DMARC dla agencji rządowych i sektora publicznego

przez

Ostatnia aktualizacja:
6 czas czytania: 2 minuty
DMARC dla agencji rządowych i sektora publicznego

Kluczowe wnioski

  • DMARC dla domen rządowych chroni wiarygodność oficjalnej komunikacji i zabezpiecza krajowe zaufanie cyfrowe.
  • Wyzwania DMARC w sektorze publicznym są wyjątkowe, w tym zdecentralizowana kontrola i zależności od dostawców, co czyni wdrożenia bardziej złożonymi.
  • Słaba adopcja niesie ze sobą ryzyko na poziomie krajowym. Fałszywe rządowe wiadomości e-mail mogą prowadzić do dezinformacji, paniki publicznej i utraty zaufania wśród obywateli.
  • Najlepiej sprawdza się etapowe, centralnie koordynowane podejście. Zacznij od domen o dużym wpływie, monitoruj i przejdź do pełnego egzekwowania z odpowiednią widocznością i zarządzaniem.
  • PowerDMARC upraszcza wdrażanie DMARC w administracji rządowej. Od ujednoliconych pulpitów nawigacyjnych po śledzenie zgodności, umożliwia agencjom bezpieczne, szybkie i przejrzyste egzekwowanie przepisów.

Jako obywatele, gdy otrzymujemy wiadomość e-mail od rządu, naszym pierwszym odruchem jest natychmiastowe działanie. Od ostrzeżeń o katastrofach i powiadomień podatkowych po potwierdzenia wizyt lekarskich - to tylko kilka przykładów powiadomień rządowych, które przyciągają naszą uwagę. Wyobraźmy sobie teraz kampanię phishingową, która podszywa się pod te wiadomości. Może to wywołać ogólnokrajową panikę i chaos! To jest dokładnie to, co DMARC (Domain-based Message Authentication, Reporting & Conformance) został stworzony, aby temu zapobiec.

Niniejszy przewodnik przedstawia agencjom sektora publicznego, dlaczego bezpieczeństwo poczty elektronicznej ma znaczenie, potencjalne zagrożenia związane ze słabym przyjęciem DMARC wśród agencji rządowych. 

Dlaczego bezpieczeństwo poczty e-mail ma kluczowe znaczenie dla domen sektora publicznego?

W przeciwieństwie do firm prywatnych, rządy:

  • Własne "uniwersalne domeny zaufania". Obywatele mogą zignorować podejrzanie wyglądającą wiadomość e-mail dotyczącą handlu elektronicznego, ale zazwyczaj nie zignorują wiadomości z domeny rządowej.
  • Działanie na masową skalę. Jeden fałszywy alert zdrowotny lub ostrzeżenie podatkowe może mieć wpływ na miliony osób w ciągu jednego dnia.
  • Mają znaczenie geopolityczne. Fałszywe wiadomości rządowe mogą być wykorzystywane przez atakujących do rozpowszechniania dezinformacji, a nawet do symulowania fałszywych instrukcji kryzysowych.
  • Wpływ na krytyczne usługi. W opiece zdrowotnej, podatkach, obronie, imigracji lub reagowaniu na katastrofy pojedyncza złośliwa wiadomość e-mail może zakłócić stabilność kraju.

Rządowe adresy e-mail mają swoją wagę. Obywatele, firmy i inne organy rządowe traktują wiadomości z domen .gov, .gov.uk, .eu lub podobnych jako wiarygodne. To czyni je cennymi celami dla atakujących, którzy podszywają się pod oficjalnych nadawców:

  • Kradzież poufnych danych obywateli 
  • Nakłanianie pracowników do przelewania środków lub ujawniania danych uwierzytelniających
  • Rozpowszechnianie błędnych informacji, które szkodzą bezpieczeństwu publicznemu lub prowadzą do utraty zaufania.

Pojedyncza udana sfałszowana wiadomość może wywołać reakcję łańcuchową, taką jak zamieszanie w sytuacjach awaryjnych, kradzież tożsamości, oszustwo i utratę reputacji. DMARC, używany wraz z SPF i DKIMpozwala odbiorcom zweryfikować, czy wiadomość e-mail twierdząca, że pochodzi z oficjalnego adresu, rzeczywiście pochodzi od autoryzowanego nadawcy i instruuje odbierające serwery pocztowe, jak postępować z wiadomościami, które nie przejdą weryfikacji. Zmniejsza to wpływ ataków podszywania się.

