DMARC jest standardowym protokołem uwierzytelniania emaili, który po skonfigurowaniu na istniejących rekordach SPF i DKIM pomaga w potwierdzeniu, czy jedno lub oba sprawdzenia uwierzytelniania nie powiodły się. Załóżmy, że ktoś wysyła wiadomość e-mail w imieniu Twojej firmy i nie spełnia ona wymogów DMARC, co oznacza, że możesz podjąć odpowiednie działania. DMARC został zaprojektowany, aby powstrzymać spam i phishing na jego drodze, pomagając firmom w radzeniu sobie z bezpieczeństwem poczty elektronicznej. Jednym z głównych celów jest pomoc firmom w ochronie ich marek i utrzymaniu ich reputacji. DMARC chroni e-maile w tranzycie i pomaga zapobiegać spoofingowi i atakom phishingowym poprzez odrzucanie wiadomości, które nie spełniają określonych standardów. Serwery pocztowe mogą również zgłaszać wiadomości, które otrzymują od innych serwerów pocztowych, aby pomóc nadawcy w rozwiązaniu problemów.

Ochrona Twoich wiadomości e-mail jest ważna dla zachowania bezpieczeństwa Twoich klientów przed cyberprzestępcami, którzy mogą wykraść ich dane osobowe. W tym wpisie na blogu wyjaśnimy znaczenie DMARC i co możesz zrobić, aby wdrożyć go poprawnie dla swojej domeny.

Dlaczego powinieneś używać DMARC?

Jeśli nadal nie jesteś pewien, czy powinieneś używać DMARC, odliczmy kilka korzyści, jakie on zapewnia:

  • DMARC to bezpieczeństwo i dostarczalność poczty elektronicznej. Zapewnia solidne raportowanie uwierzytelniania, minimalizuje phishing i redukuje liczbę fałszywych alarmów.
  • Zwiększenie dostarczalności i zmniejszenie liczby odrzuceń
  • Otrzymywanie wyczerpujących raportów na temat sposobu uwierzytelniania wiadomości
  • Protokół DMARC pomaga w identyfikacji spamerów i zapobiega przedostawaniu się fałszywych wiadomości do skrzynek odbiorczych
  • DMARC pomaga zmniejszyć szanse, że Twoje wiadomości zostaną oznaczone lub oflagowane jako spam
  • Daje Ci lepszą widoczność i władzę nad domenami i kanałami e-mailowymi

Kto może używać DMARC?

DMARC jest obsługiwany przez Microsoft Office 365, Google Workspace i inne popularne rozwiązania oparte na chmurze. Od 2010 roku DMARC jest częścią procesu uwierzytelniania poczty elektronicznej. Jego celem było utrudnienie cyberprzestępcom wysyłania spamu z ważnego adresu, co pomogło zwalczać epidemię ataków phishingowych. Właściciele domen małych firm, jak również przedsiębiorstw, są zachęcani przez ekspertów branżowych do utworzenia rekordu DMARC w celu dostarczenia instrukcji, w jaki sposób ich domena e-mail ma być chroniona. To z kolei pomaga chronić reputację i tożsamość ich marki. 

Jak utworzyć rekord DMARC domeny? 

Kroki, aby skonfigurować domenę z protokołami uwierzytelniania wiadomości e-mail są następujące: 

  • Utwórz rekord SPF i sprawdź go za pomocą SPF checker, aby upewnić się, że rekord jest funkcjonalny i pozbawiony możliwych błędów składniowych
  • Włącz uwierzytelnianie DKIM dla swojej domeny
  • Na koniec skonfiguruj swoją domenę z DMARC i włącz raportowanie DMARC poprzez konfigurację naszego darmowy analizator raportów DMARC

DMARC nie tylko zyskał na znaczeniu w ostatnich latach, ale niektóre firmy dążą do uczynienia go obowiązkowym dla swoich pracowników, aby zapobiec utracie wrażliwych danych i zasobów. Dlatego nadszedł czas, abyś wziął pod uwagę różne korzyści płynące z DMARC i przestawił się na bezpieczniejsze korzystanie z poczty elektronicznej. 

