Wyrównanie DMARC: Złagodzone i rygorystyczne tryby wyrównania

Blog

Wyrównanie DMARC to proces wyrównywania (lub dopasowywania) domen w różnych sekcjach nagłówka wiadomości e-mail podczas kontroli uwierzytelniania.

Maitham Al Lawati

Czas odczytu: 8 min
Wyrównanie DMARC: Złagodzone i rygorystyczne tryby wyrównania
Spis treści-

Włączenie DMARC (Domain-based Message Authentication Reporting and Conformance) wprowadza serię weryfikacyjnych znaczników wyboru w celu ustalenia, czy wiadomość e-mail pochodzi z żądanego źródła. DMARC oferuje niesamowitą elastyczność w zakresie polityk i trybów dopasowania, które mogą być konfigurowane przez właściciela domeny, aby uformować poziom bezpieczeństwa, który chcą osiągnąć.

DMARC Wyrównanie identyfikatora potwierdza, że nazwa domeny dołączona do różnych części wiadomości e-mail jest prawidłowo wyrównana, wskazując, że wiadomość e-mail jest zgodna z prawem i prawdopodobnie nie jest częścią prób phishingu lub spoofingu.

Kluczowe wnioski

  1. Uwierzytelnianie DMARC zapewnia solidne ramy do weryfikacji legalności źródła wiadomości e-mail.
  2. Wyrównanie identyfikatorów SPF i DKIM jest niezbędne do osiągnięcia zgodności z DMARC i ochrony przed spoofingiem.
  3. Wybór między luźnym a ścisłym dostosowaniem DMARC zależy od praktyk poczty elektronicznej organizacji i jej celów w zakresie bezpieczeństwa.
  4. Przekazywanie wiadomości e-mail może skomplikować dostosowanie DMARC, często prowadząc do błędów uwierzytelniania, jeśli nie jest odpowiednio zarządzane.
  5. Monitorowanie i dostosowywanie ustawień DMARC może znacznie poprawić dostarczalność wiadomości e-mail i zmniejszyć ryzyko oszustw.

Co to jest DMARC Alignment?

Wyrównanie DMARC jest procesem wyrównywania (lub dopasowywania) domen w różnych sekcjach nagłówka wiadomości e-mail podczas kontroli uwierzytelniania. DMARC wyrównuje wiadomości e-mail, jeśli wiadomość przejdzie jedno lub oba wyrównania identyfikatorów SPF i DKIM.

Aby upewnić się, że wiadomości e-mail są legalne i chronione przed szeregiem ataków typu phishing, spoofing, ransomware i nie tylko.

spf dkim

Protokół uwierzytelniania DMARC sprawdza dopasowanie identyfikatorów DMARC w celu ustalenia, czy domena e-mail jest potencjalnie sfałszowana. Podczas sprawdzania poprawności wiadomości e-mail, DMARC sprawdza 3 identyfikatory:

  • Nagłówek Od
  • Adres ścieżki zwrotnej
  • Nazwa domeny w podpisie DKIM

Jeśli identyfikatory uwierzytelniające SPF lub DKIM są zgodne, wiadomość e-mail osiąga zgodność DMARC i przechodzi uwierzytelnianie DMARC, a następnie jest bezpiecznie dostarczana do skrzynki odbiorczej użytkownika.

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo

Jak działa dostosowanie DMARC?

spf dkim header

Aby zrozumieć dostosowanie DMARC, musimy zrozumieć, jak to działa. Kiedy wdrażasz DMARC, łączysz wyniki SPF i DKIM w celu uwierzytelnienia wszystkich wiadomości e-mail pochodzących z Twojej domeny. Dla każdej wiadomości e-mail, DMARC używa tak zwanej "centralnej tożsamości", którą jest domena znajdująca się w nagłówku From. Jest ona uważana za domenę pochodzenia wiadomości e-mail i będzie zawierała nazwę domeny Twojej organizacji.

