Czy wiesz, że możesz otrzymywać raporty DMARC poza własną domeną? Tak, możliwe jest wysyłanie raportów DMARC na adres e-mail, który nie wchodzi w zakres własnej domeny poprzez DMARC External Destination Verification. Jeśli jesteś właścicielem domeny company.commożesz wysyłać swoje raporty na adres (przykład) rua@mailreports.netgdzie company.com nie ma władzy nad mailreports.net i są to dwie całkowicie oddzielne domeny.
Aby jednak to osiągnąć, domena odbierająca raporty (mailreports.net) musi wyrazić zgodę na otrzymywanie raportów zawierających dane DMARC Twojej domeny (company.com).
Metoda, która to umożliwia, nosi nazwę "weryfikacji domeny zewnętrznej" i dziś omówimy, co to jest i jak pomaga w procesie uwierzytelniania.
Weryfikacja domeny zewnętrznej DMARC - objaśnienie
Załóżmy, że jesteś właścicielem domeny company.com i masz włączony DMARC dla swojej domeny. Chcesz teraz otrzymywać informacje o źródłach wysyłania wiadomości e-mail za pośrednictwem raportów zbiorczych DMARC, ale aby uniknąć spamowania skrzynek odbiorczych w wewnętrznych domenach i subdomenach, chcesz przekierować te raporty do zewnętrznej lokalizacji, na przykład mailreports.net.
Jest to powszechna taktyka stosowana przez firmy, które posiadają wiele zarejestrowanych domen, strony trzecie oraz masowy przepływ informacji do i z ich domen.
Aby to zrobić, kolejny rekord DMARC będzie wyglądał mniej więcej tak:
v=DMARC1; p=kwarantanna; rua=mailto:rua@mailreports.net
[Aby bezpłatnie utworzyć własny rekord, skorzystaj z naszego Generator rekordów DMARC narzędzie]
Znacznik rua określa adres e-mail, na który mają być wysyłane raporty DMARC. Zwróć uwagę, że to, że w DNS masz opublikowany rekord z prośbą o wysłanie danych na mailreports.net, nie oznacza, że tak będzie. To nie jest takie proste.
Domena odbierająca raporty musi wyrazić cyfrową zgodę na otrzymywanie raportów od company.comw przeciwnym razie nie będą one mogły zostać wysłane. Jest to znane jako weryfikacja domeny zewnętrznej (External Domain Verification) lub weryfikacja miejsca przeznaczenia (External Destination Verification) (jak wspomniano w RFC 7489 7.1).
Dlaczego wymagana jest zewnętrzna weryfikacja miejsca docelowego? Potencjalne zagrożenia i podatności na ataki
Następujące powody mogą zmusić Cię do wybrania zewnętrznej weryfikacji domeny:
- Jesteś właścicielem domeny, która nie obsługuje żadnych serwerów pocztowych
- Bez weryfikacji domeny zewnętrznej cyberatakujący mogą łatwo utworzyć rekord DMARC wymieniający domenę zewnętrzną (ofiary) w celu otrzymywania raportów. Raporty dotyczące wszystkich złych wiadomości e-mail wysłanych przez atakującego będą teraz zalewać skrzynkę odbiorczą ofiary.
Dzięki weryfikacji zewnętrznego miejsca docelowego można uniemożliwić podmiotom stanowiącym zagrożenie dokonanie złośliwych czynów, a właściciele domen mogą kierować raporty do zewnętrznej domeny obsługującej serwery pocztowe.
Jak działa weryfikacja domeny zewnętrznej?
Sprawdzanie miejsc docelowych raportów zewnętrznych
Gdy domena z opublikowanym rekordem DMARC wysyła wiadomość e-mail, serwer odbierający wiadomość e-mail sprawdza, czy domena organizacyjna, w której opublikowano rekord, jest dokładnie zgodna z domeną organizacyjną wymienioną w znaczniku rua (lub ruf) rekordu DMARC.
W przypadku braku zgodności i określenia domeny zewnętrznej, która ma otrzymywać raporty, uruchamiany jest proces weryfikacji.
W tym celu należy sprawdzić w DNS hosta odbierającego raporty, czy wyraził on zgodę na otrzymywanie raportów. Jeśli w DNS tego hosta znajduje się rekord DMARC potwierdzający zgodę, weryfikacja przebiega pomyślnie i raporty są wysyłane do domeny zewnętrznej. W przypadku niepowodzenia, raporty nie są dostarczane.
