Aby chronić swoją domenę i tożsamość online przed oszustami próbującymi podszyć się pod Ciebie, musisz skonfigurować DMARC dla swoich domen e-mail. DMARC działa dzięki skumulowanym wysiłkom uwierzytelniania poczty elektronicznej, podejmowanym przez protokoły SPF i DKIM. W konsekwencji, użytkownicy DMARC również korzystają z otrzymywania raportów o problemach z dostarczaniem, uwierzytelnianiem i błędach wyrównania dla swoich emaili. Dowiedz się więcej o tym czym jest DMARC tutaj.

Jeśli Twój raport zbiorczy DMARC mówi "SPF alignment failed", omówmy co to znaczy mieć SPF w zgodzie i jak możesz rozwiązać ten problem.

Co to jest wyrównanie SPF?

Wiadomość e-mail składa się z kilku różnych nagłówków. Każdy nagłówek zawiera informacje o pewnych atrybutach wiadomości email, włączając w to datę wysłania, skąd została wysłana i do kogo została wysłana. SPF zajmuje się dwoma typami nagłówków emaili:

  • The <From:> header
  • Nagłówek Return-Path

Kiedy domena w nagłówku From: i domena w nagłówku return-path są zgodne dla wiadomości e-mail, wyrównanie SPF przechodzi dla tej wiadomości. Jednakże, gdy te dwie domeny nie pasują do siebie, SPF nie przechodzi. Wyrównanie SPF jest ważnym kryterium, które decyduje o tym, czy wiadomość e-mail jest prawdziwa czy fałszywa.

Powyżej pokazany jest przykład, gdzie nagłówek From: jest zgodny (dokładnie pasuje) z nagłówkiem Return-path (Mail From), stąd SPF alignment będzie pozytywny dla tego emaila.

Dlaczego wyrównanie SPF zawodzi?

Przypadek 1: Twój tryb wyrównywania SPF jest ustawiony na strict

Podczas gdy domyślny tryb wyrównywania SPF jest zrelaksowany, ustawienie ścisłego trybu wyrównywania SPF może prowadzić do niepowodzeń w wyrównaniu, jeśli domena ścieżki zwrotnej jest subdomeną głównej domeny organizacyjnej, podczas gdy nagłówek From: zawiera domenę organizacyjną. Dzieje się tak, ponieważ aby SPF wyrównał się w trybie ścisłym, domeny w dwóch nagłówkach muszą być dokładnie takie same. Jednakże, w przypadku wyrównania zrelaksowanego, jeśli dwie domeny dzielą tę samą domenę najwyższego poziomu, wyrównanie SPF przejdzie.

Powyżej pokazany jest przykład maila, który posiada tą samą domenę najwyższego poziomu, ale nazwa domeny nie jest dokładnie taka sama (domena Mail From jest subdomeną domeny organizacyjnej company.com). W tym przypadku, jeśli Twój tryb SPF alignment jest ustawiony na "relaxed", Twój email przejdzie SPF alignment, jednak dla trybu strict, nie przejdzie on tego samego. 

Sprawa 2: Twoja domena została spoofed

Bardzo częstym powodem niepowodzeń wyrównania SPF jest spoofing domeny. Jest to zjawisko, kiedy cyberprzestępca przejmuje Twoją tożsamość poprzez fałszowanie nazwy domeny lub adresu, aby wysyłać e-maile do Twoich odbiorców. Podczas gdy domena From: nadal nosi Twoją tożsamość, nagłówek Return-path wyświetla oryginalną tożsamość spoofera. Jeśli posiadasz uwierzytelnienie SPF dla swojej sfałszowanej domeny, email nieuchronnie nie zostanie wyrównany po stronie odbiorcy.

Naprawianie "SPF alignment failed"

Aby usunąć błędy wyrównania SPF można: 

  • Ustaw tryb wyrównywania na "zrelaksowany" zamiast "ścisły". 
  • Skonfiguruj DMARC dla swojej domeny, na szczycie SPF i DKIM, tak że nawet jeśli Twój email nie przejdzie wyrównania nagłówka SPF i przejdzie wyrównanie DKIM, przejdzie DMARC i zostanie dostarczony do odbiorcy.

Nasza strona Analizator raportów DMARC może pomóc Ci uzyskać 100% zgodności z DMARC dla Twoich wychodzących wiadomości e-mail i zapobiec próbom spoofingu lub niepowodzeniom w wyrównaniu z powodu błędnej konfiguracji protokołu. Ciesz się bezpieczniejszym i bardziej niezawodnym uwierzytelnianiem, wykonując darmową wersję próbną DMARC już dziś!

