Fałszywe alarmy DMARC: Przyczyny, poprawki i przewodnik zapobiegania

Blog

Legalne wiadomości e-mail nie przechodzą kontroli DMARC? Poznaj główne przyczyny fałszywych alarmów DMARC oraz dowiedz się, jak je naprawiać i zapobiegać im, aby chronić dostarczalność wiadomości e-mail.

przez Ahona Rudra

Czas odczytu: 6 min
Fałszywe alarmy DMARC: Przyczyny, poprawki i przewodnik zapobiegania
Spis treści-

DMARC to protokół uwierzytelniania poczty elektronicznej, który opiera się na SPF i DKIM. Pomaga on właścicielom domen określić, w jaki sposób odbierające serwery pocztowe powinny postępować z wiadomościami e-mail, które nie przejdą uwierzytelnienia. Kluczowe polityki DMARC to brak, kwarantanna lub odrzucenie. Pozwalają one kontrolować, czy nieuwierzytelnione wiadomości e-mail powinny być dostarczane, wysyłane do spamu, czy też całkowicie blokowane.

Fałszywy pozytyw DMARC występuje, gdy legalna wiadomość e-mail jest nieprawidłowo oznaczona jako "nieudana". Może to być spowodowane błędną konfiguracją i lukami w ustawieniach SPF, DKIM lub DMARC. Najczęstsze przyczyny to źle dopasowane domeny, brakujące podpisy DKIM lub zbyt rygorystyczne zasady stosowane bez odpowiedniego monitorowania. Z powodu tych luk biznesowe wiadomości e-mail mogą zostać utracone lub przekierowane do spamu. Może to mieć znaczący wpływ na operacje biznesowe, skuteczność komunikacji i wizerunek marki.

Kluczowe wnioski

  • Fałszywe alarmy DMARC mają miejsce, gdy legalne wiadomości e-mail nie przejdą kontroli DMARC z powodu błędnej konfiguracji lub problemów z wyrównaniem.
  • Awarie te mogą prowadzić do problemów z dostarczaniem wiadomości e-mail, utraty reputacji, zmniejszenia zwrotu z inwestycji itp. 
  • Najczęstsze przyczyny fałszywych alarmów DMARC to SPF lub DKIM, przekierowanie wiadomości e-mail, wygasłe klucze DKIMi nieautoryzowani nadawcy zewnętrzni.
  • Oznaki fałszywych alarmów mogą pojawić się w raportach o błędach DMARC, dziennikach odrzuceń lub poprzez nieoczekiwane odrzucenie wewnętrznych lub partnerskich wiadomości e-mail. 
  • Możesz zredukować lub wyeliminować fałszywe alarmy poprzez monitorowanie i dostosowywanie polityk DMARC, autoryzację usług firm trzecich i obsługę przekazywania wiadomości e-mail.

Dlaczego zdarzają się fałszywe alarmy DMARC?

Fałszywe alarmy DMARC mogą wynikać z wielu czynników.

Niewłaściwe zarządzanie rekordami DNS

Rekordy DNS działają jak instrukcje, które pomagają odbiorcom poczty elektronicznej w walidacji uwierzytelniania SPF, DKIM i DMARC. Umożliwiają one DMARC znalezienie właściwych adresów w celu sprawdzenia autentyczności i legalności nadawców wiadomości e-mail. Właściwe zarządzanie rekordami SPF, DKIM i DMARC DNS zapewnia, że serwery odbiorcze mogą poprawnie uwierzytelniać Twoje wiadomości e-mail. Bez rekordu DMARC odbiorcy wiadomości e-mail nie będą stosować polityki DMARC, pozostawiając domenę podatną na spoofing

Niewspółosiowość SPF/DKIM

DMARC wymaga, aby domena w nagłówku "From" była zgodna z domenami używanymi w uwierzytelnianiu SPF i DKIM. Jeśli zasady dopasowywania są zbyt rygorystyczne, może to spowodować niepowodzenie wysyłania legalnych wiadomości e-mail w przypadku, gdy domeny te różnią się od siebie. Dokładniej mówiąc, gdy domena uwierzytelniona SPF (zazwyczaj ze ścieżki zwrotnej) lub domena podpisująca DKIM nie jest zgodna z adresem "Od", może to spowodować niepowodzenie DMARC. 

Przekazywanie wiadomości e-mail

Przekazywane wiadomości e-mail często przechodzą przez serwery pośrednie, które nie są wymienione w rekordzie SPF nadawcy. Może to spowodować niepowodzenie SPF. Przekazywanie dalej zazwyczaj przerywa SPF, ale podpisy DKIM zazwyczaj przetrwają, chyba że przekazujący dalej lub lista mailingowa zmodyfikuje wiadomość (np. dodając stopki lub nagłówki). Luki w SPF lub DKIM mogą spowodować niepowodzenie DMARC. 