Gdy wiadomość e-mail z Twojej domeny dotrze do serwera odbiorczego, SPF sprawdza ścieżkę zwrotną, a DKIM sprawdza poprawność zaszyfrowanego podpisu. Oba te sprawdzenia odbywają się oddzielnie w dwóch różnych domenach. DMARC bierze wynik uwierzytelnienia każdej z nich i sprawdza, czy domena użyta w SPF lub DKIM pasuje do domeny From (tożsamość centralna). Jeśli którakolwiek z nich jest prawdziwa, wyrównanie DMARC zostaje osiągnięte.

Jest jednak jeden mały problem. Każdy, w tym przestępcy, może kupić domenę i wdrożyć SPF i DKIM. Teoretycznie więc powinno być możliwe, aby ktoś wysłał wiadomość e-mail z domeną Twojej organizacji w adresie From: (centralna tożsamość) i miał ścieżkę zwrotną własnej domeny, aby przejść uwierzytelnianie SPF. Użytkownicy zazwyczaj widzą tylko adres From:, a nie Return Path, więc nawet nie będą wiedzieć, że istnieje rozbieżność między nimi.

Rola wyrównania identyfikatorów SPF i DKIM

Wyrównanie identyfikatora uwierzytelniania oznacza, czy nadawca wiadomości e-mail jest upoważniony do wysyłania wiadomości e-mail w imieniu Twojej domeny. Można to ustalić, sprawdzając autentyczność wiadomości e-mail pod kątem SPF (Sender Policy Framework) lub DKIM (DomainKeys Identified Mail). Dopasowane wiadomości e-mail ostatecznie przechodzą weryfikację nadawcy, która może być wykorzystana jako podstawowy przykład przez odbierające serwery pocztowe do rozgraniczenia złośliwych lub nieautoryzowanych wiadomości e-mail i odfiltrowania ich. 

W PowerDMARC idziemy o krok dalej, dostosowując wiadomości zarówno do identyfikatorów SPF, jak i DKIM, aby pomóc Ci osiągnąć 100% zgodność z DMARC dla Twoich e-maili przy zachowaniu polityki p=reject. Pomaga to zaobserwować widoczną poprawę w dostarczalności wiadomości e-mail i zaobserwować wyraźne różnice we wskaźnikach spamu i odrzuceń w ciągu zaledwie kilku tygodni dzięki odpowiedniemu monitorowaniu i pomocy naszego dedykowanego zespołu wsparcia technicznego. 

Jakie czynniki mogą wpływać na wyrównanie identyfikatorów SPF i DKIM? 

  • Klienci poczty e-mail i dostawcy usług poczty e-mail innych firm mogą wprowadzać komplikacje i błędy w dostosowaniu
  • Przekazane wiadomości mogą nie zostać wyrównane  

Jakie jest rozwiązanie?

PowerDMARC pomaga prawidłowo i dokładnie dopasować wszystkich zewnętrznych dostawców oraz łatwo modyfikować i aktualizować rekordy w portalu w miarę dodawania kolejnych usług i dostawców, aby upewnić się, że legalne wiadomości e-mail mają największe szanse na dotarcie do klientów. 

PowerDMARC pomaga skonfigurować SPF, DKIM i ARC wraz z DMARC, aby poradzić sobie z tymi trudnymi scenariuszami przekazywania wiadomości e-mail, w których serwery pośredniczące mogą dokonywać modyfikacji wiadomości e-mail - prowadząc do niepożądanych błędów uwierzytelniania. 

Intuicyjny interfejs PowerDMARC pomaga w łatwym uaktualnieniu rekordu polityki do maksymalnego egzekwowania, co zapewnia, że domena jest odpowiednio chroniona przed spoofingiem poczty elektronicznej i atakami phishingowymi

Typy wyrównania DMARC: Ścisłe a uproszczone wyrównanie identyfikatorów 

Dopasowanie identyfikatora DMARC może być dwojakiego rodzaju, w zależności od poziomu ważności i precyzji, z jaką chcesz przeprowadzać kontrole uwierzytelniania. Oto czym one są: 

1. Zrelaksowane wyrównanie DMARC

Wyrównanie SPF i DKIM ma w szczególności 2 rodzaje: zrelaksowane i ścisłe. Jeśli zrelaksowane wyrównanie jest skonfigurowane dla obu, oznacza to zasadniczo, że zaimplementowałeś zrelaksowane wyrównanie dla swojej ogólnej implementacji DMARC.

