od vaše blagovne znamke. Z objavo zapisa DMARC se lahko izboljša vaš ugled.

Vidnost

DMARC vam omogoča boljši vpogled v vaš e-poštni program na visoki ravni, saj vam omogoča, da poznate identiteto vseh, ki pošiljajo e-pošto iz vaše domene.

Kako deluje preverjanje pristnosti e-pošte DMARC

DMARC se ujema z obstoječimi postopki preverjanja pristnosti vhodne e-pošte. Prejemnikom pomaga ugotoviti, ali je sporočilo skladno s tem, kar vedo o pošiljatelju.

Če se sporočilo ne ujema, lahko prejemni strežnik preveri zapis DMARC, da dobi navodila, kako ravnati z neusklajenim sporočilom. Tukaj je primer tega poteka za prejemnika, ki uporablja SPF in DKIM ter lastne filtre za neželeno pošto (običajna nastavitev):

  1. Uporabnik napiše in pošlje elektronsko sporočilo.
  2. Pošiljajoči strežnik vstavi glavo DKIM.
  3. Pošiljajoči strežnik pošlje elektronsko sporočilo prejemniku.
  4. E-poštno sporočilo gre skozi standardne teste preverjanja (seznami blokad IP, omejitve hitrosti, testi ugleda in tako naprej).
  5. Prejemni strežnik na podlagi glave pridobi preverjene domene DKIM, “ovojnico od” prek SPF in uporabi politike DMARC, pri čemer elektronsko sporočilo prepusti naprej, pošlje v karanteno ali zavrne in pošlje poročilo pošiljateljevemu strežniku. Povedano drugače, lahko rečemo, da na tej točki prejemni strežnik išče pritrdilni odgovor na tri ključna vprašanja:
  • Ali je podpis DKIM veljaven?
  • Ali je sporočilo prišlo s sprejetega IP-naslova v skladu z zapisom SPF?
  • Ali je v glavi sporočila prikazana prava domena?
  1. Elektronsko sporočilo gre skozi filtre proti nezaželeni pošti in druge standardne postopke.

Na ta način DMARC izpolnjuje več zahtev na visoki ravni:

  • Manj lažnih pozitivnih rezultatov
  • Zanesljivo poročanje o avtentikaciji
  • Manjše število primerov lažnega ribarjenja
  • Delo v velikem obsegu zmogljivosti

Kakšen DMARC vam priporočamo?

Priporočamo, da DMARC zaščito uvajate postopno od manj strogega k bolj strogemu zapisu.

  • MANJ STROGI ZAPIS

Priporočamo, da za začetek v DNS za manj strogi DMARC dobesedno zapišete naslednje besedilo za DMARC:

v=DMARC1; p=none; pct=100; aspf=r; adkim=r; rua=mailto:vasmail@domena.si;

Pri tem poimenujete to tekstualno polje _dmarcČe vnašate DMARC zapis za poddomeno ga poimenujete to tekstutalno polje takole imepodomene_dmarc.

Pozor: Za rua e-mail v DMARC zapisu je najboljše, da vpišete tisti (delujoči) e-mail s katerega masovno pošiljate e-maile iz te domene, lahko imate pa tudi poseben e-mail naslov samo za DMARC preverjanje. Nanj bodo prihajala agregirana sporočila strežnikov, ki vas opozorijo, kadar e-maili poslani iz vaših strežnikov niso imeli ustreznih SPF ali DKIM ali DMARC in potem hitreje ukrepate.

Takšen zapis je najbolj ohlapen DMARC in bo najmanj zavrnitev e-mailov, če kateri od vaših sistemov še ni skladen z novimi pravili.

  • STROŽJI ZAPIS ZA NAPREDNEJŠE UPORABNIKE

Čez nekaj mesecev lahko vpišete strožji DMARC zapis za naprednejše uporabnike. Seveda ko ste 100% prepričani, da vsi vaši sistemi pošiljajo SPF, DKIM skladne e-maile in bi želeli, da imate boljšo kibernetsko varnost, boljšo zaščito pred SPAM-om in boljšo dostavljivost e-mailov, za DMARC v DNS zapišete naslednje besedilo:

v=DMARC1; p=quarantine; pct=100; aspf=r; adkim=r; rua=mailto:vasmail@domena.si; ruf=mailto: vasmail@domena.si;

(seveda vasmail@domena.si nadomestite z vašim delujočim e-mail naslovom iz te domene). V temle zapisu je dodan še ruf e-mail na katerega lahko dobivate podrobnejša forenzična sporočila za ugotavljanje napak.
S tem strožjim zapisom sporočamo poštnim odjemalcem, naj dajo vsa sporočila, ki nimajo ustreznega DMARC, SPF in DKIM v karanteno oz. SPAM mapo. Dodali smo pa še ruf e-mail naslov, kamor boste dobivali natančnejša forenzična sporočila za ta neustrezna sporočila, kar pripomore k odkrivanju napak.