DMARC jest standardowym protokołem uwierzytelniania wiadomości e-mail, który po skonfigurowaniu na istniejących rekordach SPF i DKIM pomaga w potwierdzeniu, czy jedno lub oba sprawdzenia uwierzytelniania nie powiodły się. Dlaczego DMARC jest ważny? Załóżmy, że ktoś wysyła e-mail w imieniu Twojej firmy i nie spełnia on wymogów DMARC, co oznacza, że możesz podjąć odpowiednie działania. DMARC został zaprojektowany, aby powstrzymać spam i phishing na jego drodze, pomagając firmom w radzeniu sobie z bezpieczeństwem poczty elektronicznej. Jednym z głównych celów jest pomoc firmom w ochronie ich marek i utrzymaniu ich reputacji. DMARC chroni e-maile w tranzycie i pomaga zapobiegać spoofingowi i atakom phishingowym poprzez odrzucanie wiadomości, które nie spełniają określonych standardów. Serwery pocztowe mogą również zgłaszać wiadomości, które otrzymują od innych serwerów pocztowych, aby pomóc nadawcy w rozwiązaniu problemów.

Ochrona Twoich wiadomości e-mail jest ważna dla zachowania bezpieczeństwa Twoich klientów przed cyberprzestępcami, którzy mogą wykraść ich dane osobowe. W tym wpisie na blogu wyjaśnimy znaczenie DMARC i co możesz zrobić, aby wdrożyć go poprawnie dla swojej domeny.

Dlaczego DMARC jest ważny i dlaczego powinieneś go używać?

Jeśli nadal nie jesteś pewien, czy powinieneś używać DMARC, odliczmy kilka korzyści, jakie on zapewnia:

  • DMARC to bezpieczeństwo i dostarczalność poczty elektronicznej. Zapewnia solidne raportowanie uwierzytelniania, minimalizuje phishing i redukuje liczbę fałszywych alarmów.
  • Zwiększenie dostarczalności i zmniejszenie liczby odrzuceń
  • Otrzymywanie wyczerpujących raportów na temat sposobu uwierzytelniania wiadomości
  • Protokół DMARC pomaga w identyfikacji spamerów i zapobiega przedostawaniu się fałszywych wiadomości do skrzynek odbiorczych
  • DMARC pomaga zmniejszyć szanse, że Twoje wiadomości zostaną oznaczone lub oflagowane jako spam
  • Daje Ci lepszą widoczność i władzę nad domenami i kanałami e-mailowymi

Kto może używać DMARC?

DMARC jest obsługiwany przez Microsoft Office 365, Google Workspace i inne popularne rozwiązania oparte na chmurze. Od 2010 roku DMARC jest częścią procesu uwierzytelniania poczty elektronicznej. Jego celem było utrudnienie cyberprzestępcom wysyłania spamu z ważnego adresu, co pomogło zwalczać epidemię ataków phishingowych. Właściciele domen małych firm, jak również przedsiębiorstw, są zachęcani przez ekspertów branżowych do utworzenia rekordu DMARC w celu dostarczenia instrukcji, w jaki sposób ich domena e-mail ma być chroniona. To z kolei pomaga chronić reputację i tożsamość ich marki. 

Jak utworzyć rekord DMARC domeny? 

Kroki, aby skonfigurować domenę z protokołami uwierzytelniania wiadomości e-mail są następujące: 

  • Utwórz rekord SPF i sprawdź go za pomocą SPF checker, aby upewnić się, że rekord jest funkcjonalny i pozbawiony możliwych błędów składniowych
  • Włącz uwierzytelnianie DKIM dla swojej domeny
  • Na koniec skonfiguruj swoją domenę z DMARC i włącz raportowanie DMARC poprzez konfigurację naszego darmowy analizator raportów DMARC

DMARC nie tylko zyskał na znaczeniu w ostatnich latach, ale niektóre firmy dążą do uczynienia go obowiązkowym dla swoich pracowników, aby zapobiec utracie wrażliwych danych i zasobów. Dlatego nadszedł czas, abyś wziął pod uwagę różne korzyści płynące z DMARC i przestawił się na bezpieczniejsze korzystanie z poczty elektronicznej. 

Rekordy DMARC są połączeniem różnych mechanizmów lub znaczników DMARC, które przekazują określone instrukcje do serwerów odbierających pocztę podczas przesyłania poczty. Każdy z tych tagów DMARC zawiera wartość, która jest zdefiniowana przez właściciela domeny. Dzisiaj omówimy czym są tagi DMARC i co każdy z nich oznacza. 

