Livet etter P=Avvis

Domeneeiere gjør ofte den feilen at de antar at e-postautentiseringen slutter ved håndhevelse. Det de ikke vet, er at livet etter p=reject er en viktig fase som avgjør den generelle styrken i domenets e-postsikkerhet. For fortsatt beskyttelse mot spoofing- og phishing-angrep er det viktig å formulere en strategi for e-postsikkerhet som bare så vidt begynner etter at du har oppnådd håndhevelse.

Hva er P=Reject? 

DMARC -policyen har 3 definitive håndhevingsmåter som man kan implementere, de er:

1. p=ingen (ingen handling utført)
2. p=karantene (karantene e-poster som mislykkes med DMARC) 
3. p=reject (avviser e-poster i tilfelle DMARC-feil )

Avvis er den maksimale policyen for håndhevelse av DMARC, og hjelper domeneeiere med å blokkere falske e-poster eller phishing-e-poster før de når kundenes innbokser. De som ønsker å utnytte DMARC til å beskytte domenene sine mot e-postbaserte angrepsvektorer, kan synes at p=reject er en passende policy-modus. 

Hvordan nå P=Reject Mode? 

Oftere enn ikke prøver domeneeiere å forhaste seg gjennom protokollimplementeringsprosessen og forventer å oppnå håndhevelse så snart som mulig. Dette anbefales imidlertid ikke. La oss forklare hvorfor: 

Risiko forbundet med DMARC ved avvisning

• Å skifte til håndhevelse i et veldig raskt tempo kan føre til problemer med levering av e-post 
• Det kan føre til tap av legitime e-postmeldinger 
• Det kan resultere i DMARC-feil for e-poster sendt utenfor ditt eget domene 

Hva er anbefalt praksis?

Mens avvisningspolicyen kommer med sitt eget sett med advarsler og ansvarsfraskrivelser, er effektiviteten i å forhindre en rekke e-postsvindelangrep ubestridelig. Så la oss nå utforske måter å skifte for å avvise trygt: 

• Start med p=ingen

I stedet for å starte med en håndhevet politikk, oppfordres det sterkt til å starte med noe som gir mer fleksibilitet og frihet: og det er akkurat det p=none gjør. Selv om denne policyen ikke gjør mye når det gjelder beskyttelse, kan den tjene som et utmerket overvåkingsverktøy for å hjelpe deg med implementeringsreisen. 

• Aktiver DMARC-rapportering

Overvåking av e-postkanalene dine kan hjelpe deg med å forhindre uønskede leveringsfeil på grunn av feilkonfigurerte protokoller. Det kan tillate deg å visualisere og oppdage feil, og feilsøke dem raskere. 

DMARC-rapportering kan hjelpe deg med å identifisere effektiviteten til retningslinjene for e-postautentisering.

Selv om e-postautentisering ikke er en sølvkule, kan den være et effektivt verktøy i ditt sikkerhetsarsenal. Med DMARC-rapportering kan du se om innsatsen din fungerer og hvor du kanskje må justere strategien din.

Det er 2 typer rapporter: 

• Aggregate (RUA) er utviklet for å hjelpe deg med å spore e-postsendingskilder, avsenders IP-adresser, organisasjonsdomener og geolokasjoner 
• Forensic (RUF) er utviklet for å fungere som hendelsesvarslingsrapporter når en rettsmedisinsk hendelse som forfalskning finner sted
• Konfigurer både SPF og DKIM sammen med DMARC

For mange kokker ødelegger ikke buljongen når det kommer til DMARC-implementering. Sikkerhetseksperter anbefaler heller å koble opp DMARC med både SPF og DKIM for forbedret beskyttelse så vel som for å redusere muligheten for falske positiver. Det kan også forhindre uønskede DMARC-feil. 

DMARC trenger enten SPF eller DKIM for å bestå autentisering.

Dette spiller en sentral rolle for å hjelpe deg med å implementere en avvisningspolicy på en sikker måte, og sikrer at selv om SPF mislykkes og DKIM passerer eller omvendt, vil MARC passere for den tiltenkte meldingen.

• Inkluder alle sendekildene dine

Å gå glipp av å sende kilder i SPF-posten din kan være spesielt skadelig når du prøver å unngå uønskede DMARC-feil. Det er viktig å lage en liste over alle kildene dine for e-postsending (som vil inkludere tredjeparts e-postleverandører og tjenesteleverandører som Gmail , Microsoft O365, Yahoo Mail, Zoho osv.) 

Dette er spesielt viktig hvis du kun bruker SPF i kombinasjon med DMARC. Hver gang du legger til eller fjerner en sendekilde, må SPF-posten gjenspeile de samme endringene. 

For å oppsummere livet ditt etter p=avvisning

Overvåking av e-postautentiseringsprotokollene dine er en viktig del av livet etter p=reject. Det sikrer ikke bare at effektiviteten til sikkerhetstiltakene dine opprettholdes, men gir deg også en dypere innsikt i funksjonene deres for å finne ut hva som fungerer best for deg. En DMARC-analysator hjelper deg å nyte en jevnere overgang fra p=ingen til å avvise, styre unna leveringsproblemer, overvåke e-postkanalene dine, oppdatere protokollpolicyer og feilsøke problemer på én enkelt plattform.

• Om
• siste innlegg

Ahona Rudra

Digital Marketing & Content Writer Manager hos PowerDMARC

Ahona jobber som Digital Marketing and Content Writer Manager hos PowerDMARC. Hun er en lidenskapelig forfatter, blogger og markedsføringsspesialist innen cybersikkerhet og informasjonsteknologi.

Siste innlegg av Ahona Rudra ( se alle )

• Websikkerhet 101 - beste praksis og løsninger - 29. november 2023
• Hva er e-postkryptering og hva er dens forskjellige typer? – 29. november 2023
• Hva er MTA-STS? Sett opp riktig MTA STS-retningslinje - 25. november 2023