Ryzyko słabego przyjęcia DMARC w administracji rządowej

Gdy instytucje rządowe nie posiadają polityki DMARC lub błędnie skonfigurują DMARC, konsekwencje mogą być następujące:

  • Phishing i oszustwa: Atakujący mogą przekonać odbiorców, że złośliwa wiadomość e-mail jest legalna, zwiększając liczbę kliknięć i kradzieży danych uwierzytelniających.
  • Zakłócenia operacyjne: Fałszywe wiadomości e-mail mogą powodować zakłócenia w pracy służb ratunkowych, podatków lub świadczeń oraz dużą liczbę zgłoszeń do działu pomocy technicznej.
  • Utrata zaufania wśród obywateli: Powtarzający się spoofing sprawia, że obywatele powoli zaczynają tracić zaufanie do oficjalnej komunikacji, co ma kosztowne, długoterminowe skutki.
  • Skutki regulacyjne: Wiele domen sektora publicznego jest obecnie zobowiązanych przez państwo do przyjęcia zasad bezpiecznej poczty elektronicznej. Niezastosowanie się do egzekwowanie DMARC może prowadzić do niezgodności z przepisami.
  • Dezinformacja z użyciem broni: Atakujący fałszują alerty rządowe podczas klęsk żywiołowych, pandemii lub wyborów, tworząc chaos, który szybko się rozprzestrzenia.
  • Skutki ekonomiczne: Fałszywe żądania podatkowe lub oszukańcze faktury rządowe mogą powodować szkody finansowe w różnych branżach.
  • Ryzyko międzynarodowe: Wiele agencji rządowych współpracuje na arenie międzynarodowej. Skompromitowana domena rządowa może podważyć zaufanie do stosunków zagranicznych lub globalnego handlu.

Rządowe wymagania i zalecenia dotyczące DMARC

Różne kraje wydały różne mandaty lub silne wytyczne dotyczące uwierzytelniania poczty elektronicznej w sektorze publicznym. Poniżej znajduje się kilka godnych uwagi przykładów: 

  • Stany Zjednoczone: Wiążąca dyrektywa operacyjna DHS (BOD) 18-01 nakazała cywilnym agencjom federalnym wdrożenie protokołów SPF, DKIM i DMARC oraz stosowanie raportowania zbiorczego.
  • Wielka Brytania: W 2016 r. rząd Wielkiej Brytanii podjął pionierską inicjatywę, wprowadzając obowiązkową politykę DMARC typu „p=reject” we wszystkich swoich domenach w celu ograniczenia zagrożeń związanych z podszywaniem się. Jednak w związku z NCSC zaprzestanie publikacji zbiorczych raportów Mail Check w marcu 2025 r. agencje straciły kluczowy wgląd w działania związane z uwierzytelnianiem poczty elektronicznej, co zwiększa ryzyko niewykrytych błędów konfiguracji lub problemów z dostarczalnością.
  • Niemcy: Począwszy od czerwca 2018 r. Niemcy podjęły proaktywne kroki w celu ograniczenia rozprzestrzeniania się złośliwego oprogramowania i spamu, wzywając dostawców usług internetowych do przyjęcia SPF, DKIM i DMARC, podstawowych standardów uwierzytelniania wiadomości e-mail zaprojektowanych w celu weryfikacji legalności nadawcy i zwiększenia zaufania do komunikacji cyfrowej.
  • Nowa Zelandia: W ramach nowozelandzkiego Secure Government Email (SGE) Framework, wszystkie domeny rządowe obsługujące pocztę elektroniczną muszą przyjąć politykę DMARC p=reject, wdrożyć SPF z hard-fail (-all) i zapewnić podpisywanie DKIM dla całej poczty wychodzącej.
  • Holandia: Holendrzy Forum Standaardisatie (Forum Standaryzacji) uczyniło DMARC częścią "otwartych standardów" i umieściło go na liście "Pas toe of leg uit" ("przestrzegaj lub wyjaśnij"). Zgodnie z "Joint Ambition Statement" i powiązanymi umowami, wszystkie organizacje rządowe w Holandii miały wdrożyć standardy antyphishingowe (SPF, DKIM, DMARC) i standardy bezpieczeństwa poczty elektronicznej (takie jak STARTTLS i DANE) do końca 2019 roku.