Rodzaje znaczników DMARC

Oto wszystkie dostępne tagi DMARC, które właściciel domeny może określić w swoim rekordzie DMARC:

Znacznik DMARC Typ Wartość domyślna Co to znaczy
v obowiązkowo Znacznik v reprezentuje wersję protokołu DMARC i zawsze ma wartość v=DMARC1. 
pct opcjonalnie 100 Ten znacznik reprezentuje procent emaili, do których dany tryb polityki ma zastosowanie. Czytaj więcej o tagu DMARC pct
p obowiązkowo Ten znacznik określa tryb polityki DMARC. Do wyboru są opcje odrzucania, kwarantanny oraz brak. Dowiedz się więcej o czym jest polityka DMARC aby uzyskać jasność co do trybu, który należy wybrać dla swojej domeny.
sp opcjonalnie Tryb polityki skonfigurowany dla domeny głównej (p) Określając politykę subdomeny, znacznik sp jest skonfigurowany, aby zdefiniować tryb polityki dla subdomen. Dowiedz się więcej o DMARC sp tag, aby zrozumieć, kiedy powinieneś go skonfigurować. 
rua Nieobowiązkowe, ale zalecane Znacznik rua jest opcjonalnym znacznikiem DMARC, który określa adres e-mail lub serwer WWW, na który organizacje raportujące mają wysyłać swoje dane. DMARC dane zagregowane rua

Przykład: rua=mailto:[email protected];

ruf Nieobowiązkowe, ale zalecane Podobnie mechanizm ruf określa adres, pod którym Raport DMARC forensic ruf ma zostać wysłany. Obecnie nie każda organizacja raportująca przesyła dane kryminalistyczne. 

Przykład: ruf=mailto:[email protected]

fo opcjonalnie 0 Znacznik fo odpowiada dostępnym opcjom raportowania awarii/przestępstw, z których mogą wybierać właściciele domen. Jeśli nie włączyłeś ruf dla swojej domeny, możesz to zignorować. 

Dostępne opcje do wyboru to: 

0: raport o niepowodzeniu DMARC jest wysyłany do ciebie, jeśli twoja wiadomość nie spełnia wymagań SPF i DKIM.

1: raport DMARC jest wysyłany do Ciebie, gdy Twoja poczta nie spełnia wymagań SPF lub DKIM.

d: Raport o niepowodzeniu DKIM jest wysyłany, jeśli podpis DKIM wiadomości e-mail nie przejdzie weryfikacji, niezależnie od wyrównania.

s: Raport o niepowodzeniu SPF jest wysyłany, jeśli email nie przejdzie oceny SPF, niezależnie od wyrównania.

aspf opcjonalnie Ten znacznik DMARC oznacza tryb wyrównania SPF. Wartość może być albo strict(s) albo relaxed(r)
adkim opcjonalnie Podobnie znacznik adkim DMARC oznacza tryb wyrównania DKIM, którego wartość może być ścisła (s) lub zrelaksowana (r). 
rf opcjonalnie afrf Znacznik DMARC rf określa różne formaty dla raportów Forensic.
ri opcjonalnie 86400 Znacznik ri odnosi się do odstępu czasu w sekundach pomiędzy dwoma kolejnymi raportami zbiorczymi wysłanymi przez organizację raportującą do właściciela domeny.

Aby natychmiast utworzyć rekord dla DMARC, użyj naszego darmowego generator DMARC narzędzie. Alternatywnie, jeśli masz już istniejący rekord, sprawdź jego ważność, wykonując DMARC lookup.

Zarejestruj się już dziś, aby uzyskać bezpłatny DMARC trial aby uzyskać porady ekspertów na temat tego, jak chronić swoją domenę przed spooferami.

Znacznik DMARC pct jest częścią tego rekordu i mówi odbiorcy emaila, jaki procent wiadomości w ramach tej polityki będzie dotknięty. Jeśli jako właściciel domeny chcesz określić, co zrobić z e-mailem, który nie przejdzie uwierzytelnienia, rekordy DMARC mogą Ci w tym pomóc. Firma może opublikować rekord tekstowy w DNS i określić, co ma się stać z wiadomościami e-mail, które nie uzyskały zgodności ze źródłem poprzez określenie, czy mają zostać dostarczone, poddane kwarantannie, czy nawet całkowicie odrzucone. 

Co oznacza pct w DMARC?

Rekord TXT dla dowolnego protokołu uwierzytelniania poczty elektronicznej zawiera zestaw mechanizmów lub znaczników, które oznaczają instrukcje dedykowane dla serwerów odbierających pocztę. W rekordzie DMARC, pct jest akronimem oznaczającym procent, który jest zawarty w celu określenia procentu emaili, do których stosowana jest polityka DMARC zdefiniowana przez właściciela domeny.