Rekordy DMARC są połączeniem różnych mechanizmów lub znaczników DMARC, które przekazują określone instrukcje do serwerów odbierających pocztę podczas przesyłania poczty. Każdy z tych tagów DMARC zawiera wartość, która jest zdefiniowana przez właściciela domeny. Dzisiaj omówimy czym są tagi DMARC i co każdy z nich oznacza. 

Oto wszystkie dostępne tagi DMARC, które właściciel domeny może określić w swoim rekordzie DMARC:

Znacznik DMARC Typ Wartość domyślna Co to znaczy
v obowiązkowo Znacznik v reprezentuje wersję protokołu DMARC i zawsze ma wartość v=DMARC1. 
pct opcjonalnie 100 Ten znacznik reprezentuje procent emaili, do których dany tryb polityki ma zastosowanie. Czytaj więcej o tagu DMARC pct
p obowiązkowo Ten znacznik określa tryb polityki DMARC. Do wyboru są opcje odrzucania, kwarantanny oraz brak. Dowiedz się więcej o czym jest polityka DMARC aby uzyskać jasność co do trybu, który należy wybrać dla swojej domeny.
sp opcjonalnie Tryb polityki skonfigurowany dla domeny głównej (p) Określając politykę subdomeny, znacznik sp jest skonfigurowany, aby zdefiniować tryb polityki dla subdomen. Dowiedz się więcej o DMARC sp tag, aby zrozumieć, kiedy powinieneś go skonfigurować. 
rua Nieobowiązkowe, ale zalecane Znacznik rua jest opcjonalnym znacznikiem DMARC, który określa adres e-mail lub serwer WWW, na który organizacje raportujące mają wysyłać swoje dane. DMARC dane zagregowane rua

Przykład: rua=mailto:[email protected];

ruf Nieobowiązkowe, ale zalecane Podobnie mechanizm ruf określa adres, pod którym Raport DMARC forensic ruf ma zostać wysłany. Obecnie nie każda organizacja raportująca przesyła dane kryminalistyczne. 

Przykład: ruf=mailto:[email protected]

fo opcjonalnie 0 Znacznik fo odpowiada dostępnym opcjom raportowania awarii/przestępstw, z których mogą wybierać właściciele domen. Jeśli nie włączyłeś ruf dla swojej domeny, możesz to zignorować. 

Dostępne opcje do wyboru to: 

0: raport o niepowodzeniu DMARC jest wysyłany do ciebie, jeśli twoja wiadomość nie spełnia wymagań SPF i DKIM.

1: raport DMARC jest wysyłany do Ciebie, gdy Twoja poczta nie spełnia wymagań SPF lub DKIM.

d: Raport o niepowodzeniu DKIM jest wysyłany, jeśli podpis DKIM wiadomości e-mail nie przejdzie weryfikacji, niezależnie od wyrównania.

s: Raport o niepowodzeniu SPF jest wysyłany, jeśli email nie przejdzie oceny SPF, niezależnie od wyrównania.

aspf opcjonalnie Ten znacznik DMARC oznacza tryb wyrównania SPF. Wartość może być albo strict(s) albo relaxed(r)
adkim opcjonalnie Podobnie znacznik adkim DMARC oznacza tryb wyrównania DKIM, którego wartość może być ścisła (s) lub zrelaksowana (r). 
rf opcjonalnie afrf Znacznik DMARC rf określa różne formaty dla raportów Forensic.
ri opcjonalnie 86400 Znacznik ri odnosi się do odstępu czasu w sekundach pomiędzy dwoma kolejnymi raportami zbiorczymi wysłanymi przez organizację raportującą do właściciela domeny.

