Czy mogę skonfigurować DMARC bez DKIM?

Ahona Rudra

2 lata temu

Czas czytania: 6 min

Odpowiedź brzmi: tak, można skonfigurować DMARC bez DKIM.

Czy jednak jest to dobry pomysł?

W tym artykule przeanalizowano to pytanie. Omówiono też konsekwencje konfiguracji DMARC bez DKIM.

Zrozumienie standardów uwierzytelniania DMARC

DMARC to protokół, który umożliwia uwierzytelnianie wiadomości e-mail pochodzących z domeny użytkownika. Wykorzystuje on zestaw reguł do określenia, czy wiadomość e-mail jest zgodna z prawem, czy nie.

SPF i DKIM to dwa inne protokoły, które są wykorzystywane do uwierzytelniania w kontekście DMARC.

SPF jest skrótem od Sender Policy Framework - określa on sposób, w jaki dostawcy poczty mogą weryfikować tożsamość nadawców i blokować wiadomości spam.

DKIM jest skrótem od DomainKeys Identified Mail - działa poprzez szyfrowanie wiadomości w momencie jej wysyłania, a następnie użycie kryptografii klucza publicznego do ponownego jej podpisania, gdy dotrze do serwera docelowego.

DMARC, SPF i DKIM - tworzą razem trzy filary uwierzytelniania poczty elektronicznej. Gwarantują one, że wiadomości e-mail nie zostaną sfałszowane, zmanipulowane lub zhakowane przez osoby trzecie.

Algorytm oceny DMARC

Algorytm oceny DMARC to wartość logiczna, która bierze pod uwagę wyniki uwierzytelniania SPF i DKIM. Następnie określa, czy zaakceptować wiadomość e-mail jako zgodną z prawem, czy też nie.

Wynik jest uzależniony od dwóch możliwych rezultatów:

1. Pass: Wiadomość przechodzi oba uwierzytelnienia SPF i DKIM LUB tylko jedno z nich. Jest więc uważana za czystą. I dlatego jest akceptowana przez serwer odbiorczy.

Aby ująć algorytm uwierzytelniania "pass" w proste równania:

Przepustka uwierzytelniająca DMARC = rekord SPF z prawidłowym wyrównaniem identyfikatora SPF +/lub rekord DKIM z prawidłowym wyrównaniem identyfikatora DKIM

LUB (w przypadku braku DKIM)

DMARC authentication pass = rekord SPF z ważnym wyrównaniem identyfikatora SPF

LUB (w przypadku braku SPF)

Przepustka uwierzytelniająca DMARC = rekord DKIM z ważnym wyrównaniem identyfikatora DKIM

2. Fail: Wiadomość nie przeszła pomyślnie obu kontroli uwierzytelniania SPF i DKIM, co oznacza, że jest albo źle sformatowana, albo zawiera złośliwą treść.

Czy mogę skonfigurować DMARC bez DKIM?

Protokół DMARC działa prawidłowo w trzech następujących scenariuszach:

są tam zarówno prawidłowe SPF, jak i DKIM
istnieje prawidłowy SPF bez DKIM
istnieje prawidłowy DKIM bez SPF

Więc tak, możesz skonfigurować DMARC bez DKIM.

DMARC opiera się na SPF i DKIM do celów uwierzytelniania, ale są to technologie ortogonalne.

W ogólnym sensie SPF jest mechanizmem "autoryzacji ścieżki", co oznacza, że zezwala IP na wysyłanie wiadomości w imieniu danej domeny. Z kolei DKIM jest mechanizmem "integralności treści", co oznacza, że zapewnia, iż wysyłane wiadomości nie ulegną zmianie po dotarciu do serwera.

Oznacza to, że ich skuteczność nie zależy od siebie nawzajem; można je stosować równolegle, a nawet niezależnie od siebie.

Jednak zaleca się używanie zarówno SPF jak i DKIM razem z DMARC, ponieważ współpracują one ze sobą w celu zapewnienia bardziej solidnych możliwości uwierzytelniania DMARC. DMARC bez DKIM, choć możliwy, nie jest zalecaną praktyką.

Jak klienci poczty elektronicznej traktują wiadomości e-mail bez DKIM?

Większość klientów poczty elektronicznej traktuje wiadomości e-mail, które nie mają DKIM, jako spam.

W niektórych przypadkach może to spowodować oflagowanie wiadomości przez serwer poczty elektronicznej odbiorcy i oznaczenie jej jako spam.

Niektórzy dostawcy usług poczty elektronicznej mogą również pokazywać odbiorcom wiadomości jako pochodzące z innej domeny niż zamierzano.

