3 DMARC-policytyper: Ingen, karantene og avvisning
E-postautentisering har blitt en viktig praksis innen cybersikkerhet på grunn av den økte trusselen om etterligning av legitime og velkjente organisasjoner. En DMARC-policy som er definert i avsenderens DNS og innlemmet i en enkel TXT-post, kan løse disse problemene og forbedre avsenderens leveringsgrad.
Et domenes DMARC-policy inneholder instruksjoner for e-postmottakere om hvordan de skal håndtere meldinger som ikke godkjennes. Denne policyen kan spesifisere tre mulige handlinger:
- DMARC ingen
- DMARC-karantene
- DMARC-avvisning
DMARC-policy på "reject" minimerer risikoen for domenemisbruk, merkevareimitasjon, phishing og spoofing-angrep betydelig.
DMARC for e-postautentisering og spoofingbeskyttelse
DMARC eller Domain-based Message Authentication, Reporting and Conformance, er en protokoll som er utviklet for å autentisere e-poster ved hjelp av to andre protokoller, nemlig SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail). Domeneeiere kan konfigurere DMARC ved hjelp av en av disse protokollene, eller begge for å få en mer robust beskyttelse mot cyberangrep.
For å starte installasjonsprosessen må du gjøre noen DNS-endringer og inkludere DNS-poster for protokollene. Ved aktivering validerer DMARC-policyoppføringen hver melding som sendes fra domenenavnet ditt mot SPF og DKIM, for å fastslå om den kommer fra en ekte kilde, og bestemmer hva som skal gjøres hvis den ikke gjør det.
Hva er en DMARC -policy?
En DMARC-policy er en TXT-instruksjon, angitt med "p"-taggen i DMARC-posten, som spesifiserer for mottakende e-postservere hva de skal gjøre hvis en e-post ikke klarer DMARC-validering. En avsender kan velge ulike policyer avhengig av hvor strengt de ønsker at mottakerne skal håndtere e-poster som ikke oppfyller kravene, for eksempel er en håndhevet DMARC-policy som p=reject en effektiv måte å redusere trusler som phishing, spoofing og etterligning av domenenavn på, mens p=none ikke har noen effekt.
3 typer DMARC-policyer: p=avvis, p=ingen, p=karantene
Avhengig av hvilket håndhevingsnivå domeneeiere ønsker å etablere, finnes det tre primære DMARC-policytyper - ingen, karantene og avvisning. Hovedforskjellen mellom disse policyalternativene bestemmes av handlingen som utføres av den mottakende e-postoverføringsagenten når den overholder den spesifiserte policyen som er definert av e-postavsenderen i DNS-oppføringen.
. Her er p parameteren som spesifiserer DMARC-policyen:
- DMARC Ingen: En policy for "kun overvåking" som ikke gir noen beskyttelse - bra i begynnelsen av distribusjonsreisen.
- DMARC-karantene: Flagger eller setter uautorisert e-post i karantene.
- DMARC-avvisning: Blokkerer tilgang til innboksen for uautorisert e-post.
1. DMARC Ingen retningslinjer
DMARC-policy none (p=none) er en avslappet DMARC-policy som implementeres i løpet av de første implementeringsfasene av DMARC for å overvåke e-postaktiviteter - best egnet for organisasjoner som akkurat har begynt på autentiseringsreisen. Den gir ingen grad av beskyttelse mot nettangrep.
Eksempel: v=DMARC1; p=none; rua= mailto:(e-postadresse);
Det viktigste å ta med seg:
- Domeneeiere som velger policyen "ingen", bør ha som hovedmål å samle inn informasjon om avsenderkilder og holde oversikt over kommunikasjonen og leveringsdyktigheten deres, uten at de ønsker streng autentisering. Dette kan skyldes at de ennå ikke er forberedt på å forplikte seg til å håndheve retningslinjene, og at de tar seg tid til å analysere den nåværende situasjonen.
- Mottakende e-postsystemer behandler meldinger som sendes fra domener som er konfigurert med denne policyen som "no-action", noe som betyr at selv om disse meldingene feiler DMARC, vil ingen tiltak bli iverksatt for å forkaste eller sette dem i karantene. Disse meldingene når frem til kundene dine.
- DMARC-rapporter genereres fortsatt når du har konfigurert "p=none". Mottakerne sender samlede rapporter til domeneeierne med detaljert informasjon om autentiseringsstatus for meldinger som ser ut til å stamme fra deres domene.