Aby natychmiast utworzyć rekord dla DMARC, użyj naszego darmowego generator DMARC narzędzie. Alternatywnie, jeśli masz już istniejący rekord, sprawdź jego ważność, wykonując DMARC lookup.

Zarejestruj się już dziś, aby uzyskać bezpłatny DMARC trial aby uzyskać porady ekspertów na temat tego, jak chronić swoją domenę przed spooferami.

Jeśli jako właściciel domeny chcesz określić co zrobić z wiadomością e-mail, która nie przejdzie uwierzytelnienia, rekordy DMARC mogą Ci w tym pomóc. Firma może opublikować rekord tekstowy w DNS i określić, co ma się stać z wiadomościami e-mail, które nie uzyskały zgodności ze źródłem poprzez określenie, czy należy je dostarczyć, poddać kwarantannie, czy nawet całkowicie odrzucić. Znacznik DMARC pct jest częścią tego rekordu i mówi odbiorcy emaila, jaki procent wiadomości objętych tą polityką będzie dotknięty.

Co oznacza pct w DMARC?

Rekord TXT dla dowolnego protokołu uwierzytelniania poczty elektronicznej zawiera zestaw mechanizmów lub znaczników, które oznaczają instrukcje dedykowane dla serwerów odbierających pocztę. W rekordzie DMARC, pct jest akronimem oznaczającym procent, który jest zawarty w celu określenia procentu emaili, do których stosowana jest polityka DMARC zdefiniowana przez właściciela domeny.

Dlaczego potrzebny jest tag DMARC pct?

Znacznik pct jest często pomijanym, ale mimo to skutecznym sposobem na ustawienie i przetestowanie zasad DMARC w Twojej domenie. Rekord DMARC z tagiem procentowym wygląda mniej więcej tak jak poniżej: 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

W pokazanym powyżej rekordzie DNS DMARC, odsetek emaili, dla których stosuje się politykę odrzucania DMARC wynosi 100%. 

Czas, który jest potrzebny dla domeny, aby przejść od nieużywania DMARC w ogóle, do używania najbardziej restrykcyjnych ustawień jest okresem ramp-up. Ma to na celu dać domenom czas na oswojenie się z nowymi ustawieniami. Dla niektórych firm, może to zająć kilka miesięcy. Jest możliwe dla domen, aby zrobić natychmiastowe uaktualnienie, ale jest to rzadkie z powodu ryzyka większych błędów lub skarg. Znacznik pct został zaprojektowany jako sposób na stopniowe egzekwowanie zasad DMARC, aby skrócić okres wdrażania dla firm internetowych. Zamierzeniem jest możliwość wdrożenia go najpierw dla mniejszej partii emaili przed wdrożeniem go w całości do całego strumienia poczty, tak jak w przypadku pokazanym poniżej: 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected];

W tym rekordzie DNS DMARC, polityka odrzucania DMARC dotyczy tylko 50% maili, podczas gdy druga połowa wolumenu podlega polityce kwarantanny DMARC, która jest drugą najsurowszą polityką w kolejce. 

Co się stanie, jeśli nie umieścisz tagu pct w swoim rekordzie DMARC?

Podczas tworzenia rekordu DMARC przy użyciu generatora rekordów DMARCmożesz zdecydować się nie definiować tagu pct i pozostawić to kryterium puste. W tym przypadku, domyślne ustawienie dla pct jest ustawione na 100, co oznacza, że zdefiniowana przez Ciebie polityka będzie miała zastosowanie do wszystkich Twoich emaili. Dlatego też, jeśli chcesz zdefiniować politykę dla wszystkich swoich emaili, prostszym sposobem na to będzie pozostawienie kryterium pct pustym, tak jak w tym przykładzie:

v=DMARC1; p=quarantine; rua=mailto:[email protected];

Ostrzeżenie: Jeśli chcesz mieć wymuszoną politykę dla DMARC, nie publikuj rekordu z pct=0

Logika za tym stoi jest prosta: jeśli chcesz zdefiniować politykę odrzucania lub kwarantanny w swoim rekordzie, zasadniczo chcesz, aby polityka ta była nakładana na wychodzące emaile. Ustawienie pct na 0 niweczy twój wysiłek, ponieważ twoja polityka jest teraz stosowana do zerowej ilości emaili. Jest to tożsame z ustawieniem trybu polityki na p=none. 

