Wyjaśnienie DMARC RFC: Podstawowy standard nowoczesnego uwierzytelniania poczty elektronicznej

DMARC (Domain-based Message Authentication Reporting and Conformance) to protokół uwierzytelniania wiadomości e-mail, który został określony w RFC 7489 (Informational); jego następca, projekt IETF DMARCbis, aktualizuje i wyjaśnia protokół i ma na celu zastąpienie RFC 7489. 

DMARC opiera się na SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) w celu ochrony domen e-mail przed spoofingiem, phishingiem i nieautoryzowanym użyciem. Publikując politykę DMARC w DNS, właściciele domen instruują odbierające serwery pocztowe, jak postępować z wiadomościami, które nie przejdą pomyślnie kontroli uwierzytelniania. Ta techniczna podstawa sprawia, że DMARC jest kamieniem węgielnym nowoczesnego bezpieczeństwa i zaufania poczty elektronicznej.

Co to jest DMARC RFC?

IETF opublikował DMARC jako RFC 7489 (Informational) w marcu 2015 roku. Określa on, w jaki sposób właściciele domen mogą publikować polityki DNS mówiące odbiorcom, co mają robić, gdy wiadomość nie przejdzie oceny DMARC.

Protokół został pierwotnie opracowany przez konsorcjum branżowe, w skład którego wchodziły firmy Google, Microsoft, Yahoo, PayPal i inne, pracujące pod szyldem DMARC.org. Ich celem było ograniczenie oszustw związanych z pocztą elektroniczną poprzez stworzenie wspólnego sposobu sygnalizowania i egzekwowania uwierzytelniania na poziomie domeny; praca ta została później przekazana do IETFktóra opublikowała ją jako RFC 7489. Chociaż RFC 7489 jest raczej dokumentem informacyjnym RFC niż dokumentem Standards Track, stał się on de facto punktem odniesienia dla implementacji DMARC.

Co zawiera dokument RFC 7489?

RFC 7489 definiuje kompletne ramy dla DMARC. Chociaż sam dokument ma charakter techniczny, jego główne cele są proste:

Zapewnienie mechanizmu polityki

Dzięki DMARC właściciele domen mogą publikować jasne zasady, które mówią odbiorcom, co mają robić z wiadomościami e-mail, które nie przejdą kontroli uwierzytelniania.

Korzyści z kompleksowej sprawozdawczości 

DMARC jest również protokołem raportującym. Oznacza to, że właściciele domen mogą uzyskać dane o tym, które wiadomości e-mail przechodzą uwierzytelnianie, a które nie. Pomaga im to odróżnić legalne wiadomości e-mail od złośliwych.

Ograniczenie oszustw e-mailowych

DMARC sprawdza, czy domena RFC5322.From jest zgodna z identyfikatorami uwierzytelnionymi za pomocą SPF lub DKIM. Łagodzi to bezpośredni spoofing domen; nie zapobiega domenom typu look-alike lub oszustwom związanym z wyświetlaniem nazw i może mieć wpływ na pośrednie przepływy poczty. 

Opieranie się na istniejących standardach

DMARC wykorzystuje wyniki SPF i/lub DKIM i dodaje wyrównanie identyfikatorów, politykę (p=) i raportowanie (rua/ruf). 

Techniczny podział wymagań

DMARC ocenia dopasowanie i stosuje politykę. Co najważniejsze, dodaje nowy ważny wymóg: wyrównanie identyfikatorów.

Jak DMARC wykorzystuje wyniki SPF i DKIM

DMARC nie tylko sprawdza, czy SPF lub DKIM przeszły pomyślnie; wymaga dostosowania identyfikatora do domeny RFC5322.From.

Wyrównanie SPF

DMARC używa uwierzytelnionej SPF domeny RFC5321.MailFrom (lub HELO) i wymaga, aby była ona zgodna z domeną RFC5322.From. Musi to być co najmniej dopasowanie organizacyjne w trybie zrelaksowanym (aspf=r, domyślnie) lub dokładne dopasowanie w trybie ścisłym (aspf=s).

Wyrównanie DKIM

DMARC używa domeny DKIM d= i wymaga, aby była ona zgodna z domeną RFC5322.From. Musi być co najmniej organizacyjne w trybie zrelaksowanym (adkim=r, domyślnie) lub dokładne dopasowanie w trybie ścisłym (adkim=s).

Ten wymóg dostosowania jest supermocą DMARC. Bezpośrednio łączy wyniki uwierzytelniania z widoczną domeną marki, co zamyka lukę, którą wcześniej wykorzystywali atakujący.

Tryby polityki (p=)

Rekord DMARC określa jedną z trzech zasad, które odbiorcy powinni stosować, gdy wiadomość e-mail nie przejdzie pomyślnie kontroli DMARC:

• p=none: tylko monitor; żądaj raportów.
• p=kwarantanna: sygnał, że nieudana poczta jest podejrzana (typowa obsługa: spam/śmieci).
• p=reject: silny sygnał, że nieudana poczta powinna zostać odrzucona. Podczas gdy RFC zezwala na lokalne wyjątki od polityki (np. dla znanych dobrych nadawców), główni dostawcy zazwyczaj honorują tę politykę ściśle dla nieuwierzytelnionych prób spoof.