Na przykład w programach Outlook i Gmail wiadomość e-mail bez DKIM będzie wyświetlana w skrzynce odbiorcy z prawidłowym adresem FROM, ale "wysłana przez" lub "za pośrednictwem" kogoś innego.

Może to być mylące dla odbiorców, a nawet może sprawić, że uznają oni, iż to ktoś inny wysłał im wiadomość, a nie Ty.

Przykład #1 (Outlook)

Rys.1 Bez DKIM: Outlook pokazuje w skrzynce odbiorczej adres "wysłane przez".

Rys.2 Z DKIM: Outlook pokazuje tylko adres FROM.

Przykład #2 (Gmail)

Rys.3 Bez DKIM: Gmail pokazuje w skrzynce odbiorczej adres "via".

Rys.4 Z DKIM: Gmail pokazuje tylko adres FROM.

Jeśli jednak DKIM jest obecny w wiadomości e-mail, wyżej wymienione problemy raczej nie wystąpią. Serwer wysyłający nie jest już widoczny na ekranie klienta, więc istnieje mniejsze prawdopodobieństwo, że wiadomość trafi do folderów spamu lub wiadomości-śmieci. Jedyną informacją, jaką posiada serwer wysyłający, jest adres FROM - co oznacza wysoki współczynnik zaufania dla firm wysyłających, które poszukują klientów za pomocą strategii e-mail marketingowych.

Konsekwencje ustawienia DMARC z i DMARC bez DKIM

Skonfigurowanie protokołu DMARC z DKIM może zapobiec oznaczaniu wiadomości e-mail przez filtry antyspamowe i ich blokowaniu.

Jednak ustawienie DMARC bez DKIM może spowodować wzrost liczby fałszywych alarmów oraz opóźnienia, gdy odbiorca próbuje zweryfikować adres e-mail nadawcy.

W tej części przyjrzymy się niektórym możliwym konsekwencjom ustawienia DMARC z i DMARC bez DKIM.

1. Podczas sprawdzania zaufania do poczty elektronicznej

Przy zastosowaniu wyłącznie podejścia opartego na SPF ochrona DMARC byłaby ograniczona do niewidocznych adresów "nadawcy koperty" (MAIL FROM lub Return-path). Są one wykorzystywane do odbierania od nadawców wiadomości odbitych (raportów o niedostarczeniu przesyłki).

Jednak gdy DKIM jest połączony z SPF, ochrona DMARC jest włączona dla adresu "nagłówka Od:", jak również dla tych adresów, które są widoczne dla odbiorców. W ten sposób zapewnia się większe poczucie zaufania do poczty elektronicznej niż przy użyciu DMARC z samym SPF.

2. Przy przekazywaniu wiadomości e-mail

Uwierzytelnianie SPF działa w ten sposób, że wysyłasz e-mail zawierający Twój rekord SPF (adres IP serwera, z którego chcesz wysyłać e-maile) do innego serwera. Drugi serwer sprawdza, czy ten adres IP jest u niego zarejestrowany i odsyła swój własny rekord SPF - jeśli go nie ma, odrzuca żądanie.

W przypadku przekazywania poczty uwierzytelnianie SPF może zawieść, ponieważ nie ma gwarancji, że adres IP serwera pośredniczącego znajduje się na liście SPF dla domeny wysyłającej. W wyniku tego, legalna wiadomość e-mail bez podpisu DKIM nie przejdzie uwierzytelniania DMARC, co daje wynik fałszywie negatywny.

Gdyby w tej domenie skonfigurowano protokół DKIM, nie wystąpiłby wynik fałszywie ujemny.

Ale dlaczego?

Podpis DKIM (d=) jest dołączany do treści wiadomości e-mail, natomiast SPF jest dołączany do nagłówka "Return-Path".

W przypadku przekazywania wiadomości e-mail treść wiadomości nie jest dotykana ani modyfikowana, dlatego podpis DKIM (d=) zawarty w treści wiadomości e-mail pozostaje nienaruszony. Oznacza to, że tożsamość nadawcy można zweryfikować za pomocą pary kluczy publicznego i prywatnego zawartych w treści wiadomości e-mail, a uwierzytelnianie DMARC przebiega pomyślnie.

Z drugiej strony, SPF jest dołączany do nagłówka "Return-Path", który zmienia się w przypadku przekazywania poczty. Dlatego jego poprawność nie jest weryfikowana, co daje fałszywy wynik negatywny.

Podsumowując, uwierzytelnianie SPF zawodzi z powodu przekazywania wiadomości e-mail, ale DKIM przetrwa przekazywanie wiadomości e-mail, ponieważ jest dołączony do treści wiadomości e-mail. Dlatego ważne jest, aby skonfigurować DMARC również z DKIM.

