Nadpisywanie zasad DMARC

Ten artykuł szczegółowo wyjaśnia, czym są nadpisania polityki DMARC, jak działają, jaka jest różnica między nadpisaniem polityki DMARC a niepowodzeniem polityki DMARC oraz czy nadpisanie zapisów DMARC jest legalne czy nie.

DMARC Policy Overrides: Explained

Nadpisanie polityki DMARC ma miejsce, gdy serwer odbierający pocztę nadpisuje politykę DMARC który został ustawiony przez nadawcę. Ma to miejsce, gdy nadawca określił, że chce, aby jego wiadomość została odrzucona, jeśli nie pasuje do polityki serwera poczty przychodzącej, ale odbierający serwer poczty decyduje, że nie jest to odpowiednie dla jego własnego zestawu zasad.

Na przykład, jeśli nadawca określił ścisłą politykę (jak "p=odrzuć całą pocztę bez SPF lub DKIM") a serwer odbiorczy ma luźną politykę (jak "zaakceptuj całą pocztę bez SPF lub DKIM"). W tej sytuacji serwer odbierający może zastąpić ustawienia polityki DMARC nadawcy swoją własną polityką lokalną i dostarczyć wiadomość do skrzynki odbiorczej odbiorcy, nawet jeśli nie przejdzie ona kontroli DMARC.

Zrozumienie mechanizmu zastępowania polityki DMARC

DMARC jest używany do przekazywania ustawień polityki, które odbiorcy poczty mogą wykorzystać do egzekwowania wobec wiadomości e-mail wysyłanych z Twojej domeny.

Na przykład, możesz użyć polityki dla DMARC, aby powiedzieć serwerowi pocztowemu odbiorcy, co powinien zrobić (p=odrzucić lub p=nigdy lub p=kwarantanna), jeśli sprawdzenie SPF lub DKIM nie powiedzie się w e-mailach wysyłanych z twojej domeny.

To dość mocno podsumowuje moc DMARC, prawda?

Ale co w przypadku, gdy otrzymujący serwer pocztowy ma swój własny zestaw lokalnych zasad traktowania otrzymywanych e-maili? Czy będzie przestrzegał zasad DMARC ustalonych przez nadawcę, czy też będzie zastępował zasady nadawcy swoimi własnymi zasadami?

Cóż...

Specyfikacja DMARC wymaga od odbiorców poczty, aby w dobrej wierze starali się przestrzegać zasad DMARC opublikowanych przez właścicieli domen. Więc jeśli test SPF, DKIM i nagłówka From nadawcy nie powiedzie się w wiadomości, to powinno to spowodować to co jest określone w polityce DMARC nadawcy (p) jak kwarantanna, odrzucenie lub NONE.

Załóżmy teraz, że sytuacja wygląda tak:

➜ Twoja domena (mypersonaldomain.org) posiada politykę DMARC (p=none).

➜ Serwer pocztowy prowadzony przez odbiorcę (theirdomain.org) odrzuca wszystkie wiadomości, które nie przeszły kontroli SPF. Oznacza to, że jeśli wiadomość e-mail wysłana do (ichdomena.org) nie przejdzie kontroli SPF, zostanie odrzucona. Right?

Ale...

Co się stanie, jeśli email z Twojej domeny (mypersonaldomain.org) z polityką DMARC p=none zostanie odebrany na somedomain.org i nie przejdzie kontroli SPF?

W tym przypadku, to od serwera pocztowego odbierającego (jak jest skonfigurowany) będzie zależało, czy zgodzi się z polityką DMARC ustawioną przez nadawcę LUB odrzuci maila nadpisując politykę nadawcy regułami zdefiniowanymi w swojej lokalnej polityce p=reject on SPF check failure.

Microsoft 365 jest tego przykładem w czasie rzeczywistym, ponieważ wysyła wszystkie wiadomości p=reject do folderu śmieci/spamu użytkownika zamiast je odrzucać. Dzieje się tak, ponieważ O365 uważa, że dobrze jest, aby odbiorca podjął ostateczną decyzję o ostatecznej dyspozycji.