2. Retningslinjer for DMARC-karantene
p=quarantine gir en viss grad av beskyttelse, ettersom domeneeieren kan be mottakeren om å rulle e-postene tilbake til søppelpostmappen for senere gjennomgang i tilfelle DMARC feiler.
Eksempel: v=DMARC1; p=karantene; rua=mailto:(e-postadresse);
I stedet for å forkaste ubekreftede e-poster, gir "karantene"-policyen domeneeiere muligheten til å opprettholde sikkerheten, samtidig som de har muligheten til å gjennomgå e-poster før de aksepteres.
Dette sikrer at legitime meldinger som mislykkes i DMARC-godkjenningen, ikke går tapt før du inspiserer dem nærmere. Denne tilnærmingen kan betraktes som et mellomprodukt når det gjelder håndhevelse og muliggjør en smidig overgang til p=reject, der domeneeiere kan a) vurdere virkningen av DMARC på e-postmeldingene dine og b) ta informerte beslutninger om hvorvidt de skal forkaste de flaggede e-postmeldingene eller ikke.
3. DMARC-retningslinjer for avvisning
Endelig er reject DMARC-policyen (p=reject) en håndhevelsespolicy som sikrer at meldinger som ikke godkjennes for DMARC, avvises og forkastes av mottakerens e-postserver, noe som gir maksimal håndhevelse.
Eksempel: v=DMARC1; p=reject; rua= mailto:(e-postadresse);
DMARC-avvisning kan forhindre phishing-angrep, direkte domeneforfalskning og andre falske e-poster ved å blokkere meldinger som virker mistenkelige. Hvis du er trygg nok på at du ikke vil gi uautoriserte e-poster spillerom ved å omdirigere dem til en egen mappe for gjennomgang, er "reject"-policyen egnet for deg.
Vær imidlertid oppmerksom på følgende:
- Test og planlegg grundig før du velger å avvise DMARC.
- Kontroller at rapportering er aktivert for domenet ditt
- Ideelt sett bør du velge en hostet DMARC-løsning for å få eksperthjelp med DMARC-implementeringen og gjennom hele håndhevelsesprosessen.
Fordeler med å håndheve DMARC-policyen din
La oss se nærmere på fordelene ved å sette opp en streng DMARC-policy for domenet ditt:
1. Direkte beskyttelse mot phishing og BEC
Når du bruker DMARC-avvisning, blir e-poster fra uautoriserte kilder automatisk forkastet før de når frem til mottakerens innboks - noe som gir direkte beskyttelse mot phishing-angrep, kompromittering av bedriftens e-post og CEO-svindel.
2. Den første forsvarslinjen mot løsepengevirus og skadelig programvare
Løsepengevirus og skadelig programvare spres ofte via falske e-poster som sendes fra falske domenenavn og kan infiltrere og ta over hele operativsystemet. En DMARC-policy ved avvisning sørger for at falske e-poster blokkeres fra kundens innboks før de får sjansen til å klikke på skadelige vedlegg og uvitende laste ned løsepengevirus eller skadelig programvare til systemet - og fungerer dermed som en elementær forsvarslinje mot disse angrepene.
Beste DMARC-policytype
DMARC reject er den beste DMARC-policyen hvis du ønsker å maksimere innsatsen for e-postsikkerhet.. Dette skyldes at domeneeiere aktivt blokkerer uautoriserte meldinger fra kundenes innbokser når de er på p=reject. Dette gir en høy grad av beskyttelse mot direkte domeneforfalskning, phishing og andre former for imitasjonstrusler, noe som gjør det til en effektiv anti-phishing-policy.
- Slik overvåker du e-postkanalene dine: Hvis du bare vil overvåke meldingstransaksjonene og sendekildene dine, er det nok med DMARC på p=none. Dette vil imidlertid ikke beskytte deg mot nettangrep.
- Slik beskytter du deg mot phishing- og spoofing-angrep: Hvis du vil beskytte domenet ditt mot phishing-angrep og direkte spoofing av domener, er DMARC p=reject avgjørende. Det gir det høyeste nivået av DMARC-håndhevelse og minimerer effektivt etterligningsangrep.
- For å gjennomgå mistenkelige e-poster før de leveres: Hvis du ikke ønsker å blokkere uautoriserte e-poster direkte, kan du i stedet la mottakerne gjennomgå dem i karantene-mappen sin mappe ved hjelp av en DMARC-karantene som det beste alternativet.