Listy mailingowe

Listy mailingowe czasami wymagają modyfikacji wiadomości e-mail poprzez dodanie stopek lub nagłówków. Mogą nawet całkowicie przepisać adres "Od". Zmiany te łamią podpisy DKIM i powodują niezgodność SPF. Dzieje się tak, ponieważ adres odsyłający listy mailingowej różni się od oryginalnego nadawcy, więc DMARC zawodzi.

Wygasłe lub zmienione klucze DKIM

Klucze DKIM nie wygasają automatycznie, ale powinny być regularnie rotowane. Niektóre podpisy DKIM mogą zawierać znacznik x=, który ustawia czas wygaśnięcia podpisu, chociaż jest to opcjonalne i nie jest powszechnie egzekwowane. Podczas rotacji kluczy konieczne jest staranne zarządzanie, aby zapewnić, że klucze publiczne pozostaną opublikowane, dopóki wszystkie wiadomości e-mail podpisane starym kluczem nie zostaną dostarczone.

Korzystanie z dynamicznego adresu IP 

Nie jest wcale zaskakujące, że DMARC działa najlepiej ze stabilnymi adresami IP. Dynamiczne adresy IP często się zmieniają i utrudniają dotarcie do zamierzonego celu. Dlatego też dynamiczny adres IP jest bardziej narażony na zablokowanie przez usługi reputacji poczty elektronicznej. Co więcej, dynamiczny adres IP może mieć niespójne odwrotne rekordy DNS. To z kolei czyni je bardziej problematycznymi i daje pierwszeństwo stabilnym adresom IP. 

Nieautoryzowani nadawcy zewnętrzni

Wiadomości e-mail wysyłane przez strony trzecie, które nie są uwzględnione w rekordach SPF lub DKIM domeny, najprawdopodobniej nie przejdą uwierzytelnienia. Może to spowodować niepowodzenie DMARC i potencjalnie wywołać fałszywe alarmy, nawet jeśli ci nadawcy są legalni; jeśli nie są odpowiednio autoryzowani, to bycie legalnym nie wystarczy. 

Jak wykrywać fałszywe alarmy DMARC?

Oto kilka sposobów wykrywania fałszywych alarmów DMARC. 

Zbiorcze raporty DMARC (RUA)

Podczas przeglądania zagregowanych raportów DMARC (RUA) raportymożna łatwo zobaczyć i monitorować trendy dotyczące pozytywnych i negatywnych wyników komunikacji e-mail. Te raporty oparte na XML są wysyłane codziennie na adres podany w rekordzie DMARC. Zawierają one podsumowanie wyników uwierzytelniania zarówno dla SPF, jak i DKIM, dzięki czemu można wykryć każdy nietypowy wzrost liczby niepowodzeń. Taki nieoczekiwany wzrost może być dobrym wskaźnikiem fałszywych alarmów.

Raporty kryminalistyczne (RUF)

Włączenie raportów kryminalistycznych DMARC (RUF) zapewni szczegółową diagnostykę w czasie rzeczywistym wszystkich wiadomości e-mail, które nie przeszły pomyślnie kontroli DMARC. Raporty są dość obszerne i zawierają informacje na poziomie wiadomości. Mogą one zawierać dane nadawcy, temat i wyniki uwierzytelniania. Ze względu na szczegółowość danych znalezionych w tych wiadomościach e-mail, znacznie łatwiej jest zidentyfikować, które legalne wiadomości e-mail są wysyłane do spamu lub odrzucane.

Dzienniki odrzuceń wiadomości e-mail

Sprawdzanie dzienników odrzuceń lub odrzuceń serwera pocztowego jest kolejną dobrą metodą wykrywania fałszywych alarmów. Jeśli odrzucenia powtarzają się lub jeśli doświadczasz częstych odrzuceń wewnętrznych lub partnerskich wiadomości e-mail, to Twój ekosystem poczty elektronicznej może cierpieć z powodu fałszywych alarmów DMARC.

Typowe objawy

Czy Twoje legalne wewnętrzne lub partnerskie wiadomości e-mail znikają lub są odrzucane bez powodu? Jeśli nadal doświadczasz niepowodzeń w dostarczaniu, nawet jeśli poprawnie skonfigurowałeś rekordy SPF, DKIM i DMARC, to jest to kolejna oznaka fałszywych alarmów.

Jak naprawiać i zapobiegać fałszywym alarmom DMARC

Istnieje kilka skutecznych metod zapobiegania i/lub usuwania fałszywych alarmów. 

Zapewnienie zgodności z SPF/DKIM

W przypadku SPF upewnij się, że domena Return-Path (MAIL FROM) jest zgodna z widocznym adresem From. W przypadku DKIM upewnij się, że domena d= jest zgodna z widocznym adresem From. Alternatywnie można rozważyć przejście z ścisłego wyrównania na zrelaksowane jeśli potrzebujesz łatwego rozwiązania problemu fałszywych alarmów.

