Wyjaśnienie "DMARC Best Guess Pass": Co to oznacza i jak to naprawić

Blog, DMARC

Zdezorientowany przez "DMARC Best Guess Pass" w raportach? Dowiedz się, co to oznacza, dlaczego tak się dzieje, jakie ryzyko się z tym wiąże i jak naprawić błędy DMARC Best Guess Pass, aby zabezpieczyć swoją pocztę e-mail.

YunesTarada

Czas odczytu: 5 min
Wyjaśnienie "DMARC Best Guess Pass": Co to oznacza i jak to naprawić
Spis treści-

Kluczowe wnioski

  • "Best Guess Pass" to nieformalny termin w raportach uwierzytelniania wiadomości e-mail, który wskazuje, że wiadomości przeszły kontrole SPF i/lub DKIM, ale nie istnieje rekord DMARC.
  • Nie jest on zdefiniowany w oficjalnej specyfikacji specyfikacji DMARC (RFC 7489).
  • Microsoft Exchange Online Protection używa go do pokazywania zgodności z domeną nadawcy.
  • Gmail i niektórzy dostawcy stosują "najlepsze przypuszczenie" głównie do SPF poprzez syntezę brakującego rekordu.
  • Obecność "Best Guess Pass" wskazuje na brakujący rekord DMARCtworząc lukę w zabezpieczeniach.
  • Publikowanie rekordu Rekord DMARC z jasną polityką (brak, kwarantanna lub odrzucenie) zapobiega temu problemowi i wzmacnia ochronę domeny.

"Best Guess Pass" nie jest oficjalnym dokumentem DMARC i nie pojawia się w specyfikacji DMARC (RFC 7489). Termin ten pochodzi od sposobu, w jaki niektóre odbierające serwery pocztowe, takie jak Microsoft Exchange Online Protection, obsługują wiadomości e-mail, które przechodzą kontrole SPF lub DKIM, ale nie mają rekordu DMARC. W takich przypadkach serwer interpretuje uwierzytelnienie jako prawidłowe i oznacza je jako "best guess pass", co oznacza, że gdyby DMARC był skonfigurowany, wiadomość e-mail przeszłaby pomyślnie. Podczas gdy wyrażenie "best guess" jest częściej związane z SPF, jego pojawienie się w raportach DMARC wskazuje na krytyczny problem: brak polityki DMARC. Rozpoznanie tej luki ma zasadnicze znaczenie dla poprawy bezpieczeństwa poczty elektronicznej.

Nie mylić:

  • Microsoft → etykietuje raporty DMARC za pomocą dmarc=bestguesspass.
  • Gmail → syntetyzuje brakujące rekordy SPF (nie DMARC).

Jak DMARC działa w normalnych scenariuszach

Aby zrozumieć problem z "najlepszym przypuszczeniem", szybko podsumujmy, jak powinien działać DMARC. DMARC opiera się na dwóch innych protokołach uwierzytelniania poczty elektronicznej, SPF i DKIM:

  • SPF: Jest to rekord DNS, który zawiera listę adresów IP, które mają prawo do wysyłania wiadomości e-mail w imieniu Twojej domeny. Możesz użyć darmowy generator SPF aby utworzyć rekord SPF, jeśli go nie masz. Jeśli masz taki rekord, ale nie jesteś pewien co do jego dokładności, użyj SPF checker.
  • DKIM: Protokół ten zapewnia podpis kryptograficzny, który sprawdza, czy wiadomość nie została zmanipulowana podczas przesyłania. A Generator rekordów DKIM i DKIM record checker mogą ci pomóc, jeśli masz trudności z konfiguracją DKIM.

DMARC sprawdza następnie, czy co najmniej jedna z tych metod (SPF lub DKIM) nie tylko przechodzi pomyślnie, ale także jest zgodna z domeną w adresie "From" (tj. tym, który widzi odbiorca).

W oparciu o to sprawdzenie, odbiornik zgodny z DMARC generuje jeden z dwóch oficjalnych wyników (ale szczegóły raportowania mogą się różnić):

  • Pass: Wiadomość e-mail została uwierzytelniona i wyrównana.
  • Niepowodzenie: Wiadomość e-mail nie została uwierzytelniona lub wyrównana.