Podrobnejša razlaga DMARC atributov

Poleg zapisov DNS je objavljen tudi zapis DMARC, ki si ga lahko ogleda vsakdo na spletu. V tem razdelku bomo pregledali, kako lahko pregledate zapis DMARC domene in kaj pomenijo posamezni deli zapisa.

Preverjanje in dekodiranje zapisa DMARC

Preverjanje zapisa DMARC v domeni lahko opravite preko enega izmed zastonjskih orodij na spletu, kot npr. MX toolbox.

Razčlenitev DMARC zapisa:

Spodaj so po razdelkih obrazložitve pomena

v=DMARC1

Prejemni strežnik išče identifikator v=DMARC1, ko pregleda zapis DNS za domeno, ki pošilja sporočilo. Če sprejemni strežnik te oznake ne najde, ne izvede preverjanja DMARC.

p = none, p = quarantine, p = reject

P tukaj pomeni “politika”. Nosilci domen lahko izberejo eno od treh politik, s katerimi prejemnemu strežniku svetujejo, kaj naj stori s pošto, ki ne prestane SPF in DKIM, vendar trdi, da izvira iz vaše domene.

  • p=none sporoča prejemniku, naj ne izvaja nobenih ukrepov proti neavtentificirani pošti, ampak naj namesto tega pošlje e-poštna poročila na naslov mailto:, ki je naveden v zapisu DMARC.
  • p=quarantine sporoča prejemniku, naj neodobrena sporočila pošlje v karanteno (na primer tako, da jih pošlje naravnost v filter za nezaželeno pošto namesto v poštni predal).
  • p=reject (zavrniti) sporoča prejemniku, da zavrne nekvalificirano pošto. Samo preverjena e-pošta bo prišla v poštni predal. Pošti, ki je zavrnjena, je preprosto onemogočen vstop.

rua=mailto:

Ta razdelek sporoča strežniku prejemniku, kam lahko pošilja zbirna poročila DMARC. Poročila vključujejo informacije na visoki ravni o težavah DMARC, vendar niso zelo podrobna.

ruf=mailto:

Podobno kot rua=mailto: tudi ruf=mailto: določa, kam lahko prejemni strežnik pošilja forenzična (podrobna) poročila o napakah DMARC. Ta poročila se v realnem času pošljejo skrbniku domene in vključujejo podrobnosti o vsakem incidentu.

fo=

V tem razdelku je prikazana ena od več vrednosti, povezanih z možnostmi forenzičnega poročanja:

  • 0 generira poročila, kadar vsi mehanizmi avtentikacije ne dajo rezultata DMARC pass
  • 1 ustvari poročila, kadar noben mehanizem ne uspe
  • d generira poročila, če podpisi DKIM niso preverjeni
  • s ustvari poročila, če SPF ne uspe

sp=

Kadar je v zapisu DMARC navedena neobvezna vrednost sp=, ta sporoča prejemnemu strežniku, ali naj uporabi politike DMARC za poddomene.

adkim=

Tudi izbirna vrednost adkim= nastavi poravnavo DKIM na s (strogo) ali r (sproščeno). Strogo pomeni, da bo del DKIM sprejet le, če se polje d= v podpisu DKIM natančno ujema z naslovom from. Sproščena nastavitev omogoča, da sporočila prejmejo del DKIM, če se polje DKIM d= ujema s korensko domeno pošiljateljevega naslova, in je implicitna, če adkim= v zapisu ni naveden.

Na primer, v sproščenem načinu bi se naslovi mail.eprvak.com, mx1.mail.eprvak.com in eprvak.com uskladili med seboj, saj si delijo isto organizacijsko domeno (eprvak.com). V strogem načinu se lahko vsak od njih uskladi le s samim seboj (eprvak.com bi se uskladil le z eprvak.com).

ri=

Pri pregledu zapisa DMARC lahko vidite tudi vrednost ri=. Ta vrednost določa interval za želeno pogostost zbirnih poročil, kot je navedeno v rua=mailto:.

aspf=

Aspf= je še ena neobvezna vrednost, ki določa strogost, ki se zahteva za poravnavo SPF, in sicer s (strogo) ali r (sproščeno). Strogo pomeni, da se SPF uskladi le, če se domena Mail From (imenovana tudi SPF from, envelope from ali bounce address) natančno ujema z naslovom v glavi from (imenovanim tudi “friendly from”).