Funkcje raportowania (RUA i RUF)

DMARC dostarcza użytecznych informacji zwrotnych poprzez dwa rodzaje raportów:

Raporty zbiorcze (RUA)

Raporty RUA to nadające się do odczytu maszynowego podsumowania XML (zazwyczaj codzienne) wyników DMARC. Zawierają one dane takie jak adres IP wysyłającego, wyniki SPF/DKIM, szczegóły wyrównania i liczbę wiadomości. Jednakże, te surowe pliki XML nie są łatwe do odczytania przez człowieka i są trudne do ręcznej analizy bez specjalistycznych narzędzi. Raport PowerDMARC DMARC Report Analyzer automatyzuje ten proces i przekształca złożone dane w intuicyjne wykresy i grafy.

Raporty o błędach specyficznych dla wiadomości (RUF, często nazywane "kryminalistycznymi")

Są one opcjonalne i rzadko wysyłane ze względu na ochronę prywatności. Wielu odbiorców je redaguje lub wyłącza. DMARCbis dokumentuje te obawy i odwołuje się do oddzielnego projektu raportowania błędów, coraz bardziej rezygnując z raportów RUF.

DMARCbis i nadchodzące zmiany

Standardy technologiczne szybko się zmieniają, a DMARC nie jest wyjątkiem. DMARCbis to nadchodząca zaktualizowana specyfikacja protokołu DMARC, sformalizowana przez IETF. Została ona zainspirowana wnioskami wyciągniętymi w ciągu ostatnich kilku lat i ma na celu przekształcenie DMARC z "informacyjnego" RFC w formalny "proponowany standard". 

Nie należy tego traktować jako rewolucji lub porzucenia DMARC, ale jako ewolucję. Kluczowe zmiany i wyjaśnienia w DMARCbis obejmują:

p=kwarantanna Zachowanie

DMARCbis wyjaśnia semantykę kwarantanny i wytyczne dla odbiorcy, ale nadal pozwala odbiorcy na dowolność. 

Nowe warunki i restrukturyzacja

Oparty na oryginalnym RFC 7489, DMARCbis został zrestrukturyzowany i jest teraz łatwiejszy do odczytania dla przeciętnego użytkownika.

Specyfikacja jest obecnie podzielona na trzy oddzielne dokumenty (RFC). Obejmują one: 

• Dokument główny dokument
• Raportowanie raportowanie zbiorcze specyfikacja
• Zgłoszenie raportowanie awarii specyfikacja

Niektóre terminy i zwroty zostały również zmienione dla większej przejrzystości, na przykład:

• "Odbiorca raportu" zamiast "konsument raportu"
• "Polityka oceny właściciela domeny" zamiast "Polityka DMARC"
• "Egzekwowanie" dla p=kwarantanna i p=odrzucenie
• Tryb "monitorowania" dla p=brak

Problemy z raportowaniem

Przekazywanie może naruszać SPF, podczas gdy listy mailingowe często naruszają DKIM. DMARCbis odradza teraz stosowanie polityki p=reject, jeśli listy mailingowe są częstymi odbiorcami. 

Wprowadzane są również zasady sprawozdawczości zbiorczej bardziej rygorystycznea format raportu XML został zaktualizowany w celu odzwierciedlenia nowych znaczników.

Zniechęcanie do RUF

DMARCbis odradza korzystanie z raportów RUF ze względu na obawy o prywatność i odnosi się do raportowania awarii w oddzielnym projekcie.

DNS Tree Walk

Oryginalna metoda określania domeny organizacyjnej opierała się w dużej mierze na publicznej liście sufiksów (PSL), która mogła być niekompletna. DMARCbis formalnie określa bardziej elastyczny i niezawodny algorytm "DNS Tree Walk" do wykrywania odpowiedniej polityki DMARC.

Nowe i usunięte tagi rekordów DMARC

Niektóre tagi DMARC, takie jak "pct", "rf" i "ri" są całkowicie usuwane. Zamiast tego dodawane są nowe tagi rekordów DMARC, takie jak "np", "psd" i "t". 

Znaczenie dla organizacji

Zrozumienie DMARC RFC może pomóc organizacjom na kilka sposobów, w tym:

Zwiększona zgodność

Google, Yahoo, Microsoft i Apple Mail wymagają teraz nadawców masowych publikowania rekordu DMARC wraz z innymi kontrolami (SPF/DKIM, wyrównanie, niski poziom spamu itp.). Niezgodność może poważnie wpłynąć na dostarczalność wiadomości e-mail.

