Innlegg

Innenfor DMARC er det en karantenepolicy-tag p=quarantine som betyr at e-poster merkes som spam og deretter videresendes til eieren av det domenet for gjennomgang. Dette fanger opp de fleste spoofing-domenene på forhånd. Denne veiledningen er laget for å hjelpe deg å forstå hva DMARC Quarantine er og hvordan DMARC fungerer med p=quarantine policy.

Hva er DMARC-karantene?

DMARC-karantene er en av de tre DMARC-policyene (de to andre er p=ingen og p=avvis) som instruerer e-postmottaksserveren om å plassere alle e-poster som mislykkes med DMARC-autentisering i mottakerens spam/søppelpost-mappe.

Når du setter en DMARC-policy til p=quarantine , forteller du e-postservere at hvis en e-post mislykkes med DMARC-autentisering, bør serveren sette den e-posten i karantene. Å sette en e-post i karantene betyr at den fortsatt vil bli levert til mottakerens innboks, men den vil bli flagget som mistenkelig og sendt til mottakerens spam-mappe (eller "søppelpost") i stedet for innboksen.

Her er hvordan du kan finne søppelpostmappen din på GMAIL .

En DMARC-post med karantenepolicyen kan se slik ut:

v=DMARC1; p = karantene; rua=mailto:[email protected];

Hvordan utføres DMARC karantenepolicy?

En karantenepolicy betyr at e-postleverandører som mottar meldinger fra din side vil sjekke med DMARC for å se om meldingen har bestått DKIM- eller SPF-autentisering, og de vil også sjekke om domenet som finnes i adressen samsvarer med domenene som finnes i enten SPF eller DKIM identifikatorjustering. Hvis kriteriene er oppfylt, vil e-postleverandøren levere meldingen din til brukerens innboks. Men hvis disse kriteriene ikke er oppfylt, vil e-postleverandøren legge meldingen din i søppelpostmappen eller avvise den direkte

En trinnvis analyse av hvordan DMARC-karantenepolitikken fungerer

1. Når en e-post sendes, sjekker mottakeren om det finnes en DMARC-post.

2. Hvis meldingen ikke passerer SPF eller DKIM, vurderes den basert på domenejusteringsparametrene i DMARC-posten, som sendes inn med DMARC-sjekken. Domenejustering refererer til hvorvidt domenet i en Fra-adresse samsvarer med domenet i en SPF-post.

3. Behandlingsalternativene som er definert av en DMARC-policy er basert på hvor nært rettet meldingen er med et avsenderdomene.

4. Hvis avsenderen består autentisering, vil den bli levert som vanlig.

5. Tvert imot, hvis den ikke er tett justert, blir den anvendte DMARC-policyen (som i vårt tilfelle er p=karantene) utført.

6. DMARC p=karantenepolicyen vil instruere mottakerserveren om å behandle e-poster som mislykkes med DMARC-autentisering som mistenkelige; de vil ikke bli levert rett til brukerens innboks, men de vil heller ikke bli forkastet helt. De vil bli lagt i en spam- eller søppelpostmappe eller flagget på en eller annen måte slik at brukeren vet at e-posten ikke er autentisk.

Viktigheten av DMARCs karantenepolicy

DMARC er et effektivt verktøy for å forhindre e-postforfalskning, og karantenepolicyen er en fin måte å holde innboksen din trygg på uten å gjøre mange endringer i systemet.

Ved å bruke p=quarantine forteller den mottakende e-postserveren at alle e-poster som ikke har domenenavnet ditt i "Fra"-feltet (eller andre angitte kriterier) skal settes i karantene som standard.

For eksempel:

Hvis en spammer prøver å sende en e-post fra "[email protected]", men ikke har tilgang til informasjonen som er nødvendig for å signere den med DKIM eller SPF, vil e-posten settes i karantene i stedet for å leveres. Dette beskytter innboksen din mot mange uønskede meldinger.

Karantenepolicyen er også flott fordi den reduserer falske positiver – siden du bare ber mottakende e-postserver om å sette alle e-poster som ikke oppfyller bestemte kriterier i karantene, trenger du ikke bekymre deg for å identifisere hvilke e-poster som er skadelige og hvilke de kommer fra legitime kilder.