Poza tym kilka branż, w tym finanse i opieka zdrowotna, coraz częściej odwołuje się do DMARC lub uwierzytelniania poczty elektronicznej jako podstawowego zabezpieczenia. 

Jak skonfigurować DMARC dla domen rządowych i sektora publicznego? 

Poniżej znajduje się proste podejście krok po kroku do wdrożenia DMARC dla domeny rządowej. W razie potrzeby można zastąpić nazwy domen i adresy.

Konfiguracja domen DMARC dla rządu i sektora publicznego

1. Inwentaryzacja: mapowanie każdego nadawcy

  • Utwórz wykaz wszystkich usług, w tym dostawców usług w chmurze i nadawców zewnętrznych, którzy korzystają z Twojej domeny lub subdomen.
  • Zanotuj adresy IP i źródła podpisów DKIM.

2. Zapewnienie podstawowej ochrony SPF i DKIM

  • Opublikuj dokładny rekord SPF, który zawiera listę tylko autoryzowanych wysyłających adresów IP/usług i unika nadmiernego dołączania.
  • Upewnij się, że podpisywanie DKIM jest włączone dla wychodzących wiadomości e-mail; publikuj klucze publiczne DKIM (DNS TXT) i okresowo zmieniaj klucze w celu zwiększenia bezpieczeństwa.
  • Sprawdź SPF/DKIM dla każdego źródła za pomocą naszego SPF checker i DKIM checker narzędzia.

3. Opublikowanie monitorowanego rekordu DMARC

Zacznij od monitorowania, aby móc bezpiecznie gromadzić raporty:

Nazwa: _dmarc.example.gov

Typ: TXT

Wartość: "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s; fo=1"

  • p=none zbiera raporty bez wpływu na dostarczanie.
  • Używaj rua do zbiorczych raportów XML i ruf do analizy błędów (najpierw sprawdź zasady prawne).
  • Używaj adkim=s i aspf=s dla ścisłego wyrównania we wrażliwych środowiskach (jest to opcjonalne na wczesnym etapie).

4. Zbieranie i analizowanie raportów

  • Centralizacja raportów zbiorczych (rua) w zarządzanym pulpicie nawigacyjnym analizującym raporty, takim jak nasz Analizator raportów DMARC. Raporty pokazują, które IP wysyłają pocztę, wskaźniki zaliczenia/niezaliczenia i błędy wyrównania.
  • Kategoryzacja legalnych nadawców i nieautoryzowanych źródeł oraz odpowiednia aktualizacja SPF. W przypadku problemów z przekazywaną pocztą należy polegać na DKIM, autoryzować serwery przekazujące lub skonfigurować ARC w celu zachowania nagłówków uwierzytelniania.

5. Stopniowe przechodzenie do egzekwowania przepisów

  • Przejście do p=kwarantanna dla podzbioru domen.
  • Monitoruj współczynniki odrzuceń/reklamacji i dostarczalność.
  • Po uzyskaniu pewności, przejdź do p=reject przy pct=100. Ścisłe monitorowanie po wyegzekwowaniu.

Przykład:

Początkowy rekord: v=DMARC1; p=kwarantanna; pct=50; rua=mailto:[email protected]; adkim=s; aspf=s

Zaktualizowany rekord: v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; adkim=s; aspf=s

