Livet etter P=Avvis
Domeneeiere gjør ofte feilen ved å anta at deres e-postautentiseringsreise slutter ved håndhevelse. Lite vet de, livet etter p=reject er en viktig fase som bestemmer den generelle styrken til domenets e-postsikkerhetsstilling. For fortsatt beskyttelse mot spoofing og phishing-angrep er det avgjørende å formulere en e-postsikkerhetsstrategi som bare begynner etter at du har oppnådd håndhevelse.
Hva er P=Reject?
DMARC -policyen har 3 definitive håndhevingsmåter som man kan implementere, de er:
- p=ingen (ingen handling utført)
- p=karantene (karantene e-poster som mislykkes med DMARC)
- p=reject (avviser e-poster i tilfelle DMARC-feil )
Avvis å være den maksimale håndhevingspolitikken for DMARC, det hjelper domeneeiere med å blokkere forfalskede eller phishing-e-poster før de når klientinnbokser. De som ønsker å utnytte DMARC for å beskytte domenene sine mot e-postbaserte angrepsvektorer, kan finne at p=reject er en passende policy-modus.
Hvordan nå P=Reject Mode?
Oftere enn ikke prøver domeneeiere å forhaste seg gjennom protokollimplementeringsprosessen og forventer å oppnå håndhevelse så snart som mulig. Dette anbefales imidlertid ikke. La oss forklare hvorfor:
Risiko forbundet med DMARC ved avvisning
- Å skifte til håndhevelse i et veldig raskt tempo kan føre til problemer med levering av e-post
- Det kan føre til tap av legitime e-postmeldinger
- Det kan resultere i DMARC-feil for e-poster sendt utenfor ditt eget domene
Hva er anbefalt praksis?
Mens avvisningspolicyen kommer med sitt eget sett med advarsler og ansvarsfraskrivelser, er effektiviteten i å forhindre en rekke e-postsvindelangrep ubestridelig. Så la oss nå utforske måter å skifte for å avvise trygt:
- Start med p=ingen
I stedet for å starte med en håndhevet politikk, oppfordres det sterkt til å starte med noe som gir mer fleksibilitet og frihet: og det er akkurat det p=none gjør. Selv om denne policyen ikke gjør mye når det gjelder beskyttelse, kan den tjene som et utmerket overvåkingsverktøy for å hjelpe deg med implementeringsreisen.
- Aktiver DMARC-rapportering
Overvåking av e-postkanalene dine kan hjelpe deg med å forhindre uønskede leveringsfeil på grunn av feilkonfigurerte protokoller. Det kan tillate deg å visualisere og oppdage feil, og feilsøke dem raskere.
DMARC-rapportering kan hjelpe deg med å identifisere effektiviteten til retningslinjene for e-postautentisering.
Selv om e-postautentisering ikke er en sølvkule, kan den være et effektivt verktøy i ditt sikkerhetsarsenal. Med DMARC-rapportering kan du se om innsatsen din fungerer og hvor du kanskje må justere strategien din.
Det er 2 typer rapporter:
- Aggregate (RUA) er utviklet for å hjelpe deg med å spore e-postsendingskilder, avsenders IP-adresser, organisasjonsdomener og geolokasjoner
- Forensic (RUF) er utviklet for å fungere som hendelsesvarslingsrapporter når en rettsmedisinsk hendelse som forfalskning finner sted
- Konfigurer både SPF og DKIM sammen med DMARC
For mange kokker ødelegger ikke buljongen når det kommer til DMARC-implementering. Sikkerhetseksperter anbefaler heller å koble opp DMARC med både SPF og DKIM for forbedret beskyttelse så vel som for å redusere muligheten for falske positiver. Det kan også forhindre uønskede DMARC-feil.
DMARC trenger enten SPF eller DKIM for å bestå autentisering.
Dette spiller en sentral rolle for å hjelpe deg med å implementere en avvisningspolicy på en sikker måte, og sikrer at selv om SPF mislykkes og DKIM passerer eller omvendt, vil MARC passere for den tiltenkte meldingen.
- Inkluder alle sendekildene dine
Å gå glipp av å sende kilder i SPF-posten din kan være spesielt skadelig når du prøver å unngå uønskede DMARC-feil. Det er viktig å lage en liste over alle kildene dine for e-postsending (som vil inkludere tredjeparts e-postleverandører og tjenesteleverandører som Gmail , Microsoft O365, Yahoo Mail, Zoho osv.)
Dette er spesielt viktig hvis du kun bruker SPF i kombinasjon med DMARC. Hver gang du legger til eller fjerner en sendekilde, må SPF-posten gjenspeile de samme endringene.
For å oppsummere livet ditt etter p=avvisning
Overvåking av e-postautentiseringsprotokollene dine er en viktig del av livet etter p=reject. Det sikrer ikke bare at effektiviteten til sikkerhetstiltakene dine opprettholdes, men gir deg også en dypere innsikt i funksjonene deres for å finne ut hva som fungerer best for deg. En DMARC-analysator hjelper deg å nyte en jevnere overgang fra p=ingen til å avvise, styre unna leveringsproblemer, overvåke e-postkanalene dine, oppdatere protokollpolicyer og feilsøke problemer på én enkelt plattform.
- Hva er en phishing-e-post? Vær på vakt og unngå å gå i fellen! - 31. mai 2023
- Løs "DKIM ingen melding ikke signert"- Feilsøkingsveiledning - 31. mai 2023
- Fix SPF Permerror: Overvinne for mange DNS-oppslag - 30. mai 2023