Hva er DMARC-sårbarhet?
DMARC- poster når de er konfigurert på riktig måte kan være til nytte for deg på mer enn én måte. Det er et nytt område innen e-postsikkerhet som tilbyr domeneeiere et vell av informasjon om kilder og ytelse for e-postsending. DMARC-sårbarhet refererer til svært vanlige feil som brukere gjør mens de implementerer protokollen eller håndhever den.
Sårbarheter i e-postautentiseringssystemet kan variere fra enkle feil som feil syntaks til mer komplekse feil. Uansett, med mindre du feilsøker disse problemene og konfigurerer protokollen på riktig måte, kan det ugyldiggjøre e-postsikkerhetstiltakene dine.
Før vi analyserer de mulige sårbarhetene du kan støte på på e-postautentiseringsreisen, la oss gjøre en rask gjennomgang av noen få grunnleggende konsepter. De er:
- Hva er e-postautentisering?
- Hvordan autentiserer DMARC e-postene dine?
- Virkningen av DMARC-sårbarheter på meldingsleveringen din
Hva er e -postautentisering?
Nettkriminelle kan hente ut økonomiske fordeler ved å avskjære e-postkommunikasjon eller bruke sosial teknikk for å svindle intetanende ofre.
E-postautentisering refererer til spesifikke bekreftelsessystemer som domeneeiere kan konfigurere for å fastslå legitimiteten til e-poster sendt fra domenet deres. Dette kan gjøres ved hjelp av digitale signaturer plassert i meldingsteksten, verifisering av returbaneadresser og/eller identifikatorjustering.
Når autentiseringskontrollene bekrefter e-postens legitimitet, blir e-posten sendt inn i mottakerens innboks.
Hvordan autentiserer DMARC e-postene dine?
Når et selskap sender en melding til sine brukere, går e-posten fra avsenderserveren til mottakerserveren for å fullføre leveringsreisen. Denne e-posten har en Mail From:-overskrift som er den synlige overskriften som viser e-postadressen e-posten er sendt fra og en returbane-header som er en skjult overskrift som inneholder returstiadressen.
En angriper kan forfalske bedriftens domene for å sende e-post fra samme domenenavn, men det er mye vanskeligere for dem å maskere returbanen.
La oss ta en titt på denne mistenkelige e-posten:
Selv om e-postadressen som er knyttet til meldingen ser ut til å komme fra [email protected] som føles ekte, kan det ved å inspisere returbanen raskt fastslås at returadressen ikke er relatert til company.com og ble sendt fra en ukjent domene.
Denne returadressen (også kalt returbaneadresse) brukes av e-postmottakende servere for å slå opp en avsenderes SPF - post mens DMARC bekreftes. Hvis avsenderens DNS inneholder IP-adressen som samsvarer med IP-en til den sendte e-posten, sender SPF og deretter DMARC den, ellers mislykkes den. Nå i henhold til DMARC-policyen som er konfigurert av avsenderdomenet, kan meldingen bli avvist, satt i karantene eller levert.
Alternativt kan DMARC også se etter DKIM -identifikatorjustering for å bekrefte en e-posts autentisitet.
Virkningen av DMARC-sårbarheter på meldingsleveringen din
Sannsynligheten for at meldingene dine blir levert til kundene dine er veldig avhengig av hvor nøyaktig du har konfigurert protokollen. Eksisterende sårbarheter i organisasjonens e-postsikkerhetsstilling kan svekke sjansene for at meldingene dine blir levert.
Visse klare indikasjoner på smutthull i DMARC-autentiseringssystemet er som følger:
- Problemer med levering av e-post
- Legitime meldinger blir merket som spam
- DMARC-feilmeldinger mens du bruker nettbaserte verktøy
Typer DMARC-sårbarheter
DMARC-sårbarhet #1: Syntaktiske feil i DNS-poster
En DMARC-post er en TXT-post med mekanismer atskilt med semikolon som spesifiserer visse instruksjoner for e-postmottakende MTAer. Nedenfor er et eksempel:
v=DMARC1; p=avvise; rua=mailto:[email protected]; pct=100;
Små detaljer som mekanismeseparatorene (;) spiller en viktig rolle for å avgjøre om posten din er gyldig, og derfor ikke kan overses. Derfor anbefaler vi at du bruker vårt gratis DMARC-postgeneratorverktøy for å lage en nøyaktig TXT-post for domenet ditt.