Najczęstsze wyzwania i sposoby ich uniknięcia

  1. Przekonanie, że p=none chroni przed spoofingiem: Tryb monitorowania (p=none) służy wyłącznie do gromadzenia danych i nie zapobiega spoofingowi. Należy zaplanować jasną ścieżkę działania i harmonogram przejścia do trybów p=quarantine i p=reject.
  2. Nieaktualna baza danych: Niedokumentowani nadawcy zewnętrzni powodują błędy podczas egzekwowania zasad. Aby to naprawić, upewnij się, że nadawcy zewnętrzni są autoryzowani w rekordzie SPF, i aktualizuj ten rekord za każdym razem, gdy dodajesz nowego nadawcę.
  3. Wiele rekordów DMARC/SPF: Opublikowanie więcej niż jednego rekordu DMARC lub SPF dla danej domeny powoduje zakłócenie procesu uwierzytelniania. Należy zawsze upewnić się, że dla każdej domeny wysyłającej istnieje dokładnie jeden rekord.
  4. Przekroczono limit długich rekordów SPF / wyszukiwań DNS: SPF ma limity wyszukiwań (10 mechanizmów powodujących wyszukiwanie DNS). Aby nie przekroczyć limitu, możesz skorzystać z naszego narzędzia do spłaszczania SPF lub optymalizacji makr SPF .
  5. Przekierowywanie powoduje niepowodzenie weryfikacji SPF: Przekierowywanie wiadomości może spowodować niepowodzenie weryfikacji SPF nawet w przypadku legalnych wiadomości e-mail. W miarę możliwości lepiej polegać na DKIM i korzystać z ARC, aby zachować oryginalne nagłówki uwierzytelniające.
  6. Raportykryminalistyczne a kwestie dotyczące prywatności i kwestie prawne: Raporty kryminalistyczne mogą w niektórych przypadkach zawierać dane wrażliwe oraz treść wiadomości e-mail. Zalecamy skonsultowanie się z zespołem prawnym przed włączeniem usługi ruf oraz korzystanie z usług oferujących szyfrowanie raportów kryminalistycznych, takich jak PowerDMARC.
  7. Błędna interpretacja raportów zbiorczych: Raporty zbiorcze XML nie są przyjazne dla człowieka i mogą być skomplikowane dla nietechnicznych czytelników. O wiele wygodniej jest używać automatycznych parserów lub DMARC dashboard do tłumaczenia raportów na format czytelny dla człowieka.

Jak PowerDMARC pomaga agencjom sektora publicznego

Agencje rządowe często preferują współpracę z zaufanym partnerem w celu przyspieszenia wdrożenia DMARC przy jednoczesnym zachowaniu zgodności z przepisami. PowerDMARC oferuje następujące możliwości przyjazne dla sektora publicznego:

  • Automatyczne analizowanie raportów: Twoje raporty zbiorcze i analityczne są automatycznie analizowane i prezentowane na kolorowych, łatwych w nawigacji pulpitach nawigacyjnych z przejrzystymi filtrami.
  • Wdrażanie SPF i DKIM: Oferujemy hostowane narzędzia i usługi, które ułatwiają i optymalizują tworzenie rekordów SPF oraz zarządzanie rotacją kluczy DKIM.
  • Powiadomienia i szybka pomoc techniczna: Nasza platforma obsługuje powiadomienia w czasie rzeczywistym o gwałtownym wzroście liczby przypadków spoofingu, nowych nieautoryzowanych nadawców lub problemach z dostarczaniem wiadomości, a nasz zespół wsparcia technicznego zapewnia szybką pomoc w ich rozwiązywaniu.
  • Natychmiastowa kontrola zgodności: Możesz przeprowadzić szybką analizę stanu domeny i kontrole zgodności w celu natychmiastowego monitorowania ogólnego postępu w zakresie bezpieczeństwa poczty e-mail.

PowerDMARC jest również dostawcą posiadającym certyfikaty SOC2 Type 2, SOC3, ISO 27001 i GDPR. 

SOC2-Type-2-SOC3-ISO-27001-Certified-GDPR

Słowa końcowe

Dla agencji rządowych DMARC jest czymś więcej niż tylko elementem działania. Wymaga on ciągłego zarządzania i monitorowania. Korzyścią jest mniejsza liczba ataków phishingowych podszywających się pod oficjalne kanały, mniejsze obciążenie help-desk, większe zaufanie obywateli i silniejsza pozycja w zakresie zgodności.

Jeśli Twoja agencja potrzebuje pomocy w przeanalizowaniu dziesiątek tysięcy zagregowanych raportów, wykryciu nieznanych nadawców lub bezpiecznym dotarciu do organów ścigania, skontaktuj się z PowerDMARC już dziś!