Notatka: W celu ochrony domeny przed atakami spoofingowymi i zatrzymania wszelkich szans na podszywanie się pod Twoją domenę przez atakujących, idealna polityka powinna być następująca DMARC na p=reject; pct=100;

Przejdź bezpiecznie na egzekwowanie DMARC, rozpoczynając swoją podróż po DMARC z PowerDMARC. Skorzystaj z bezpłatnej test DMARC już dziś!

Atrybut "sp" jest skrótem od subdomain policy i nie jest obecnie szeroko stosowany. Pozwala on domenie na określenie, że inny rekord DMARC powinien być używany dla subdomen określonej domeny DNS. Aby zachować prostotę, zalecamy, aby atrybut 'sp' był pominięty w samej domenie organizacyjnej. Doprowadzi to do domyślnej polityki awaryjnej, która zapobiega spoofingowi na subdomenach. Ważne jest, aby pamiętać, że zachowanie subdomen jest zawsze określane przez nadrzędną politykę organizacyjną. 

Subdomeny dziedziczą politykę domeny nadrzędnej, chyba że wyraźnie uchylone przez rekord polityki subdomeny. Atrybut 'sp' może uchylić to dziedziczenie. Jeśli subdomena ma jawny zapis DMARC, zapis ten będzie miał pierwszeństwo przed polityką DMARC dla domeny nadrzędnej, nawet jeśli subdomena używa domyślnego ustawienia p=none. Na przykład, jeśli polityka DMARC jest zdefiniowana dla priorytetu "all", element "sp" będzie miał wpływ na przetwarzanie DMARC na subdomenach nie objętych żadną konkretną polityką.

Dlaczego potrzebujesz znacznika DMARC sp?

Jeśli masz swój rekord DMARC jako: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

W tym przypadku, podczas gdy Twoja domena główna jest chroniona przed atakami typu spoofing, Twoje subdomeny, nawet jeśli nie używasz ich do wymiany informacji, nadal będą podatne na ataki podszywania się.

Jeśli masz swój rekord DMARC jako: 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

W tym przypadku, podczas gdy nie zobowiązujesz się do polityki odrzucania na domenie głównej, której używasz do wysyłania swoich e-maili, twoje nieaktywne subdomeny są nadal chronione przed podszywaniem się. 

Jeśli chcesz, aby polityki domeny i subdomeny były takie same, możesz pozostawić kryterium tagu sp puste lub wyłączone podczas tworzenia rekordu, a Twoje subdomeny automatycznie odziedziczą politykę nałożoną na główną domenę. 

W przypadku, gdy używasz naszego Generator rekordów DMARC do tworzenia rekordu DMARC dla swojej domeny, musisz ręcznie włączyć przycisk polityki subdomeny i zdefiniować pożądaną politykę, jak pokazano poniżej:

 

Po utworzeniu rekordu DMARC ważne jest, aby sprawdzić jego ważność za pomocą naszego narzędzia Narzędzie DMARC record lookup aby upewnić się, że Twój rekord jest wolny od błędów i ważny.

Rozpocznij swoją podróż po DMARC z PowerDMARC, aby zmaksymalizować bezpieczeństwo poczty elektronicznej w swojej domenie. Skorzystaj z bezpłatnej test DMARC już dziś!

Ze względu na zagrożenia czyhające w sieci, firmy muszą udowadniać, że działają zgodnie z prawem, stosując silne metody uwierzytelniania. Popularną metodą jest DomainKeys Identified Mail (DKIM), technologia uwierzytelniania poczty elektronicznej, która wykorzystuje klucze szyfrowania do weryfikacji domeny nadawcy. DKIM wraz z SPF i DMARC radykalnie poprawiły bezpieczeństwo poczty elektronicznej w organizacjach na całym świecie.