Twój Polityka DMARC następnie instruuje odbiorcę, jak postępować z wiadomościami e-mail, które nie przejdą pomyślnie kontroli:

  • p=none: Tylko monitoruj. Dostarczenie wiadomości e-mail. Należy pamiętać, że podczas gdy wiadomości e-mail są nadal dostarczane, rozpoczyna się raportowanie zbiorcze, co jest główną zaletą p=none.
  • p=kwarantanna: Wyślij wiadomość e-mail do folderu spamu lub wiadomości-śmieci.
  • p=reject: Całkowicie blokuje wiadomość e-mail.

Co powoduje "DMARC Best Guess Pass"?

Wynik "Best Guess Pass" pojawia się zazwyczaj, gdy nie istnieje żaden rekord DMARC, a podstawowe kontrole SPF/DKIM są pozytywne.

Oto typowy scenariusz:

  1. Użytkownik lub inna autoryzowana strona wysyła wiadomość e-mail z domeny użytkownika.
  2. Twoja domena ma prawidłowe rekordy SPF i/lub DKIM.
  3. Serwer odbierający sprawdza SPF/DKIM, a one przechodzą z prawidłowym wyrównaniem.
  4. Następnie odbiorca szuka rekordu DMARC, aby sprawdzić, jaką politykę zastosować.
  5. Nie znajduje żadnego rekordu DMARC.
  6. Ponieważ podstawowe uwierzytelnianie przeszło pomyślnie, odbiorca dokonuje "najlepszego przypuszczenia" i przepuszcza wiadomość e-mail bez podejmowania żadnych działań DMARC. Rejestruje to jako coś w rodzaju dmarc=bestguesspass.

Jest to mechanizm awaryjny. Dostawca stara się uniknąć blokowania potencjalnie legalnych wiadomości e-mail tylko dlatego, że brakuje rekordu DMARC, ale podkreśla to istotne niedopatrzenie konfiguracyjne.

Dlaczego "Best Guess Pass" stanowi problem?

Dlaczego "Best-Guess-Pass" jest problemem?

Poleganie na "Best Guess Pass" jest ryzykowne i podważa cel DMARC.

Powoduje zamieszanie

Ten nieoficjalny status utrudnia interpretację raportów DMARC. Możesz myśleć, że Twoja domena jest chroniona, gdy tak nie jest.

Osłabia to widoczność zabezpieczeń 

"Best Guess Pass" nie mówi nic o fałszywych wiadomościach e-mail. Ponieważ nie masz polityki DMARC, nie będziesz otrzymywać raportów o próbach spoofingu, pozostawiając Cię ślepym na ataki wymierzone w Twoją domenę.

Umożliwia phishing i spoofing

Bez p=kwarantanna lub p=odrzucenie nie masz żadnej obrony. Oszuści nadal mogą podszywać się pod twoją domenę, a serwery odbierające, które nie wykonują tego "najlepszego przypuszczenia" (czyli większość z nich), nie będą miały instrukcji blokowania fałszywych wiadomości e-mail.

Jak naprawić błędy "DMARC Best Guess Pass"?

Rozwiązanie jest proste: opublikuj rekord DMARC dla swojej domeny. Pomoże to uniknąć domysłów i powie światu, co dokładnie zrobić z Twoją pocztą e-mail.

1. Odpowiednia konfiguracja SPF i DKIM

Przed utworzeniem rekordu DMARC należy upewnić się, że rekordy SPF i DKIM są poprawnie skonfigurowane. Powinny one obejmować wszystkie legalne usługi wysyłania.

2. Weryfikacja dopasowania domeny

Upewnij się, że domena używana dla SPF (domena ścieżki zwrotnej) i/lub domena w podpisie DKIM (znacznik d=) jest zgodna z domeną adresu "From".