Dlaczego potrzebny jest tag DMARC pct?

Znacznik pct jest często pomijanym, ale mimo to skutecznym sposobem na ustawienie i przetestowanie zasad DMARC w Twojej domenie. Rekord DMARC z tagiem procentowym wygląda mniej więcej tak jak poniżej: 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

W pokazanym powyżej rekordzie DNS DMARC, odsetek emaili, dla których stosuje się politykę odrzucania DMARC wynosi 100%. 

Czas, który jest potrzebny dla domeny, aby przejść od nieużywania DMARC w ogóle, do używania najbardziej restrykcyjnych ustawień jest okresem ramp-up. Ma to na celu dać domenom czas na oswojenie się z nowymi ustawieniami. Dla niektórych firm, może to zająć kilka miesięcy. Jest możliwe dla domen, aby zrobić natychmiastowe uaktualnienie, ale jest to rzadkie z powodu ryzyka większych błędów lub skarg. Znacznik pct został zaprojektowany jako sposób na stopniowe egzekwowanie zasad DMARC, aby skrócić okres wdrażania dla firm internetowych. Zamierzeniem jest możliwość wdrożenia go najpierw dla mniejszej partii emaili przed wdrożeniem go w całości do całego strumienia poczty, tak jak w przypadku pokazanym poniżej: 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected];

W tym rekordzie DNS DMARC, polityka odrzucania DMARC dotyczy tylko 50% maili, podczas gdy druga połowa wolumenu podlega polityce kwarantanny DMARC, która jest drugą najsurowszą polityką w kolejce. 

Co się stanie, jeśli nie umieścisz tagu pct w swoim rekordzie DMARC?

Podczas tworzenia rekordu DMARC przy użyciu generatora rekordów DMARCmożesz zdecydować się nie definiować tagu pct i pozostawić to kryterium puste. W tym przypadku, domyślne ustawienie dla pct jest ustawione na 100, co oznacza, że zdefiniowana przez Ciebie polityka będzie miała zastosowanie do wszystkich Twoich emaili. Dlatego też, jeśli chcesz zdefiniować politykę dla wszystkich swoich emaili, prostszym sposobem na to będzie pozostawienie kryterium pct pustym, tak jak w tym przykładzie:

v=DMARC1; p=quarantine; rua=mailto:[email protected];

Ostrzeżenie: Jeśli chcesz mieć wymuszoną politykę dla DMARC, nie publikuj rekordu z pct=0

Logika za tym stoi jest prosta: jeśli chcesz zdefiniować politykę odrzucania lub kwarantanny w swoim rekordzie, zasadniczo chcesz, aby polityka ta była nakładana na wychodzące emaile. Ustawienie pct na 0 niweczy twój wysiłek, ponieważ twoja polityka jest teraz stosowana do zerowej ilości emaili. Jest to tożsame z ustawieniem trybu polityki na p=none. 

Notatka: W celu ochrony domeny przed atakami spoofingowymi i zatrzymania wszelkich szans na podszywanie się pod Twoją domenę przez atakujących, idealna polityka powinna być następująca DMARC na p=reject; pct=100;

Przejdź bezpiecznie na egzekwowanie DMARC, rozpoczynając swoją podróż po DMARC z PowerDMARC. Skorzystaj z bezpłatnej test DMARC już dziś!

Atrybut "sp" jest skrótem od subdomain policy i nie jest obecnie szeroko stosowany. Pozwala on domenie na określenie, że inny rekord DMARC powinien być używany dla subdomen określonej domeny DNS. Aby zachować prostotę, zalecamy, aby atrybut 'sp' był pominięty w samej domenie organizacyjnej. Doprowadzi to do domyślnej polityki awaryjnej, która zapobiega spoofingowi na subdomenach. Ważne jest, aby pamiętać, że zachowanie subdomen jest zawsze określane przez nadrzędną politykę organizacyjną. 

Subdomeny dziedziczą politykę domeny nadrzędnej, chyba że wyraźnie uchylone przez rekord polityki subdomeny. Atrybut 'sp' może uchylić to dziedziczenie. Jeśli subdomena ma jawny zapis DMARC, zapis ten będzie miał pierwszeństwo przed polityką DMARC dla domeny nadrzędnej, nawet jeśli subdomena używa domyślnego ustawienia p=none. Na przykład, jeśli polityka DMARC jest zdefiniowana dla priorytetu "all", element "sp" będzie miał wpływ na przetwarzanie DMARC na subdomenach nie objętych żadną konkretną polityką.