Przeczytaj więcej na temat co to jest DKIM.

Podczas konfigurowania DKIM dla waszych emaili, jedną z podstawowych decyzji jaką musicie podjąć jest określenie długości klucza DKIM. W tym artykule przedstawimy wam zalecaną długość klucza dla lepszej ochrony oraz jak uaktualnić klucze w Exchange Online Powershell.

Znaczenie uaktualnienia długości klucza DKIM

Wybór 1024 bit lub 2048 bit jest ważną decyzją, która musi być podjęta przy wyborze klucza DKIM. Przez lata, PKI (infrastruktura klucza publicznego) używała 1024 bitowych kluczy DKIM dla swojego bezpieczeństwa. Jednakże, ponieważ technologia staje się coraz bardziej złożona, hakerzy ciężko pracują, aby znaleźć nowe metody, aby sparaliżować bezpieczeństwo. Z tego powodu, długość klucza staje się coraz ważniejsza.

W miarę jak hakerzy wymyślają coraz to lepsze sposoby na złamanie kluczy DKIM. Długość klucza jest bezpośrednio skorelowana z tym, jak trudno jest złamać uwierzytelnienie. Używanie klucza 2048 bitowego zapewnia zwiększoną ochronę i lepsze zabezpieczenie przed obecnymi i przyszłymi atakami, podkreślając znaczenie uaktualniania bitowości.

Ręczne aktualizowanie kluczy DKIM w Exchange Online Powershell

  • Zacznij od połączenia się z Microsoft Office 365 PowerShell jako administrator (upewnij się, że konto Powershell jest skonfigurowane do uruchamiania podpisanych skryptów Powershell)
  • W przypadku, gdy DKIM jest wstępnie skonfigurowany, aby uaktualnić klucze do 2048 bitów wykonaj następujące polecenie w Powershell: 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid istniejącego Signing Config}

  • W przypadku, gdy nie zaimplementowałeś wcześniej DKIM, uruchom następujące polecenie w Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Na koniec, aby zweryfikować, czy udało się skonfigurować DKIM z uaktualnioną bitowością 2048 bitów, wykonaj następujące polecenie:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Notatka: Upewnij się, że jesteś podłączony do Powershell podczas wykonywania procedury. Wdrożenie zmian może potrwać do 72 godzin.

DKIM nie wystarczy, aby chronić Twoją domenę przed spoofingiem i BEC. Zwiększ bezpieczeństwo poczty elektronicznej swojej domeny, konfigurując DMARC dla Office 365.

Długo oczekiwany roll-out jest wreszcie tutaj! Microsoft wysyła raporty zbiorcze DMARC RUA do swoich użytkowników i są szanse, że mogłeś tego nie zauważyć. Raporty zbiorcze Microsoft DMARC są wysyłane z następującego adresu e-mail: [email protected]. Surowy plik zbiorczy Microsoft DMARC jest wysyłany w standardowym formacie XML. Microsoft w końcu przyjął raportowanie DMARC, co zasadniczo oznacza, że teraz użytkownicy Hotmail, Outlook, Live i msn.com będą mogli korzystać z różnych korzyści płynących z danych zbiorczych Microsoft DMARC.

Przetwarzanie danych zbiorczych Microsoft DMARC

Analizator raportów PowerDMARC parsuje dane zbiorcze Microsoft DMARC do zorganizowanego formatu, który pomoże Ci w bardziej efektywnym przetwarzaniu danych.  