Autoryzacja usług zewnętrznych

Inną dobrą metodą jest aktualizacja rekordów SPF w celu uwzględnienia wszystkich legalnych nadawców zewnętrznych. Można to zrobić za pomocą mechanizmu include lub wymieniając ich wysyłające adresy IP. Upewnij się, że ci dostawcy generują klucze DKIM dla twojej domeny lub subdomeny i publikują klucze publiczne w twoim DNS. 

Upewnij się, że twoje rekordy DNS są dobrze zarządzane 

Aby prawidłowo zarządzać rekordami DNS, zawsze można użyć Narzędzie wyszukiwania DNS aby sprawdzić dostępność rekordu DMARC. Powinien to być rekord TXT z rzeczywistą nazwą domeny.

Przydatne byłoby również sprawdzenie składni rekordu DMARC, tak aby wszystkie dyrektywy były poprawnie sformatowane i używały właściwej interpunkcji (np. średników). 

Obsługa przekazywania wiadomości e-mail

Dowiedzieliśmy się już, że przekierowanie może złamać SPF i DKIM. Aby uniknąć tego problemu, należy wdrożyć ARC(Authenticated Received Chain). Może to pomóc w zachowaniu wyników uwierzytelniania poprzez przekierowanie. Można również skonfigurować usługi przesyłania dalej, aby dodawania podpisów DKIMco może pomóc uniknąć fałszywych alarmów podczas przesyłania dalej.

Wykorzystaj właściwe zarządzanie subdomenami 

Dobre wdrożenie DMARC obejmuje nie tylko domenę, ale również obsługę subdomen. Oznacza to, że należy skonfigurować rekordy SPF, DKIM i DMARC dla każdej z subdomen i jasno określić odpowiadające im polityki DMARC. 

Monitorowanie i dostosowywanie zasad

Wreszcie, ważne jest, aby wiedzieć, co polityka DMARC jest używana na danym etapie podróży do wdrożenia DMARC. Na przykład, podczas gdy ścisła polityka DMARC (np. p=reject) może być konieczna na późniejszych etapach, zaleca się rozpoczęcie od złagodzonej polityki DMARC, takiej jak p=none. Rozpoczęcie od złagodzonej polityki może pomóc w gromadzeniu danych i identyfikacji fałszywych alarmów.

Po uzyskaniu niezbędnych informacji można stopniowo przejść do kwarantanny i ostatecznie odrzucić. Ale tylko wtedy, gdy masz pewność, że wszystkie legalne źródła są odpowiednio uwierzytelnione.

Najlepsze praktyki zmniejszające liczbę fałszywych alarmów

Oto krótka lista kontrolna, której można użyć, aby zmniejszyć lub nawet wyeliminować fałszywe alarmy:

  1. Nie należy od razu przechodzić na p=reject, gdy nie przeprowadzono jeszcze wystarczającego monitoringu i testów. Cierpliwe, stopniowe egzekwowanie DMARC może pomóc uniknąć bólu głowy związanego z legalnymi wiadomościami e-mail lądującymi w spamie. 
  2. Regularnie sprawdzaj i aktualizuj swoje rekordy DNS dla SPF, DKIM i DMARC. Zapewni to ochronę wszystkich legalnych nadawców. 
  3. Zawsze testuj swoją konfigurację za pomocą programów sprawdzających DMARC przed wprowadzeniem ścisłych zasad, takich jak p=reject. Oprócz korzystania z narzędzi sprawdzających online, należy również dokładnie przeanalizować raporty, aby zidentyfikować wszelkie błędy lub luki.
  4. Unikaj dynamicznych adresów IP (już wiesz dlaczego!). 
  5. Współpraca z zewnętrznymi dostawcami (takich jak CRM i ESP), aby upewnić się, że ich praktyki wysyłania są zgodne z DMARC i autoryzowane dla Twojej domeny.

Podsumowanie 

Fałszywe alarmy mogą być naprawdę irytujące, ale w rzeczywistości są łatwiejsze do naprawienia niż można sobie wyobrazić. Właściwe dostosowanie, uważne monitorowanie i stopniowe egzekwowanie zasad DMARC może pomóc w ich wykrywaniu i zapobieganiu im na czas. Należy również pamiętać o audytowaniu raportów DMARC i dostosowywaniu konfiguracji w celu bezproblemowego wdrożenia DMARC i dostarczania lub dostarczalności wiadomości e-mail. 

Zacznij używać PowerDMARC darmowego DMARC Analyzer już dziś, aby monitorować wszystkie protokoły uwierzytelniania poczty elektronicznej pod jednym dachem i pozbyć się fałszywych alarmów!

CTA

Latest posts by Ahona Rudra (zobacz wszystkie)
Rząd Nowej Zelandii wprowadza DMARC w ramach nowych ram bezpiecznej poczty elektronicznejBezpieczna rządowa poczta e-mailStudium przypadku DMARC MSP: Jak PrimaryTech uprościł bezpieczeństwo domeny klienta dzięki...