POMEMBNO: Uporabniki ePrvak orodij nikoli ne smete imeti aspf=s, ker vsebujejo z email naslov za odbite e-maile na elektronskapost.si ali elektronskaposta.com domeni in ta seveda ni enaka domeni e-miala s katerega pošiljate. Sproščena nastavitev omogoča, da se SPF uskladi, če imata domena Mail From in domena glave from isto organizacijsko domeno.

Na primer, če je aspf nastavljen na sproščeno, bi se mail.eprvak.com, mx1.mail.eprvak.com in eprvak.com uskladili med seboj, saj si delijo isto organizacijsko domeno (eprvak.com). Tako kot pri adkim je tudi pri aspf privzeta nastavitev relaxed.

pct=

Z uporabo te izbirne vrednosti lahko lastnik domene preizkusi vpliv svojega DMARC na pošiljanje z določitvijo odstotka, koliko e-poštnih sporočil se pošlje z določeno politiko. To je lahko koristno pri prvem uvajanju DMARC za merjenje razlike v uspešnosti dostave e-pošte, poslane iz vaše domene. Na primer, p=reject; pct=50 pomeni, da za 50 % e-poštnih sporočil velja najstrožja politika, medtem ko za preostalih 50 % velja naslednja najstrožja politika (v tem primeru karantena).

 

Navodilo za vpis DMARC zapisa:

Office 365
– Prijavite se v vaš uporabniški račun na portal.office.com/AdminPortal

  • Pod sekcijo Domains poiščete željeno domeno in kliknete DNS Management
  • Preverite, če ypis DMARC že obstaja. DNS zapis za DMARC se imenuje _dmarc.ime_domene.
  • Če zapis DMARC že obstaja, ob zapisu kliknete Edit. S tem lahko spremenite  DMARC zapis
  • Če je zapis za DMARC potrebno vnesti, imate na vrhu seznama možnost dodajanje novega zapisa. Ime novega DMARC zapisa mora biti _dmarc.ime_domene, tip TXT, vrednost pa niz za vaš DMARC zapis

Google workspace

  • V Google računu izberite My domains
  • Izberite želeno domeno in kliknite na Manage
  • Preverite, če DMARC že obstaja. DNS zapis za DMARC se imenuje _dmarc.ime_domene.
  • Če zapis DMARC že obstaja, ob zapisu kliknete Edit. S tem lahko spremenite DMARC zapis
  • Če je zapis za DMARC potrebno vnesti, imate na vrhu seznama možnost dodajanje novega zapisa. Ime novega DMARC zapisa mora biti _dmarc.ime_domene, tip TXT, vrednost pa niz za vaš DMARC zapis

cPanel

  • Izberete DNS Zone manager

dns zone

  • Izberete želeno domeno ter kliknete gumb Manage

manage

  • Če zapis DMARC že obstaja (_dmarc.imedomene), ob zapisu kliknete Edit. S tem lahko spremenite DMARC zapis

edit

Urejanje vam že ponudi tip omejevanja (none, quarantine, reject), določite pa tudi email naslova, kamor naj se pošiljajo ustrezna poročila. Sistem sam prepozna, da gre za vrednost DMARC po predponi _dmarc v imenu zapisa.

vpisan DMARC

  • Če je zapis za DMARC potrebno na novo vnesti, imate na vrhu seznama možnost dodajanje novega zapisa. Ime novega DMARC zapisa mora biti _dmarc.ime_domene, tip TXT, vrednost pa priporočeni niz za vaš DKIM ključ, ki ste ga pridobili prej.

dodaj DMARC

 Pri vnašanju DMARC zapisa bodite pozorni, da vnašate niz brez začetne in končne navednice!

 Končna oblika DMARC zapisa v DNS zapisih naj bo torej:

_dmarc.domenaskatereposilajte         TXT            3600         “v=DMARC1; p=none; pct=100; aspf=r; adkim=r; rua=mailto:vasmail@domena.si; ruf=mailto:vasmail@domena.si;”

izgled

Related Posts
Domena
E Mail Marketing
Javne Baze
Back To Top