3. Podczas aktualizacji adresu IP

Podczas wysyłania wiadomości e-mail serwer odbierający sprawdza nagłówek wiadomości, aby sprawdzić, czy nie został on zmodyfikowany. Jeśli tak, serwer odbierający odrzuca wiadomość i wysyła powiadomienie.

Tu właśnie wkracza SPF. SPF sprawdza, czy Twój adres IP znajduje się w rekordzie SPF serwera wysyłającego jako prawidłowy (innymi słowy, czy nie ma fałszywych adresów IP).

Jeśli zmieni się Twój adres IP, wtedy Twój rekord SPF musi zostać zaktualizowany o nowy adres. Czas potrzebny na to zależy od tego, jak często zmieniasz adres IP - w większości przypadków potrzeba do 48 godzin, aby nowy rekord SPF wszedł w życie.

Co się więc stanie, jeśli Twój dostawca poczty elektronicznej doda nowy adres IP do swojego zakresu? W takim przypadku dostarczenie wiadomości e-mail może się opóźnić ze względu na czas propagacji aktualizacji rekordu SPF.

Jednak po skonfigurowaniu zarówno DKIM, jak i SPF można obejść ten problem, używając podpisu kryptograficznego DKIM, aby udowodnić, że serwer pocztowy pod adresem sender@yourdomain.com był upoważniony do wysyłania wiadomości.

Oznacza to, że nawet jeśli zmieni się ich adres IP, DKIM nadal będzie w stanie zweryfikować, czy wiadomości e-mail pochodzące z określonych domen są autentyczne i zgodne z prawem.

Używanie DMARC bez DKIM: Możliwe scenariusze OK/FAIL

Gdy korzystasz z mechanizmów DKIM i SPF, używasz dwóch różnych narzędzi do osiągnięcia tego samego celu: zapobiegania spoofingowi.

Oba działają niezależnie od siebie, ale mogą również zawieść niezależnie od siebie. Na przykład SPF może zawieść niezależnie od DKIM, a DKIM może zawieść niezależnie od SPF.

Oto cztery możliwe scenariusze OK/FAIL konfigurowania protokołu DMARC bez lub z DKIM:

Scenariusz	Znaczenie	Stan dostarczania wiadomości e-mail
SPF ok, DKIM ok	Zapewnia to, że wiadomości e-mail są wysyłane z legalnego źródła. Serwer jest uprawniony do wysyłania poczty, ponieważ ma ważny rekord SPF i ważny podpis DKIM.	Dostarczane do skrzynki odbiorczej
SPF ok, DKIM nie działa	Oznacza to, że poczta została dostarczona przez autoryzowany serwer, ale weryfikacja podpisu DKIM nie powiodła się.	Dostarczono do folderu spamu lub wiadomości-śmieci
SPF nie powiodło się, DKIM ok.	Oznacza to, że podpis DKIM poczty jest ważny, ale serwer wysyłający nie ma uprawnień do dostarczenia poczty.	Dostarczono do folderu spamu lub wiadomości-śmieci
SPF nie działa, DKIM nie działa	Jeśli zarówno SPF, jak i DKIM zawiodą, wiadomość e-mail jest uznawana za spoofed i zostanie odrzucona przez serwer pocztowy odbiorcy obsługujący DMARC.	Niedostarczone / Odrzucone

Kompletne wdrożenie DMARC jest potrzebą chwili!

SPF i DKIM są najpopularniejszymi mechanizmami ochrony poczty elektronicznej używanymi do implementacji prawidłowego rekordu DMARC w celu zapobiegania spoofingowi poczty elektronicznej. Po prawidłowym wdrożeniu DMARC do istniejącej infrastruktury poczty elektronicznej, wiadomości e-mail są dostarczane zgodnie z przeznaczeniem. Oznacza to mniej skarg na spam, mniej fałszywych alarmów na czarnych listach i lepsze statystyki dostarczalności dla wszystkich subskrybentów.

PowerDMARC oferuje kompletny DMARC z politykami DKIM, SPF i DMARC stworzonymi dla Twojej domeny. W ten sposób pomaga Ci osiągnąć bardziej wiarygodne wyniki z Twoich wiadomości e-mail.

Generowanie rekordu DKIM online lub pobierz bezpłatną wersję próbną DMARC aby uzyskać kompletne rozwiązanie dla złożonego i ciągle zmieniającego się świata bezpieczeństwa poczty e-mail.

O
Latest Posts

Ahona Rudra

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.
Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.