Zarówno dla SPF, jak i DKIM, w zrelaksowanym trybie wyrównania, nawet jeśli domena w poleceniu Mail From i domeny w nagłówku Return-path lub w nagłówkach bounce email address (dla SPF) i DKIM signature (dla DKIM) są organizacyjnie zgodne - wyrównanie DMARC jest zgodne. Następnie, w tym scenariuszu, nawet subdomeny zostaną dostosowane do DMARC.

Wiadomość e-mail powinna przejść uwierzytelnianie DMARC po stronie odbiorcy wiadomości e-mail, jeśli domena nagłówka jest zgodna z którymkolwiek z wymagań wyrównania.

Przykład złagodzonego dostosowania DMARC

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r

Dekodowanie ustawień wyrównania: Znaczniki DMARC "aspf" i "adkim" są odpowiednimi znacznikami wyrównania do zdefiniowania wybranego trybu, a "r" oznacza relaxed.

2. Ścisłe dostosowanie DMARC

Jeśli właściciele domen włączą ścisłe wyrównanie zarówno dla SPF, jak i DKIM, oznacza to zasadniczo, że wdrożyłeś tryb ścisły dla całej implementacji DMARC.

Dla obu protokołów, w trybie ścisłego wyrównania, tylko jeśli domena w nagłówku From i domeny w nagłówkach Return-path (dla SPF) i DKIM signature (dla DKIM) są dokładnie zgodne - sprawdzenie wyrównania DMARC jest zgodne. Dlatego w tym scenariuszu subdomeny nie zostaną wyrównane względem DMARC.

Ścisłe dostosowanie DMARC z przykładami

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s

Dekodowanie ustawień wyrównania: Znaczniki DMARC "aspf" i "adkim" są odpowiednimi znacznikami trybu wyrównania, aby zdefiniować wybrany tryb, a "s" oznacza cel wyrównania, który jest ścisły.

Który tryb wyrównania DMARC jest lepszy?

Wybór pomiędzy zrelaksowanymi i ścisłymi trybami dostosowania DMARC zależy od polityki protokołu uwierzytelniania poczty e-mail w organizacji, tolerancji na fałszywe alarmy i ogólnych celów bezpieczeństwa.

Tryb zrelaksowany oferuje większą elastyczność i jest mniej prawdopodobne, że spowoduje fałszywe alarmy. Może być przydatny, gdy masz wiele systemów poczty e-mail lub usług wysyłających wiadomości e-mail w imieniu Twojej domeny i mogą one korzystać z różnych subdomen. Jest on jednak również mniej rygorystyczny i może przepuszczać niektóre wiadomości e-mail z niewielkimi rozbieżnościami, potencjalnie pozostawiając miejsce na próby spoofingu lub phishingu.

Model Strict wymusza bardziej rygorystyczną politykę wyrównywania, zapewniając, że dokładna domena w nagłówku "From" jest zgodna z domenami określonymi w SPF i DKIM. Chociaż zapewnia to silniejszą ochronę przed spoofingiem i phishingiem, może być mniej wybaczające, jeśli infrastruktura poczty e-mail wykorzystuje różne subdomeny do legalnych celów. Wdrożenie ścisłego dopasowania może wymagać starannej konfiguracji i monitorowania, aby uniknąć blokowania legalnych wiadomości e-mail.

Jak monitorować wiadomości e-mail pod kątem ścisłego dostosowania DMARC?

PowerDMARC pomaga monitorować wiadomości e-mail przy zachowaniu ścisłej polityki dostosowania DMARC za pomocą naszego Analizator DMARC narzędzie. Pomagamy śledzić źródła wysyłania wiadomości e-mail, sprawdzać błędy wyrównania i optymalizować konfigurację uwierzytelniania bezpośrednio z naszego pulpitu nawigacyjnego.

Skontaktuj się z nami już dziś, aby rozpocząć!

