DMARC Policy Overrides: Explained
Czas odczytu: 7 min
W tym artykule szczegółowo wyjaśniono, czym są nadpisania polityki DMARC, jak działają, jaka jest różnica między nadpisaniem polityki DMARC a błędem polityki DMARC oraz czy nadpisywanie rekordów DMARC jest legalne czy nie.
Kluczowe wnioski
- Zastąpienia polityki DMARC występują, gdy serwer odbierający wiadomości e-mail nie honoruje określonych przez nadawcę zasad DMARC.
- Odbierający serwer pocztowy może mieć własne zasady, które mogą prowadzić do zastąpienia bardziej rygorystycznych ustawień DMARC nadawcy.
- Specyfikacja DMARC zachęca odbiorców poczty do przestrzegania zasad DMARC właściciela domeny w najlepszy możliwy sposób.
- Zastąpienia są dopuszczalne zgodnie z RFC 7489, ale są sprzeczne z zamierzonym duchem DMARC.
- Dla nadawców ważne jest śledzenie nadpisań polityki DMARC, aby zapobiec spoofingowi wiadomości e-mail i zachować bezpieczeństwo.
DMARC Policy Overrides: Explained
Nadpisanie polityki DMARC ma miejsce, gdy serwer odbierający pocztę nadpisuje politykę DMARC który został ustawiony przez nadawcę. Ma to miejsce, gdy nadawca określił, że chce, aby jego wiadomość została odrzucona, jeśli nie pasuje do polityki serwera poczty przychodzącej, ale odbierający serwer poczty decyduje, że nie jest to odpowiednie dla jego własnego zestawu zasad.
Na przykład, jeśli nadawca określił ścisłą politykę (np. "p=reject all mail without SPF or DKIM"), a serwer odbierający pocztę ma luźną lub luźną politykę (np. "accept all mail without SPF or DKIM"). W takiej sytuacji serwer odbierający może nadpisać ustawienia polityki DMARC nadawcy swoją własną lokalną polityką i dostarczyć wiadomość do skrzynki odbiorczej odbiorcy, nawet jeśli nie przejdzie ona kontroli DMARC.
Uprość politykę DMARC dzięki PowerDMARC!
Zrozumienie mechanizmu zastępowania polityki DMARC
DMARC jest używany do przekazywania ustawień polityki, które odbiorcy poczty mogą wykorzystać do egzekwowania wobec wiadomości e-mail wysyłanych z Twojej domeny.
Na przykład, możesz użyć polityki dla DMARC, aby powiedzieć serwerowi pocztowemu odbiorcy, co powinien zrobić (p=reject lub p=none lub p=quarantine), jeśli sprawdzenie SPF lub DKIM nie powiedzie się w wiadomościach e-mail wysłanych z Twojej domeny.
To dość mocno podsumowuje moc DMARC, prawda?
Ale co w przypadku, gdy otrzymujący serwer pocztowy ma swój własny zestaw lokalnych zasad traktowania otrzymywanych e-maili? Czy będzie przestrzegał zasad DMARC ustalonych przez nadawcę, czy też będzie zastępował zasady nadawcy swoimi własnymi zasadami?
Cóż...
Specyfikacja DMARC wymaga od odbiorców poczty, aby w dobrej wierze starali się przestrzegać zasad DMARC opublikowanych przez właścicieli domen. Więc jeśli test SPF, DKIM i nagłówka From nadawcy nie powiedzie się w wiadomości, to powinno to spowodować to co jest określone w polityce DMARC nadawcy (p) jak kwarantanna, odrzucenie lub NONE.
Załóżmy teraz, że sytuacja wygląda tak:
➜ Twoja domena (mypersonaldomain.org) posiada politykę DMARC (p=none).
Serwer e-mail uruchomiony przez odbiorcę (ichdomena.org) odrzuca wszystkie wiadomości, które nie przejdą kontroli SPF. Oznacza to, że jeśli wiadomość e-mail wysłana do (theirdomain.org) nie przejdzie kontroli SPF, zostanie odrzucona. Prawda?
Ale...
Co się stanie, jeśli email z Twojej domeny (mypersonaldomain.org) z polityką DMARC p=none zostanie odebrany na somedomain.org i nie przejdzie kontroli SPF?
W tym przypadku, to od serwera odbierającego pocztę będzie zależało (jak jest skonfigurowany), czy zgodzi się z polityką DMARC ustawioną przez nadawcę LUB odrzuci wiadomość e-mail, zastępując politykę nadawcy regułami zdefiniowanymi w lokalnej polityce p=odrzuć przy niepowodzeniu sprawdzenia SPF.