3. Opublikuj rekord DMARC

Zacznij od polityki monitorowania (p=none). Pozwala to na gromadzenie danych bez wpływu na dostarczalność wiadomości e-mail. Podstawowy rekord początkowy wygląda następująco: v=DMARC1; p=none; rua=mailto:[email protected];

  • Umieść ten rekord TXT pod adresem _dmarc.yourdomain.com.

4. Korzystanie z platformy raportowania DMARC

Surowe raporty DMARC to pliki XMLi są one dość trudne do odczytania. A platforma monitorująca przekształci te raporty w czytelne dla człowieka pulpity nawigacyjne. Daje to jasny wgląd w to, kto wysyła wiadomości e-mail z Twojej domeny.

Najlepsze praktyki zapobiegające fałszywym wynikom przejścia

Najlepsze praktyki zapobiegania błędnym wynikom zaliczenia

Audyt rekordów DNS

Zawsze sprawdzaj swoje rekordy SPF, DKIM i DMARC, aby upewnić się, że są one dokładne i aktualne.

Codzienne monitorowanie raportów DMARC

Miej oko na swoje raporty raporty DMARC aby wykryć wszelkie nowe źródła wysyłania lub potencjalne błędy uwierzytelniania.

Wdrożenie bardziej rygorystycznej polityki

Po upewnieniu się, że wszystkie legalne wiadomości e-mail przechodzą kontrole DMARC, można stopniowo przejść do bardziej rygorystycznej polityki, takiej jak p=kwarantanna i ostatecznie p=odrzucenie. Pomoże to aktywnie blokować fałszywe wiadomości e-mail.

Zespoły treningowe

Przeszkol zespoły IT i bezpieczeństwa, aby wiedziały, jak interpretować dane DMARC i reagować na potencjalne zagrożenia. zagrożenia.

Podsumowanie

"Best Guess Pass" nie jest oznaką bezpiecznej poczty e-mail; to znak ostrzegawczy. Oznacza to, że bezpieczeństwo poczty elektronicznej Twojej domeny jest niekompletne i opiera się na niestandardowym zachowaniu kilku dostawców skrzynek pocztowych. Musisz wyjść poza zgadywanie i skonfigurować DMARC, aby przejąć kontrolę nad reputacją i bezpieczeństwem swojej domeny.

Nasz zespół ekspertów w PowerDMARC może pomóc. Dbamy o wszystko, co związane z DMARC, abyś mógł komunikować się z pewnością, a nie zamieszaniem. Skontaktuj się z nami już dziś!

Najczęściej zadawane pytania

Dlaczego w raportach widzę "Best Guess Pass"? 

Wynik ten jest prawdopodobnie widoczny w raportach z Microsoft 365 lub Exchange. Oznacza to, że domena wysyłająca ma skonfigurowany SPF/DKIM, ale nie ma rekordu DMARC. System odnotowuje, że wiadomość e-mail przeszłaby DMARC, gdyby istniała polityka.

Czy "Best Guess Pass" stanowi zagrożenie dla bezpieczeństwa? 

Tak. Oznacza to, że polityka egzekwowania DMARC (kwarantanna lub odrzucenie) jest nieobecna. Bez egzekwowania (kwarantanna/odrzucenie) nie można poinstruować odbiorców, aby blokowali lub przekierowywali nieautoryzowane wiadomości e-mail.

Jak mogę zatrzymać wyświetlanie "Best Guess Pass" w raportach?

Właściciel domeny wysyłającej musi opublikować prawidłowy rekord DMARC w swoim DNS. Jeśli jest to Twoja domena, wykonaj kroki opisane w sekcji 5.

Czy "Best Guess Pass" oznacza, że moje wiadomości e-mail są bezpieczne? 

Nie. Oznacza to, że w Twojej domenie brakuje krytycznej warstwy zabezpieczeń. Twoje wiadomości e-mail nie mogą być bezpieczne, jeśli nie masz poprawnie skonfigurowanego rekordu DMARC.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Phishing branżowy: jak ataki phishingowe są ukierunkowane na różne sektoryprzemysł-phishingMigracja dostawcy usług DMARCMigracja dostawcy DMARC: Praktyczny przewodnik z wartością dodaną