Czasami z powodu przekroczenia limitu czasu DNS i innych drobnych problemów może wystąpić tymczasowy błąd uniemożliwiający serwerom odbierającym tymczasowe zakończenie procesu weryfikacji zewnętrznego miejsca docelowego. Proces ten jest jednak później ponownie podejmowany.
Konfiguracje weryfikacji zewnętrznego miejsca docelowego dla określonych domen (i subdomen)
Przyjrzyjmy się naszemu poprzedniemu przykładowi, aby ustalić, jak zapewnić, że proces weryfikacji zewnętrznego miejsca docelowego nie zwróci wyniku błędu dla określonych domen i subdomen.
Przykładowa nazwa domeny: firma.com
Przykładowa domena odbiorcza raportów zewnętrznych: mailreports.net
W domenie mailreports.net należy opublikować rekord DNS DMARC zawierający następujące informacje:
| Pole | Opis | Wartość |
| Host | W tym miejscu publikuje się rekord na | company.com._report._dmarc.mailreports.net |
| Wartość | Wartość Twojego rekordu TXT | v=DMARC1; |
Notatka: Zastąp nazwy domen własną domeną i dowolną domeną zewnętrzną, na którą chcesz otrzymywać raporty. Ten rekord NIE powinien być publikowany na Twojej domenie, ale na domenie zewnętrznej, do której chcesz wysyłać raporty.
I gotowe! Podczas weryfikacji zewnętrznego miejsca docelowego, będzie to teraz informować serwery odbierające pocztę, że preferowana domena zewnętrzna wymieniona w znaczniku rua lub ruf faktycznie wyraża zgodę na otrzymywanie raportów DMARC w imieniu Twojej domeny.
Opcjonalne konfiguracje weryfikacji zewnętrznego miejsca docelowego
Zamiast publikować wyżej wymieniony rekord w celu nadania uprawnień konkretnym domenom do wysyłania raportów na ich adres, domeny zewnętrzne często używają rekordu rekord wieloznaczny (który zaczyna się od gwiazdki "*").
Jest to po prostu skrót, który pozwala uniknąć dodatkowego wysiłku, ponieważ rekord wieloznaczny zasadniczo oznacza, że domena zewnętrzna domena zewnętrzna zgadza się na otrzymywanie raportów DMARC od KAŻDEJ domeny (a nie tylko z Twojej konkretnej domeny).
Poniżej przedstawiono składnię (przykład) rekordu wieloznacznego używanego do weryfikacji domen zewnętrznych:
| Pole | Opis | Wartość rekordu wieloznacznego |
| Host | W tym miejscu publikuje się rekord na | *._report._dmarc.domain.com |
| Wartość | Wartość Twojego rekordu TXT | v=DMARC1; |
Potencjalne zagrożenia związane z używaniem symboli wieloznacznych
Używanie wpisów typu wildcard do weryfikacji domen zewnętrznych nie jest zalecaną praktyką i wiąże się z potencjalnym ryzykiem. Dzieje się tak dlatego, że kiedy domena wyraża zgodę na otrzymywanie raportów z dowolnej domeny, źli aktorzy mogą to wykorzystać do spamowania kont e-mail masowymi raportami ze złośliwych domen bez żadnego mechanizmu regulującego lub filtrującego te raporty. Może to być potencjalnie szkodliwe dla domeny otrzymującej raporty, a także powodować problemy dla Ciebie, który używasz tej domeny do otrzymywania własnych raportów.
W jaki sposób w PowerDMARC przeprowadza się weryfikację domeny zewnętrznej?
Dla klientów, którzy utworzyli konto PowerDMARC i otrzymują raporty za pomocą DMARC report analyzer nie muszą się martwić o weryfikację domen zewnętrznych, ponieważ my zajmujemy się tym za nich. Wszystkie raporty wysyłane przez odbiorniki są automatycznie kierowane i wysyłane do naszej platformy, starannie parsowane i porządkowane do wglądu bez konieczności publikowania rekordów w celu usprawnienia procesu weryfikacji domen zewnętrznych. Wszystko, co musisz zrobić, to podać nasz niestandardowy adres rua (lub ruf) w rekordzie DMARC.
Zarejestruj się już teraz, aby ułatwić sobie walidację zewnętrznych miejsc docelowych i proces wdrażania DMARC dzięki bezpłatnemu testowi Próba DMARC.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.
- PowerDMARC i Zendata nawiązują partnerstwo w celu zwiększenia bezpieczeństwa domeny - 25 kwietnia 2024 r.
- PowerDMARC współpracuje z CNS w celu rozwoju praktyk bezpieczeństwa poczty elektronicznej na Bliskim Wschodzie - 24 kwietnia 2024 r.