Microsoft 365 jest tego przykładem w czasie rzeczywistym, ponieważ wysyła wszystkie wiadomości p=reject do folderu śmieci/spamu użytkownika zamiast je odrzucać. Dzieje się tak, ponieważ O365 uważa, że dobrze jest, aby odbiorca podjął ostateczną decyzję o ostatecznej dyspozycji.
Pięć wartości nadpisywania polityki DMARC
przekazana - E-mail został prawdopodobnie przekazany dalej, na podstawie lokalnych algorytmów, które zidentyfikowały wzorce przekazywania. Można się spodziewać, że uwierzytelnianie nie powiedzie się.
local_policy - lokalna polityka odbiorcy poczty wyłączyła email z poddania go akcji żądanej przez właściciela domeny. Na przykład, gdy żądana polityka jest ustawiona na "odrzuć", ale kontrola ARC przeszła, odbiorca poczty może unieważnić tę decyzję i wybrać, aby nie odrzucać wiadomości.
| Co to jest ARC?
ARC oznacza Autentyczny łańcuch otrzymany (ARC). Dzięki ARC protokoły DKIM i SPF nie będą już łamane przez forwardy czy listy mailingowe. Dzieje się tak dlatego, że ARC zachowuje wyniki uwierzytelniania wiadomości e-mail przez routery, pośredników i inne systemy ("hops"), które mogą modyfikować wiadomość podczas jej przechodzenia z jednego węzła w Internecie do drugiego. Jeśli więc łańcuch ARC był obecny, serwer pocztowy, który w przeciwnym razie odrzuciłby wiadomości, może zdecydować się na ocenę wyników testów i zrobić wyjątek, pozwalając legalnym wiadomościom z tych pośrednich przepływów poczty dotrzeć do celu. |
mailing_list - E-mail został wysłany z listy mailingowej, więc program filtrujący uznał, że prawdopodobnie nie jest on legalny.
sampled_out - Wiadomość nie miała zastosowania do polityki, ponieważ jej ustawienie "pct" zostało ustawione w rekordzie DMARC.
trusted_forwarder - Awaria została przewidziana przez dowody, które powiązały wiadomość e-mail z lokalnie utrzymywaną listą zaufanych przekierowań.
inne - Niektóre polisy zawierały wyjątki, które nie zostały uwzględnione w innych pozycjach na liście.
DMARC Policy Overriding: Czy jest to dopuszczalne?
Sekcja 6 RFC 7489 mówi, że serwery pocztowe powinny honorować i obsługiwać wiadomości zgodnie z polityką nadawcy. Chociaż nadpisywanie jest sprzeczne z duchem DMARC, dostawcy skrzynek pocztowych zastrzegają sobie prawo do nadpisywania dowolnej polityki nadawcy. Więc tak, jest to dopuszczalne, aby serwer odbierający nadpisał politykę DMARC swoją lokalną polityką.
Oznacza to, że serwer pocztowy mógł dostarczyć sfałszowaną wiadomość, mimo że polityka, której miał przestrzegać, mówiła inaczej.
Czy powinieneś wysyłać raporty DMARC Policy Override?
DMARC Policy Overrides najczęściej mają miejsce, gdy:
- heurystyka odbiorcy identyfikuje wiadomość, która nie przeszła uwierzytelnienia, ale mogła zostać wysłana przez autoryzowane źródło.
- dostawca skrzynki pocztowej ma wiadomość, która nie przeszła pomyślnie testu DMARC z powodu przekierowanie poczty ale są wystarczająco pewni jej legalności, mogą unieważnić politykę i dostarczyć ją mimo wszystko.
Chociaż DMARC Policy Overrides są dopuszczalne, sekcje 6 i 7.2 RFC 7489 stwierdzają, że kiedy odbiorca zdecyduje się na odstępstwo od opublikowanej polityki właściciela domeny, musi zgłosić ten fakt, jak również powody, dla których to zrobił (używając formatu zbiorczego raportowania zwrotnego) z powrotem do właściciela domeny.
Jak dopuszczalne jest nadpisywanie polityki DMARC?
DMARC składa się z dwóch części:
Polityka DMARC - Jest ona konfigurowana przez organizację wysyłającą (na publicznym DNS organizacji wysyłającej wraz z SPF i DKIM) i określa, w jaki sposób strona odbierająca powinna obsługiwać wiadomości, które nie są zgodne z jej polityką.