Jak sprawdzić wyrównanie DMARC dla wiadomości e-mail?

Aby zweryfikować dostosowanie DMARC dla swoich wiadomości e-mail, możesz zarejestrować się na portalu PowerDMARC i wykonać poniższe kroki: 

  • Przejdź do opcji Raportowanie w menu głównym 
  • Kliknij DMARC Aggregate Reports i rozwiń listę rozwijaną
  • Wybierz Per result z listy
  • Monitoruj źródła wysyłania na podstawie wyników, aby zobaczyć zgodność z DMARC i szczegóły dostosowania dla każdego indywidualnego wyniku.

Gdy dostosowanie DMARC przejdzie pomyślnie 

Wyrównanie DMARC przejdzie dla wiadomości e-mail, jeśli przejdzie wyrównanie identyfikatora DKIM lub/i SPF, 

Dlaczego dostosowanie DMARC zawodzi 

Błąd wyrównania DMARC występuje, gdy ani identyfikatory DKIM, ani SPF nie są zgodne dla wiadomości e-mail. Dzieje się tak zazwyczaj, gdy domena w nagłówku Mail From nie pasuje ani do domeny w nagłówku ścieżki zwrotnej, ani do domeny w nagłówku podpisu DKIM. 

Czym jest domena ścieżki zwrotnej? 

Domena ścieżki zwrotnej, znana również jako adres odesłania lub domena Envelope From, to domena, która otrzyma niedostarczone lub odesłane wiadomości. W sytuacjach, gdy wiadomość e-mail zostanie odesłana lub nie zostanie dostarczona, ukryte pole nagłówka zawiera domenę Envelope From, do której wiadomość e-mail zostanie zwrócona. Nawet jeśli jako właściciel domeny wdrażasz usługi innych firm do kierowania wiadomości e-mail, wiadomość e-mail można prześledzić z powrotem do domeny nadrzędnej za pomocą adresu odesłania. Jest to wyraźne rozgraniczenie między wiadomościami wysyłanymi przez złych aktorów a rzeczywistym nadawcą, który ma dobre intencje.  

Wyrównanie SPF domeny podczas sprawdzania DMARC jest określane przez domenę w adresie ścieżki zwrotnej. 

Czym jest domena podpisu DKIM?

Domena podpisu DKIM to nazwa domeny używana podczas tworzenia podpisów DKIM dla wiadomości, tj. domena podpisująca. Gdy walidacja wyrównania domeny DKIM jest w trakcie sprawdzania DMARC, nadawca sprawdza, czy domena podpisu DKIM jest zgodna z domeną From. Wyrównanie DMARC przejdzie w zrelaksowanym trybie DKIM, jeśli domena organizacyjna jest zgodna. W ścisłym trybie DKIM, wyrównanie DMARC przechodzi tylko wtedy, gdy istnieje dokładne dopasowanie domeny. 

Jak przekazywanie wiadomości e-mail wpływa na dostosowanie DMARC

Przekazywanie serwerów poczty elektronicznej i list dyskusyjnych wprowadza komplikacje na ścieżce dostosowania DMARC poprzez przepisanie adresu "nagłówka od" na adres serwera przekazującego, a także włączenie nowych elementów do treści i zawartości wiadomości. Powoduje to błędy wyrównania SPF i DKIM z powodu niezgodności tożsamości domeny Mail From z przepisanym adresem zwrotnym i zmienioną treścią wiadomości. 

Jak monitorować awarie osiowania?

Aby monitorować wyrównanie, można włączyć raporty zbiorcze i raporty kryminalistyczne (raportowanie awarii), które pomogą monitorować i osiągać cele wyrównania oraz szybciej naprawiać problemy z dostarczalnością.

Najnowsze posty autorstwa Maitham Al Lawati (zobacz wszystkie)
Web Security 101 - najlepsze praktyki i rozwiązaniaWeb Security 101 - najlepsze praktyki i rozwiązaniaGoogle ARCGoogle uwzględnia ARC w wytycznych dla nadawców wiadomości e-mail z 2024 r.