Wyjaśnienie DMARCbis - co się zmienia i jak się przygotować
Czas odczytu: 4 min
Domain-based Message Authentication, Reporting, and Conformance (DMARC) przechodzi znaczącą aktualizację od czasu jego pierwotnej publikacji. Znana jako DMARCbis, przedefiniowana specyfikacja, która jest jeszcze wciąż w wersji roboczej, ma na celu sprostanie długotrwałym wyzwaniom związanym z uwierzytelnianiem wiadomości e-mail. Oto wszystko, co musisz wiedzieć o tym, co się zmienia i jak się przygotować.
Aktualny status: Internet Draft
Faza: Ostatnie wezwanie
Przewidywana data publikacji: Nie określono
Zastępuje: RFC 7489 i 9091 (jeśli zostaną zatwierdzone)
Źródło: DMARCbis Draft
Kluczowe wnioski
- DMARCbis to zaktualizowany następca oryginalnego protokołu DMARC, mający na celu poprawę przejrzystości i dostosowania.
- Redefiniuje publiczną listę sufiksów (PSL) za pomocą bardziej niezawodnego spaceru po drzewie DNS w celu identyfikacji domeny organizacyjnej.
- Tagi takie jak pct, rf i ri są przestarzałe, aby uprościć implementację i zmniejszyć zamieszanie.
- Wprowadzono kilka nowych tagów, takich jak psd, np i t, aby jasno zdefiniować publiczne domeny sufiksów i pomóc w zarządzaniu dziedziczeniem polityki.
- Wersja rekordu DMARC pozostaje taka sama (v=DMARC1) dla kompatybilności wstecznej.
- Istniejące konfiguracje DMARC z ważnymi rekordami domeny bazowej będą nadal działać bez natychmiastowych zmian.
- PowerDMARC może uprościć przejście, automatyzując zarządzanie rekordami, oferując wskazówki ekspertów i zapewniając widoczność we wszystkich domenach.
Czym jest DMARCbis?
DMARCbis jest zaktualizowaną wersją oryginalnej specyfikacji DMARC, opracowanej przez IETF (Internet Engineering Task Force). Opiera się ona na fundamentach RFC 7489 i RFC 9091 i, jeśli zostanie zatwierdzony, zastąpi je, wprowadzając poprawki wyjaśniające niejasności w protokole. Podczas gdy jego poprzednik był informacyjnym RFCDMARCbis jest na dobrej drodze do opublikowania jako proponowany standardsygnalizując szerszy konsensus i gotowość branży.
DMARCbis skupi się przede wszystkim na przejrzystości, bezpieczeństwie i lepszym dostosowaniu domeny. Pomimo zmiany definicji, znacznik v=DMARC1 pozostaje niezmieniony aby zachować kompatybilność wsteczną.
Kluczowe zmiany w DMARCbis
| Cecha | Oryginalny DMARC | DMARCbis (nowe zmiany) |
|---|---|---|
| Metoda wyszukiwania domeny | Używa publicznej listy sufiksów (PSL) | Redefiniowane z DNS Tree Walk (przechodzi w górę hierarchii domeny, zatrzymuje się na psd=y lub psd=n). Maksymalnie 8 poziomów. |
| Tagi | Wsparcie pct, rf, ri | Usuwa pct, ri i rf (upraszcza protokół). |
| Nowa etykieta | Brak | Dodaje tagi psd (wyraźnie zaznacza publiczne domeny sufiksów), np i t. |
| Jasność polityki | Brak wytycznych dotyczących dziedziczenia polityki | Jasne zasady dla właścicieli domen, aby kontrolować dziedziczenie poprzez psd. |
| Specyfikacja | Złożony, mniej ustrukturyzowany | Uproszczona dokumentacja, lepsze przykłady i terminologia. |
| Kompatybilność | v=rekordy DMARC1 | Bez zmian - stare rekordy nadal działają. |
1. DNS Tree Walk Redefiniuje publiczną listę sufiksów
Publiczna lista sufiksów (Public Suffix List - PSL) została przedefiniowana przy użyciu natywnej dla DNS metody Tree Walk w celu określenia domeny organizacyjnej.
Algorytm DNS Tree Walk przechodzi w górę hierarchii domeny, aby znaleźć prawidłowy rekord DMARC. Pozwala to na natywne definiowanie granic domen w DNS i eliminuje potrzebę stosowania list sufiksów innych firm. Spacer zatrzymuje się, gdy znajdzie prawidłowy rekord polityki DMARC, który zawiera znacznik psd=y (publiczna domena sufiksowa) lub psd=n (domena organizacyjna). Informuje to system, gdzie znajduje się domena organizacyjna.
Jeśli taka polityka nie zostanie znaleziona, wyszukiwanie jest kontynuowane do maksymalnie 8 poziomów.
2. Przestarzałe tagi
Następujące znaczniki zostały usunięte w celu usprawnienia protokołu:
- pct (zastosowanie polityki opartej na procentach)
- rf (format raportu)
- ri (interwał raportu)
3. Nowe i zaktualizowane tagi
- Nowy psd definiuje Public Suffix Domains w bardziej przejrzysty sposób, pomagając właścicielom domen kontrolować dziedziczenie zasad w Tree Walks.