Aby pomóc użytkownikom w korzystaniu z zalet zagregowanych danych raportów wysyłanych przez Microsoft, PowerDMARC's analizator raportów DMARC został wstępnie skonfigurowany do otrzymywania raportów bezpośrednio na platformie. Wszystko, co użytkownicy muszą zrobić, to dodać swoje domeny na platformie PowerDMARC wraz z konfiguracją rekordu DNS DMARC, podczas gdy my przetwarzamy i prezentujemy raporty w łatwy i zrozumiały sposób. Tutaj znajdziesz:

  • Dane zbiorcze DMARC wysyłane z adresów odbiorców Hotmail, Outlook, Live i msn.com sparsowane z surowego formatu XML do prostych i czytelnych informacji uporządkowanych w tabelach
  • PowerDMARC jest wstępnie skonfigurowany do omijania naruszeń RFC, co pozwala nam odbierać i przetwarzać dane DMARC wysyłane przez serwery Microsoft bez konieczności martwienia się o to.
  • Rejestruj wiele domen, monitoruj kanały e-mail i dokonuj zmian DNS bezpośrednio z pulpitu nawigacyjnego z przyciskami akcji w zasięgu ręki.
  • Filtruj wyniki w różnych kategoriach, takich jak według wyniku, według źródła wysyłania, według organizacji, według kraju, geolokalizacji i szczegółowych statystyk lub wyników wyszukiwania według domeny na pasku wyszukiwania
  • Uzyskaj głębszy wgląd w wydajność swoich wiadomości e-mail i szybko wychwyć próby spoofingu domen, podszywania się pod inne domeny lub fałszywe wiadomości e-mail wysyłane z wykorzystaniem domen biznesowych Microsoft. Będziesz również w stanie przeanalizować wszelkie błędy SPF, DKIM z Twoich źródeł wysyłania.

Powyżej znajduje się zrzut ekranu naszych raportów zbiorczych DMARC dla poszczególnych organizacji, wyświetlający dane DMARC RUA wysłane z Microsoft.

Problemy, które możesz napotkać podczas samodzielnej obsługi zagregowanych raportów Microsoft DMARC

Zagregowane wiadomości e-mail Microsoft DMARC nie są zgodne z RFC

Podstawowym problemem, z jakim borykają się użytkownicy w związku z wiadomościami e-mail zawierającymi raporty wysyłane przez Microsoft, jest fakt, że nie są one zgodne ze specyfikacją RFC dla wiadomości internetowych. Podczas gdy RFC 5322 rozdział 2.1.1 jasno stwierdza, że linia znaków nie może przekraczać 78 znaków, dane załączników BASE64 w tych zagregowanych mailach Microsoft DMARC są ciągłą linią bez odpowiednich przerw w linii, która przekracza limit 78 znaków. Wynikające z tego naruszenie RFC jest powodem, dla którego większość z tych emaili ląduje w dzienniku odrzuceń użytkownika zamiast zostać dostarczona do jego skrzynki odbiorczej. 

Surowe pliki XML są trudne do odczytania

Podobnie jak dane DMARC wysyłane przez wszystkie organizacje raportujące, surowy plik RUA jest w rozszerzalnym języku znaczników (XML), który jest trudny do odczytania i zrozumienia.

Wymagania wstępne dotyczące otrzymywania Microsoft DMARC RUA

Aby otrzymywać zbiorcze raporty dla swoich domen na outlook.com, musisz upewnić się, że masz ważny rekord PowerDMARC opublikowany w DNS, wraz ze zdefiniowaną polityką DMARC. Organizacje raportujące będą wtedy wysyłać zbiorcze dane raportowe na wskazany przez Ciebie serwer WWW lub adres e-mail. Pomoże to uzyskać widoczność i zgodność z DMARC w przypadku zewnętrznych dostawców poczty elektronicznej, nad którymi w innym przypadku nie ma się kontroli. 

Chroń swoje domeny w pakiecie Microsoft Office365 i innych, rozpoczynając już dziś swoją przygodę z uwierzytelnianiem poczty elektronicznej. Skorzystaj z bezpłatnej wersji próbnej test DMARC lub umów się na demo DMARCi poznaj korzyści płynące z wdrożenia solidnego zabezpieczenia poczty elektronicznej w Twojej organizacji!