DMARC-sårbarhet #2: Ingen DMARC-post funnet / DMARC-post mangler sårbarhet
Domeneeiere kan ofte komme over en melding mens de bruker nettbaserte verktøy, som ber om at domenet mangler en DMARC-post. Dette kan skje hvis du ikke har en gyldig post publisert på DNS.
DMARC hjelper deg med å beskytte domenet og organisasjonen din mot et bredt spekter av angrep, inkludert phishing og direkte domeneforfalskning. Når vi lever i en digital verden med trusselaktører som prøver å avskjære e-postkommunikasjon hvert trinn på veien, må vi utvise forsiktighet og iverksette forebyggende tiltak for å stoppe disse angrepene. DMARC hjelper i denne prosessen for å fremme et tryggere e-postmiljø.
Vi har dekket en detaljert artikkel om å fikse sikkerhetsproblemet uten DMARC-post funnet , som du kan referere til ved å klikke på lenken.
DMARC-sårbarhet #3: Ingen retningslinjer: kun overvåking
En hyppig misforståelse blant brukere er at en DMARC-policy på p=none er nok til å beskytte domenet deres mot angrep. I virkeligheten er det bare en håndhevet politikk med avvisning/karantene som kan hjelpe deg med å bygge opp forsvaret ditt mot forfalskning.
En avslappet politikk kan imidlertid være fruktbar hvis du bare ønsker å overvåke e-postkanalene dine, uten å håndheve beskyttelse. Det anbefales imidlertid at du gjør et raskt skifte til p=avvis når du er sikker.
Vi har plassert dette under DMARC-sårbarhetskategorien basert på kriteriet om at de fleste brukere implementerer DMARC for å få en høyere grad av beskyttelse mot angrep. Derfor kan en politikk med null håndhevelse være uten verdi for dem.
DMARC-sårbarhet #4: DMARC-policy ikke aktivert
I likhet med det forrige sikkerhetsproblemet kan denne feilmeldingen ofte være et resultat av mangelen på en håndhevet policy for DMARC. Hvis du har konfigurert domenet ditt med en ingen-policy, noe som gjør det sårbart for phishing-angrep, er det en anbefalt praksis å skifte til p=reject/quarantine så snart som mulig. For å gjøre det trenger du bare gjøre en liten justering av den eksisterende DNS-posten din for å endre og oppgradere policymodusen.
Vi har dekket et detaljert dokument om hvordan du løser DMARC-policyen som ikke er aktivert , som du kan se ved å klikke på lenken.
Feilsøking av DMARC-sårbarheter i sanntid
For å fikse disse problemene kan du vurdere å implementere følgende trinn i organisasjonen din:
- Lag en liste over alle dine autoriserte e-postsendingskilder og konfigurer et DMARC-overvåkingsverktøy for å spore dem daglig eller fra tid til annen
- Ta en diskusjon med e-postleverandørene dine for å underbygge om de støtter praksis for e-postautentisering
- Lær om SPF, DKIM og DMARC i detalj før du går videre til de neste trinnene.
- Sørg for at SPF-posten din er blottet for SPF Permerror ved å implementere et SPF-utflatningsverktøy
- Gjør protokollimplementeringsprosessen sømløs med ekspertinnsikt og veiledning fra DMARC-spesialister ved å registrere deg for en gratis DMARC-analysator . Dette kan hjelpe deg å skifte til p=reject trygt med sanntidssårbarhet og angrepsdeteksjon.
Beskyttelse av domenet ditt er et av de primitive trinnene for å bevare omdømmet ditt og opprettholde din troverdighet. Gjør e-postsikkerhet til en del av sikkerhetsstillingen din i dag!
- Typer av domenesårbarheter du bør være oppmerksom på - 18. august 2023
- Slik implementerer du e-postdomeneautentisering i e-postinfrastrukturen din - 22. februar 2023
- Hvordan fikser jeg "SPF-justering mislyktes"? – 3. januar 2023