Unikanie błędnych konfiguracji

Niezrozumienie podstawowych pojęć RFC, zwłaszcza wyrównania, może prowadzić do blokowania legalnych wiadomości e-mail. Znajomość RFC 7489 może pomóc w rozwiązywaniu problemów i prawidłowej konfiguracji zasad od samego początku. 

Aby zapobiec błędom, można również użyć Generator rekordów DMARC aby stworzyć prawidłową politykę. Jeśli masz już rekord i chcesz go tylko sprawdzić, możesz użyć narzędzia PowerDMARC DMARC Record Checker aby upewnić się, że został on poprawnie opublikowany przed przejściem do polityki egzekwowania.

Wiele korzyści związanych z bezpieczeństwem 

Prawidłowo egzekwowana polityka DMARC przy p=reject jest jedną z najskuteczniejszych metod obrony przed bezpośrednim spoofingiem domen, który jest głównym czynnikiem powodującym Business Email Compromise i wiele ataków phishingowych. Wdrażając DMARC, możesz chronić swoich pracowników, klientów i reputację marki przed szerokim zakresem oszustw związanych z pocztą elektroniczną.

Podsumowanie

DMARC RFC zapewnia silne fundamentalne ramy dla ochrony domen przed oszustwami związanymi z pocztą elektroniczną. Określa on proste, jasne standardy i wytyczne dotyczące konfiguracji i egzekwowania DMARC. Ścisłe przestrzeganie zasad zawartych w DMARC RFC może poprawić bezpieczeństwo poczty elektronicznej, chronić reputację marki i zwiększyć dostarczalność. 

Jeszcze lepsze jest to, że skuteczne wdrażanie i zarządzanie DMARC nie musi być procesem ręcznym. Platforma PowerDMARC upraszcza całą podróż, od szybkiej konfiguracji po dokładne monitorowanie i egzekwowanie. 

Skontaktuj się z PowerDMARC już dziś i pozwól ekspertom fachowo zadbać o Twoje bezpieczeństwo poczty elektronicznej!

Najczęściej zadawane pytania

Kiedy opublikowano dokument RFC 7489?

RFC 7489 został opublikowany w marcu 2015 roku.

Kto może korzystać z DMARC?

Każda organizacja lub osoba fizyczna, która wysyła wiadomości e-mail z domeny, może i powinna korzystać z DMARC. Nie ma żadnych opłat licencyjnych ani ograniczeń, co czyni go dostępnym standardem dla każdego, aby chronić swoją domenę przed spoofingiem.

Dlaczego główni dostawcy poczty e-mail wymagają DMARC dla nadawców masowych?

Przeciętny użytkownik zazwyczaj nie jest w stanie zrozumieć, czy dana wiadomość lub e-mail jest prawdziwa, czy fałszywa. Dlatego dostawcy skrzynek pocztowych muszą uważać na to, które wiadomości e-mail trafiają do głównej skrzynki odbiorczej. DMARC pomaga rozwiązać ten problem. Umożliwia zarówno nadawcom, odbiorcom, jak i dostawcom skrzynek pocztowych współpracę w celu zwalczania oszustw związanych z pocztą elektroniczną. Od lutego 2024 r. Google/Yahoo wymagają uwierzytelniania SPF lub DKIM, DMARC z p=none lub silniejszym, niskiego wskaźnika skarg na spam i wyrównania RFC5322.From.

Czy istnieją narzędzia ułatwiające konfigurację i egzekwowanie DMARC?

PowerDMARC oferuje wiele takich narzędzi i usług, w tym generator DMARC, narzędzie sprawdzające, usługi hostowane i wiele więcej!

• O
• Latest Posts

Ayan Bhuiya

Kierownik zmiany, ekspert ds. infrastruktury i bezpieczeństwa poczty elektronicznej w PowerDMARC

Z ponad 13-letnim doświadczeniem w cyberbezpieczeństwie, Ayan Bhuiya specjalizuje się w infrastrukturze, ciągłości działania, zarządzaniu ryzykiem i bezpieczeństwie poczty elektronicznej. Obecnie pełni funkcję Shift Lead w PowerDMARC. Posiada dyplom ukończenia studiów podyplomowych w zakresie sieci i bezpieczeństwa oraz udokumentowane doświadczenie w prowadzeniu strategicznych inicjatyw w zakresie bezpieczeństwa w celu łagodzenia zagrożeń i zapewnienia odporności biznesowej.

Najnowsze posty autorstwa Ayan Bhuiya (zobacz wszystkie)

• 6 sposobów, w jakie naruszenie bezpieczeństwa danych osobowych może zagrozić bezpieczeństwu Twojej firmy - 1 kwietnia 2026 r.
• Dyrektywa NIS2: Czym jest, wymagania, terminy i jak zapewnić zgodność - 26 marca 2026 r.
• Essential Eight kontra SMB 1001: kompleksowe porównanie dla współczesnego australijskiego cyberbezpieczeństwa – 12 lutego 2026 r.