liv etter p=avvise

Domeneeiere gjør ofte feilen ved å anta at deres e-postautentiseringsreise slutter ved håndhevelse. Lite vet de, livet etter p=reject er en viktig fase som bestemmer den generelle styrken til domenets e-postsikkerhetsstilling. For fortsatt beskyttelse mot spoofing og phishing-angrep er det avgjørende å formulere en e-postsikkerhetsstrategi som bare begynner etter at du har oppnådd håndhevelse.

Hva er P=Reject? 

DMARC -policyen har 3 definitive håndhevingsmåter som man kan implementere, de er:

  1. p=ingen (ingen handling utført)
  2. p=karantene (karantene e-poster som mislykkes med DMARC) 
  3. p=reject (avviser e-poster i tilfelle DMARC-feil )

Avvis å være den maksimale håndhevingspolitikken for DMARC, det hjelper domeneeiere med å blokkere forfalskede eller phishing-e-poster før de når klientinnbokser. De som ønsker å utnytte DMARC for å beskytte domenene sine mot e-postbaserte angrepsvektorer, kan finne at p=reject er en passende policy-modus. 

Hvordan nå P=Reject Mode? 

Oftere enn ikke prøver domeneeiere å forhaste seg gjennom protokollimplementeringsprosessen og forventer å oppnå håndhevelse så snart som mulig. Dette anbefales imidlertid ikke. La oss forklare hvorfor: 

Risiko forbundet med DMARC ved avvisning

  • Å skifte til håndhevelse i et veldig raskt tempo kan føre til problemer med levering av e-post 
  • Det kan føre til tap av legitime e-postmeldinger 
  • Det kan resultere i DMARC-feil for e-poster sendt utenfor ditt eget domene 

Hva er anbefalt praksis?

Mens avvisningspolicyen kommer med sitt eget sett med advarsler og ansvarsfraskrivelser, er effektiviteten i å forhindre en rekke e-postsvindelangrep ubestridelig. Så la oss nå utforske måter å skifte for å avvise trygt: 

  • Start med p=ingen

I stedet for å starte med en håndhevet politikk, oppfordres det sterkt til å starte med noe som gir mer fleksibilitet og frihet: og det er akkurat det p=none gjør. Selv om denne policyen ikke gjør mye når det gjelder beskyttelse, kan den tjene som et utmerket overvåkingsverktøy for å hjelpe deg med implementeringsreisen. 

  • Aktiver DMARC-rapportering

Overvåking av e-postkanalene dine kan hjelpe deg med å forhindre uønskede leveringsfeil på grunn av feilkonfigurerte protokoller. Det kan tillate deg å visualisere og oppdage feil, og feilsøke dem raskere. 

DMARC-rapportering kan hjelpe deg med å identifisere effektiviteten til retningslinjene for e-postautentisering.

Selv om e-postautentisering ikke er en sølvkule, kan den være et effektivt verktøy i ditt sikkerhetsarsenal. Med DMARC-rapportering kan du se om innsatsen din fungerer og hvor du kanskje må justere strategien din.

Det er 2 typer rapporter: 

  • Aggregate (RUA) er utviklet for å hjelpe deg med å spore e-postsendingskilder, avsenders IP-adresser, organisasjonsdomener og geolokasjoner 
  • Forensic (RUF) er utviklet for å fungere som hendelsesvarslingsrapporter når en rettsmedisinsk hendelse som forfalskning finner sted
  • Konfigurer både SPF og DKIM sammen med DMARC

For mange kokker ødelegger ikke buljongen når det kommer til DMARC-implementering. Sikkerhetseksperter anbefaler heller å koble opp DMARC med både SPF og DKIM for forbedret beskyttelse så vel som for å redusere muligheten for falske positiver. Det kan også forhindre uønskede DMARC-feil. 

DMARC trenger enten SPF eller DKIM for å bestå autentisering.

Dette spiller en sentral rolle for å hjelpe deg med å implementere en avvisningspolicy på en sikker måte, og sikrer at selv om SPF mislykkes og DKIM passerer eller omvendt, vil MARC passere for den tiltenkte meldingen.

  • Inkluder alle sendekildene dine

Å gå glipp av å sende kilder i SPF-posten din kan være spesielt skadelig når du prøver å unngå uønskede DMARC-feil. Det er viktig å lage en liste over alle kildene dine for e-postsending (som vil inkludere tredjeparts e-postleverandører og tjenesteleverandører som Gmail , Microsoft O365, Yahoo Mail, Zoho osv.) 

Dette er spesielt viktig hvis du kun bruker SPF i kombinasjon med DMARC. Hver gang du legger til eller fjerner en sendekilde, må SPF-posten gjenspeile de samme endringene. 

For å oppsummere livet ditt etter p=avvisning

Overvåking av e-postautentiseringsprotokollene dine er en viktig del av livet etter p=reject. Det sikrer ikke bare at effektiviteten til sikkerhetstiltakene dine opprettholdes, men gir deg også en dypere innsikt i funksjonene deres for å finne ut hva som fungerer best for deg. En DMARC-analysator hjelper deg å nyte en jevnere overgang fra p=ingen til å avvise, styre unna leveringsproblemer, overvåke e-postkanalene dine, oppdatere protokollpolicyer og feilsøke problemer på én enkelt plattform.

Siste innlegg av Ahona Rudra ( se alle )