Pięć wartości nadpisywania polityki DMARC

przekazana - E-mail został prawdopodobnie przekazany dalej, na podstawie lokalnych algorytmów, które zidentyfikowały wzorce przekazywania. Można się spodziewać, że uwierzytelnianie nie powiedzie się.

local_policy - lokalna polityka odbiorcy poczty wyłączyła email z poddania go akcji żądanej przez właściciela domeny. Na przykład, gdy żądana polityka jest ustawiona na "odrzuć", ale kontrola ARC przeszła, odbiorca poczty może unieważnić tę decyzję i wybrać, aby nie odrzucać wiadomości.

Co to jest ARC?

ARC oznacza Autentyczny łańcuch otrzymany (ARC). Dzięki ARC protokoły DKIM i SPF nie będą już łamane przez forwardy czy listy mailingowe. Dzieje się tak dlatego, że ARC zachowuje wyniki uwierzytelniania wiadomości e-mail przez routery, pośredników i inne systemy ("hops"), które mogą modyfikować wiadomość podczas jej przechodzenia z jednego węzła w Internecie do drugiego.

Jeśli więc łańcuch ARC był obecny, serwer pocztowy, który w przeciwnym razie odrzuciłby wiadomości, może zdecydować się na ocenę wyników testów i zrobić wyjątek, pozwalając legalnym wiadomościom z tych pośrednich przepływów poczty dotrzeć do celu.

mailing_list - E-mail został wysłany z listy mailingowej, więc program filtrujący uznał, że prawdopodobnie nie jest on legalny.

sampled_out - Wiadomość nie dotyczyła polityki, ponieważ jej ustawienie "pct" było ustawione w rekordzie DMARC.

trusted_forwarder - Awaria została przewidziana przez dowody, które powiązały wiadomość e-mail z lokalnie utrzymywaną listą zaufanych przekierowań.

inne - Niektóre polisy zawierały wyjątki, które nie zostały uwzględnione w innych pozycjach na liście.

DMARC Policy Overriding: Czy jest to dopuszczalne?

Sekcja 6 RFC 7489 mówi, że serwery pocztowe powinny honorować i obsługiwać wiadomości zgodnie z polityką nadawcy. Chociaż nadpisywanie jest sprzeczne z duchem DMARC, dostawcy skrzynek pocztowych zastrzegają sobie prawo do nadpisywania dowolnej polityki nadawcy. Więc tak, jest to dopuszczalne, aby serwer odbierający nadpisał politykę DMARC swoją lokalną polityką.

Oznacza to, że serwer pocztowy mógł dostarczyć sfałszowaną wiadomość, mimo że polityka, której miał przestrzegać, mówiła inaczej.

Czy powinieneś wysyłać raporty DMARC Policy Override?

DMARC Policy Overrides najczęściej mają miejsce, gdy:

  • heurystyka odbiorcy identyfikuje wiadomość, która nie przeszła uwierzytelnienia, ale mogła zostać wysłana przez autoryzowane źródło.
  • dostawca skrzynki pocztowej ma wiadomość, która nie przeszła pomyślnie testu DMARC z powodu przekierowanie poczty ale są wystarczająco pewni jej legalności, mogą unieważnić politykę i dostarczyć ją mimo wszystko.

Chociaż DMARC Policy Overrides są dopuszczalne, sekcje 6 i 7.2 RFC 7489 stwierdzają, że kiedy odbiorca zdecyduje się na odstępstwo od opublikowanej polityki właściciela domeny, musi zgłosić ten fakt, jak również powody, dla których to zrobił (używając formatu zbiorczego raportowania zwrotnego) z powrotem do właściciela domeny.

Jak dopuszczalne jest nadpisywanie polityki DMARC?

DMARC składa się z dwóch części:

Polityka DMARC - Jest ona ustawiana przez organizację wysyłającą (na publicznym DNS organizacji wysyłającej wraz z SPF i DKIM) i określa jak strona odbierająca powinna postępować z wiadomościami, które nie są zgodne z jej polityką.