Avliving av vanlige myter om DMARC-policyer
Det er noen vanlige misoppfatninger om DMARC-policyer, og noen av dem kan ha forferdelige konsekvenser for e-postleveringen din. La oss lære hva de er og hva som er sannheten bak dem:
1. DMARC none kan forhindre spoofing: DMARC none er en "no-action"-policy og kan ikke beskytte domenet ditt mot nettangrep.
Hvilken DMARC-policy forhindrer spoofing?
DMARC p=reject er den eneste DMARC-policyen som effektivt forhindrer spoofing-angrep. Dette skyldes at DMARC reject blokkerer uautoriserte e-poster fra å nå mottakerens innboks, og dermed hindrer dem i å godta, åpne og lese uautoriserte e-poster.
2. Du vil ikke motta DMARC-rapporter med p=none: Selv med p=none kan du fortsette å motta daglige DMARC-rapporter ved å angi en gyldig e-postadresse for avsenderen.
3. DMARC-"karantene" er ikke viktig.: Karantenereglene i DMARC blir ofte oversett, men de er svært nyttige for domeneeiere som ønsker en smidig overgang fra "no-action" til maksimal håndhevelse.
4. DMARC-avvisning påvirker leveringsevnen: Selv ved DMARC-avvisning kan du sikre at meldingene dine leveres sømløst ved å overvåke og analysere avsendernes aktiviteter og gjennomgå autentiseringsresultatene.
Fremgangsmåte for å konfigurere DMARC-policyen
Trinn 1: Aktiver SPF eller DKIM for domenet ditt ved å generere en gratis oppføring.
Trinn 2: Opprett en DMARC-post ved hjelp av vår DMARC-generator verktøyet. Sørg for at du fyller ut DMARC p=-parameteren for å definere DMARC-policyen din, som i eksemplet nedenfor:
v=DMARC1; pct=100; p=reject; rua=mailto:[email protected];
Trinn 3: Publiser denne oppføringen i DNS
Feilsøke feil i DMARC-policyen
Syntaksfeil
Du bør være på vakt mot eventuelle syntaksfeil mens du setter opp posten for å sikre at protokollen din fungerer som den skal.
Konfigurasjonsfeil
Feil under konfigurering av DMARC-policyen er vanlige og kan unngås ved å bruke en DMARC-kontroll verktøy.
DMARC sp-policy
Hvis du konfigurerer en DMARC-retningslinje for avvisning, men setter opp retningslinjene for retningslinjer for underdomener til ingen, vil du ikke kunne oppnå samsvar på grunn av en overstyring av retningslinjene for utgående e-post.
Feilen "DMARC-policy ikke aktivert"
Hvis du støter på denne feilmeldingen i rapportene dine, skyldes det at DMARC-domenereglene mangler i DNS eller er satt til "none". Rediger oppføringen slik at den inneholder p=reject/quarantine, og dette bør løse problemet.
En tryggere måte å oppdatere, håndheve og optimalisere DMARC-policyen på
PowerDMARCs DMARC-analysator er utviklet for å hjelpe deg med å konfigurere DMARC-protokollen på en enkel måte, samtidig som den tilbyr et skybasert grensesnitt for å overvåke og optimalisere posten din med noen få klikk. La oss se nærmere på de viktigste fordelene:
En jevn overgang fra p=nei til p=avslå
PowerDMARCs omfattende rapporteringsmekanisme tilbyr 7 visninger og filtreringsmekanismer for DMARC Aggregate-rapporter på DMARC-analysatorens dashbord for effektivt å overvåke e-poststrømmene dine mens du er på DMARC none.
Oppdater og endre DMARC-policymodusene dine
Med vår hostede DMARC-funksjon kan du oppdatere DMARC-policymodusene dine, skifte til p=reject og overvåke protokollen effektivt og i sanntid uten å gå inn i DNS-administrasjonskonsollen.
Støtte med hvite hansker
Vårt døgnåpne supportteam hjelper deg med å organisere en smidig overgang fra en avslappet til en håndhevet DMARC-policy for å maksimere sikkerheten og samtidig sikre leveringsevne.
Tilpassede varsler
Konfigurer egendefinerte e-postvarsler for å oppdage skadelig aktivitet og iverksette tiltak mot trusler raskere.
Kontakt oss i dag i dag for å implementere en DMARC-policy og enkelt overvåke resultatene!
- Websikkerhet 101 - beste praksis og løsninger - 29. november 2023
- Hva er e-postkryptering og hva er dens forskjellige typer? – 29. november 2023
- Hva er MTA-STS? Sett opp riktig MTA STS-retningslinje - 25. november 2023