DMARC-karantenebetydning forklart med et eksempel

La oss si at du er HR-representant for et selskap som heter Akme. En dag sender sjefen din deg en e-post som ber deg overføre 1000 dollar til bankkontoen til en leverandør som heter Dynamic Corp.

Du har aldri hørt om denne leverandøren før. Du tror ikke engang at bedriften din jobber med leverandører!

Men siden meldingen er fra sjefens e-postadresse og ikke en tilfeldig konto, antar du at den er legitim. Så du overfører pengene.

Dagen etter spør sjefen din hvorfor du sendte DynamicCorp $1000. Du forteller ham at du trodde han ba deg om det. Han forteller deg at det var noen som utga seg for å være ham som sendte den aktuelle e-posten – og han ba deg aldri om å foreta den betalingen!

Med DMARCs karantenepolicy skjer det aldri. Hvis Akme etablerte en DMARC-karantenepolicy via DMARC-protokoll (ved å publisere en DMARC TXT-post), når noen forfalsker Akme-domenet og sender en e-post som denne som utgir seg for å være fra Akme HR, vil mottakerens innboks flagge meldingen som spam eller søppelpost e-post, og forhindrer problemet før det i det hele tatt kan begynne.

Den anbefalte prosentandelen av meldinger i karantene i DMARC-posten

Når du setter opp DMARC-posten din, er det viktig å huske at karantenehandlingen kan føre til at du mister noen gode e-poster. Det er her prosentverdien kommer inn – den forteller mottakende e-postservere hvilken prosentandel av e-postene som skal behandles som spam. Dette betyr at for hver 100 e-post vil bare [x] bli satt i karantene.

For små organisasjoner anbefaler vi en verdi på 10 %. Dette betyr at hvis noen sender deg en e-post som ikke består DMARC-kontrollen, er det bare en 1-i-10 sjanse for at den blir satt i karantene som spam. På den måten vil du redusere risikoen for å miste legitime meldinger mens du fortsatt kan teste ut DMARC-oppsettet ditt på ekte e-poster.

Vi anbefaler en mye lavere prosentandel for store organisasjoner – omtrent 1 %. For store organisasjoner betyr dette at hvis noen sender en e-post som mislykkes med DMARC-autentisering, er det en 1-i-100 sjanse for at den blir satt i karantene som spam. Når du driver en stor organisasjon, kan det hende du må stole på enkelte avsendere basert på deres IP-adresse eller domenenavn alene – for eksempel hvis kontorbygget ditt ligger i et delt rom og har én enkelt IP-adresse for alle leietakere.

Et eksempel på DMARC Record med prosent-taggen:

 

v=DMARC1; p = karantene; pct=10%; adkim=r; aspf=r; rua=mailto:[email protected]; 

pct= representerer prosentandelen av e-poster du ønsker skal samples. Så hvis du har en pct-tag som sier 100, vil hver e-post bli samplet. Hvis du har en pct-kode som sier 10, vil 1 av 10 e-poster bli samplet.

p=ingen VS p=karantene VS p=avvise

  • p=none betyr ganske enkelt at mottakerserverne vil overvåke for e-poster som kommer fra domenet ditt, men ikke blokkere meldinger som kan være uredelige. Det er en god måte å begynne å overvåke for svindel, men gjør ikke så mye for å forhindre at det skjer. 
  • p=karantene er en måte å fortelle mottakerservere at du vil at de skal legge alle e-poster sendt fra domenet ditt som mislykkes i SPF- eller DKIM-sjekkene i spam-mappen i innboksen deres, i stedet for i deres vanlige e-postinnboks. 
  • ​​p=reject tar ting ett skritt videre ved å fortelle mottakerserveren om å faktisk avvise alle e-poster sendt fra domenet ditt som ikke klarer SPF- eller DKIM-kontrollene. Dette betyr at disse e-postene aldri vil nå innboksen (eller til og med spam-mappen) til brukeren som mottar dem.

Vi håper du forstår hva DMARC Quarantine er og hvordan det fungerer. Hvis du er interessert i å lære mer om DMARC, tilbyr PowerDMARC en rekke verktøy for å hjelpe deg med prosessen. Disse inkluderer en DMARC-rapportanalysator som oppsummerer din nåværende DMARC-post og oppdager eventuelle eksisterende problemer, samt en SPF-generator slik at du kan lage dine egne SPF-poster for domenet ditt gratis.