Weryfikacja DMARC - Jest ona używana przez organizację odbierającą (na bramie bezpieczeństwa poczty elektronicznej organizacji odbierającej) i sprawdza każdą wiadomość otrzymaną od danej organizacji pod kątem polityk wymienionych w rekordach DMARC tej firmy. Jednak możliwość nadpisania egzekwowania polityki DMARC przez organizację wysyłającą dotyczy również organizacji odbierających.

Konfiguracja polityki DMARC jest "PROŚBĄ, A NIE OBOWIĄZKIEM": zasadniczo oznacza to, że. 'prośba' serwery pocztowe o wskazanie, jak powinny obsługiwać wiadomości e-mail wysyłane z Twojej domeny lub podszywające się pod nią.

Odbiorcy wiadomości e-mail nie są jednak zobowiązani do przestrzegania ścisłego zestawu wytycznych podczas przetwarzania przychodzących wiadomości e-mail. Mogą oni opracować własne zasady dotyczące wiadomości, które akceptują lub odrzucają i odpowiednio stosować te standardy.

Na przykład, jeśli odbiorca wiadomości e-mail uzna ją za ważną. Jeśli więc wiadomość e-mail nie przejdzie kontroli DMARC, odbiorca może nadal stosować swoją lokalną politykę i dostarczyć ją do skrzynek odbiorczych. Ponadto, polityka odbiorcy poczty może zastąpić politykę właściciela domeny.

Jak organizacja otrzymująca może zastąpić moją politykę DMARC?

Inne organizacje mogą nadpisać Twoją konfigurację polityki DMARC przez własne narzędzia weryfikacji DMARC i zdecydować o własnym zestawie polityk, jak postępować z przychodzącymi wiadomościami. W zależności od systemu, użytkownik z uprawnieniami administratora może być w stanie nadpisać wszystkie domeny lub tylko niektóre.

Należy zauważyć, że polityki DMARC są ustawiane przez właściciela domeny, a każda polityka ma zastosowanie tylko do domen tej organizacji. Tak więc polityka DMARC nie może wpływać na adresy innych organizacji lub ich wiadomości.

DMARC Policy Failure vs DMARC Policy Overrides: What's the difference?

Błąd DMARC to sytuacja, w której serwer pocztowy nie implementuje poprawnie DMARC, co prowadzi do niepowodzenia weryfikacji SPF i DKIM po stronie odbiorcy. Niezdolność do zweryfikowania Twojej legitymacji może doprowadzić do tego, że skrzynki odbiorcze będą oznaczać Cię jako spam lub odrzucać Twoje wiadomości. W tym przypadku serwer pocztowy odbierający wiadomości honoruje politykę nadawcy i nie zastępuje jej swoją lokalną polityką.

Nadpisywanie polityki DMARC ma miejsce wtedy, gdy otrzymujący serwer pocztowy nie honoruje polityki nadawcy. Zamiast tego, zastępuje politykę DMARC nadawcy swoją lokalną polityką. Oznacza to, że jeśli wiadomość od nadawcy ma ścisłą politykę p=reject bez weryfikacji SPF lub DKIM, poczta odbierająca nadpisze tę politykę i mimo wszystko dostarczy wiadomość do skrzynki odbiorczej.

Utrzymuj prawidłowe śledzenie nadpisów polityki DMARC z PowerDMARC

Bycie na bieżąco z polityką DMARC jest krytyczną częścią zapobiegania spoofingowi i podszywaniu się pod email. Jednak większość organizacji nie ma czasu ani środków, aby śledzić nadpisywanie zasad DMARC.

Nie możesz zatrzymać nadpisywania polityki DMARC, ale możesz je śledzić dzięki naszej usłudze DMARC. Dostarczymy Ci kompletne raporty na temat tego, które organizacje nadpisują Twój tryb polityki i jakiego typu wiadomości od których i które maile były dozwolone po stronie odbiorcy. Pomoże to nadawcy śledzić i podjąć wszelkie niezbędne działania w przypadku wykrycia spoofingu lub podszywania się.

Zapisz się do Darmowa próba DMARC już dziś i przetestuj to sam!

Latest posts by Ahona Rudra (zobacz wszystkie)