Weryfikacja DMARC - Jest ona używana przez organizację odbierającą (na bramie bezpieczeństwa poczty elektronicznej organizacji odbierającej) i sprawdza każdą wiadomość otrzymaną od danej organizacji pod kątem zasad wymienionych w rekordach DMARC tej firmy. Jednak możliwość zastąpienia egzekwowania polityki DMARC organizacji wysyłającej jest również prawdziwa dla organizacji odbierających.
Konfiguracja polityki DMARC jest "PROŚBĄ, A NIE OBOWIĄZKIEM": zasadniczo oznacza to, że. 'prośba' serwery pocztowe o wskazanie, jak powinny obsługiwać wiadomości e-mail wysyłane z Twojej domeny lub podszywające się pod nią.
Odbiorcy wiadomości e-mail nie są jednak zobowiązani do przestrzegania ścisłego zestawu wytycznych podczas przetwarzania przychodzących wiadomości e-mail. Mogą oni opracować własne zasady dotyczące wiadomości, które akceptują lub odrzucają i odpowiednio stosować te standardy.
Na przykład, jeśli odbiorca poczty elektronicznej uzna wiadomość za ważną. Jeśli więc wiadomość e-mail nie przejdzie pomyślnie kontroli DMARC, odbiorca może nadal stosować swoją lokalną politykę i dostarczyć ją do skrzynek odbiorczych. Ponadto, polityka odbiorcy wiadomości e-mail może zastąpić politykę właściciela domeny.
Jak organizacja otrzymująca może zastąpić moją politykę DMARC?
Inne organizacje mogą nadpisać Twoją konfigurację polityki DMARC przez własne narzędzia weryfikacji DMARC i zdecydować o własnym zestawie polityk, jak postępować z przychodzącymi wiadomościami. W zależności od systemu, użytkownik z uprawnieniami administratora może być w stanie nadpisać wszystkie domeny lub tylko niektóre.
Należy zauważyć, że polityki DMARC są ustawiane przez właściciela domeny, a każda polityka ma zastosowanie tylko do domen tej organizacji. Tak więc polityka DMARC nie może wpływać na adresy innych organizacji lub ich wiadomości.
DMARC Policy Failure vs DMARC Policy Overrides: What's the difference?
Błąd DMARC to sytuacja, w której serwer pocztowy nie implementuje poprawnie DMARC, co prowadzi do niepowodzenia weryfikacji SPF i DKIM po stronie odbiorcy. Niezdolność do zweryfikowania Twojej legitymacji może doprowadzić do tego, że skrzynki odbiorcze będą oznaczać Cię jako spam lub odrzucać Twoje wiadomości. W tym przypadku serwer pocztowy odbierający wiadomości honoruje politykę nadawcy i nie zastępuje jej swoją lokalną polityką.
Nadpisywanie polityki DMARC ma miejsce wtedy, gdy otrzymujący serwer pocztowy nie honoruje polityki nadawcy. Zamiast tego, zastępuje politykę DMARC nadawcy swoją lokalną polityką. Oznacza to, że jeśli wiadomość od nadawcy ma ścisłą politykę p=reject bez weryfikacji SPF lub DKIM, poczta odbierająca nadpisze tę politykę i mimo wszystko dostarczy wiadomość do skrzynki odbiorczej.
Utrzymuj prawidłowe śledzenie nadpisów polityki DMARC z PowerDMARC
Bycie na bieżąco z polityką DMARC jest krytyczną częścią zapobiegania spoofingowi i podszywaniu się pod email. Jednak większość organizacji nie ma czasu ani środków, aby śledzić nadpisywanie zasad DMARC.
Nie można zatrzymać nadpisywania polityki DMARC, ale można je śledzić dzięki naszej usłudze DMARC. Dostarczymy Ci kompletne raporty o tym, które organizacje nadpisują Twój tryb polityki i jakiego typu wiadomości od których i które e-maile były dozwolone po stronie odbiorcy. Pomoże to nadawcy śledzić i podjąć wszelkie niezbędne działania w przypadku wykrycia spoofingu lub podszywania się.
Zapisz się do Darmowa próba DMARC już dziś i przetestuj to sam!
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Wyjaśnienie DMARCbis - co się zmienia i jak się przygotować - 19 maja 2025 r.
- Czym jest BIMI? Kompletny przewodnik po wymaganiach i konfiguracji logo BIMI - 21 kwietnia 2025 r.
- Zasady masowego wysyłania wiadomości e-mail dla Google, Yahoo, Microsoft i Apple iCloud Mail - 14 kwietnia 2025 r.