Dlaczego potrzebujesz znacznika DMARC sp?

Jeśli masz swój rekord DMARC jako: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

W tym przypadku, podczas gdy Twoja domena główna jest chroniona przed atakami typu spoofing, Twoje subdomeny, nawet jeśli nie używasz ich do wymiany informacji, nadal będą podatne na ataki podszywania się.

Jeśli masz swój rekord DMARC jako: 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

W tym przypadku, podczas gdy nie zobowiązujesz się do polityki odrzucania na domenie głównej, której używasz do wysyłania swoich e-maili, twoje nieaktywne subdomeny są nadal chronione przed podszywaniem się. 

Jeśli chcesz, aby polityki domeny i subdomeny były takie same, możesz pozostawić kryterium tagu sp puste lub wyłączone podczas tworzenia rekordu, a Twoje subdomeny automatycznie odziedziczą politykę nałożoną na główną domenę. 

W przypadku, gdy używasz naszego Generator rekordów DMARC do tworzenia rekordu DMARC dla swojej domeny, musisz ręcznie włączyć przycisk polityki subdomeny i zdefiniować pożądaną politykę, jak pokazano poniżej:

 

Po utworzeniu rekordu DMARC ważne jest, aby sprawdzić jego ważność za pomocą naszego narzędzia Narzędzie DMARC record lookup aby upewnić się, że Twój rekord jest wolny od błędów i ważny.

Rozpocznij swoją podróż po DMARC z PowerDMARC, aby zmaksymalizować bezpieczeństwo poczty elektronicznej w swojej domenie. Skorzystaj z bezpłatnej test DMARC już dziś!

Ze względu na zagrożenia czyhające w sieci, firmy muszą udowadniać, że działają zgodnie z prawem, stosując silne metody uwierzytelniania. Popularną metodą jest DomainKeys Identified Mail (DKIM), technologia uwierzytelniania poczty elektronicznej, która wykorzystuje klucze szyfrowania do weryfikacji domeny nadawcy. DKIM wraz z SPF i DMARC radykalnie poprawiły bezpieczeństwo poczty elektronicznej w organizacjach na całym świecie.

Przeczytaj więcej na temat co to jest DKIM.

Podczas konfigurowania DKIM dla waszych emaili, jedną z podstawowych decyzji jaką musicie podjąć jest określenie długości klucza DKIM. W tym artykule przedstawimy wam zalecaną długość klucza dla lepszej ochrony oraz jak uaktualnić klucze w Exchange Online Powershell.

Znaczenie uaktualnienia długości klucza DKIM

Wybór 1024 bit lub 2048 bit jest ważną decyzją, która musi być podjęta przy wyborze klucza DKIM. Przez lata, PKI (infrastruktura klucza publicznego) używała 1024 bitowych kluczy DKIM dla swojego bezpieczeństwa. Jednakże, ponieważ technologia staje się coraz bardziej złożona, hakerzy ciężko pracują, aby znaleźć nowe metody, aby sparaliżować bezpieczeństwo. Z tego powodu, długość klucza staje się coraz ważniejsza.

W miarę jak hakerzy wymyślają coraz to lepsze sposoby na złamanie kluczy DKIM. Długość klucza jest bezpośrednio skorelowana z tym, jak trudno jest złamać uwierzytelnienie. Używanie klucza 2048 bitowego zapewnia zwiększoną ochronę i lepsze zabezpieczenie przed obecnymi i przyszłymi atakami, podkreślając znaczenie uaktualniania bitowości.

Ręczne aktualizowanie kluczy DKIM w Exchange Online Powershell

  • Zacznij od połączenia się z Microsoft Office 365 PowerShell jako administrator (upewnij się, że konto Powershell jest skonfigurowane do uruchamiania podpisanych skryptów Powershell)
  • W przypadku, gdy DKIM jest wstępnie skonfigurowany, aby uaktualnić klucze do 2048 bitów wykonaj następujące polecenie w Powershell: 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid istniejącego Signing Config}

  • W przypadku, gdy nie zaimplementowałeś wcześniej DKIM, uruchom następujące polecenie w Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Na koniec, aby zweryfikować, czy udało się skonfigurować DKIM z uaktualnioną bitowością 2048 bitów, wykonaj następujące polecenie:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Notatka: Upewnij się, że jesteś podłączony do Powershell podczas wykonywania procedury. Wdrożenie zmian może potrwać do 72 godzin.

DKIM nie wystarczy, aby chronić Twoją domenę przed spoofingiem i BEC. Zwiększ bezpieczeństwo poczty elektronicznej swojej domeny, konfigurując DMARC dla Office 365.