- Znacznik tag t jest sygnałem dla odbiorcy (walidatora), że właściciel domeny jest w fazie testowej i może nie chcieć pełnego egzekwowania polityki (p, sp, np). Nie zmienia on sposobu generowania raportów DMARC i nie ma wpływu na polityki, które są już ustawione na none. Zachowanie jest doradcze, ponieważ odbiorcy mogą wybrać, czy chcą działać zgodnie z nim.
- Nowy np tag (polityka nieistniejąca) określa politykę DMARC, która ma być stosowana do subdomen, które nie istnieją (tj. domen, które nie są rozpoznawane lub nie są zarejestrowane jako aktywne strefy).
4. Wymagania dotyczące "pełnego uczestnictwa"
Nowe wytyczne określają, co oznacza dla właścicieli domen i odbiorców pełna obsługa DMARC, ustanawiając jaśniejsze oczekiwania i poprawiając interoperacyjność.
5. Ulepszony format specyfikacji
Dokument został zrestrukturyzowany z lepszymi przykładami, wyjaśnioną terminologią i bardziej przejrzystym układem, dzięki czemu wdrożenie jest łatwiejsze dla wszystkich zainteresowanych stron.
Co pozostaje bez zmian?
- Istniejące rekordy DMARC używające v=DMARC1 pozostają ważne.
- Podstawowe mechanizmy DMARC dla SPF, DKIM i wyrównania nadal mają zastosowanie.
- Znaczniki polityki (p, sp, rua, ruf) pozostają kluczowe dla funkcjonalności DMARC.
Wpływ na istniejące wdrożenia DMARC
Aktualizacja DMARCbis jest kompatybilna wstecz i nie ma wpływu na istniejące wdrożenia zgodne z RFC 7489. Nowe tagi są opcjonalne, więc obecne konfiguracje pozostają nienaruszone. Podczas gdy audytowanie rekordów jest zalecane w celu usprawnienia uwierzytelniania, nie jest konieczne natychmiastowe działanie, jeśli DMARC jest poprawnie skonfigurowany.
Jak przygotować się do DMARCbis
Chociaż zmiany nie są destrukcyjneorganizacje powinny zacząć przygotowywać się do zapewnienia bezpieczeństwa poczty elektronicznej w przyszłości. Oto jak to zrobić:
- Przejrzyj swoje rekordy DMARC: Dokonaj audytu bieżącego rekordu, aby upewnić się, że wkrótce przestarzałe tagi, takie jak pct lub rf, zostaną usunięte. Upewnij się, że domena bazowa (organizacyjna) ma ważną politykę DMARC.
- Zrozumienie modelu Tree Walk: Upewnij się, że subdomeny będą dziedziczyć zasady zgodnie z oczekiwaniami w ramach nowego mechanizmu opartego na hierarchii. W przypadku złożonych konfiguracji należy przeprowadzić symulację logiki DNS Tree Walk, aby zweryfikować zachowanie.
- Rozważ znacznik psd: Zapoznaj się z psd=n lub psd=y, aby wyraźnie zdefiniować granice domeny, jeśli wymaga tego struktura domeny.
- Edukacja zespołu ds. bezpieczeństwa: Upewnij się, że zespoły ds. poczty e-mail i bezpieczeństwa są świadome nadchodzących zmian i rozumieją ich wpływ na uwierzytelnianie i dostarczalność.
Jak PowerDMARC może pomóc
PowerDMARC może pomóc organizacjom w płynnym przejściu na DMARCbis poprzez połączenie automatyzacji, widoczności i wskazówek ekspertów.
- Zautomatyzowana konfiguracja i zarządzanie DMARC, SPF i DKIM za pośrednictwem scentralizowanego pulpitu uwierzytelniania poczty e-mail.
- Uproszczone raportowanie oferujące pełny wgląd w kanały poczty elektronicznej
- Hostowane rozwiązania do płynnej aktualizacji zasad i optymalizacji zapisów
- Zespół wyspecjalizowanych ekspertów, którzy pomagają w poruszaniu się po problemach i zmianach w czasie rzeczywistym.
Gotowy do uproszczenia DMARC? Skontaktuj się z PowerDMARC aby uzyskać bezpłatną konsultację 1:1 z jednym z naszych wewnętrznych ekspertów już dziś!
Przemyślenia końcowe
DMARCbis oferuje większą elastyczność, przejrzystość i kontrolę, zwłaszcza jeśli chcesz zarządzać politykami DMARC dla subdomen oddzielnie. Chociaż nie są potrzebne żadne pilne działania, można podjąć niezbędne przygotowania do lepszego zarządzania uwierzytelnianiem domen.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Błędy wyrównania domen DKIM - poprawki RFC 5322 - 5 czerwca 2025 r.
- Wyjaśnienie DMARCbis - co się zmienia i jak się przygotować - 19 maja 2025 r.
- Czym jest BIMI? Kompletny przewodnik po wymaganiach i konfiguracji logo BIMI - 21 kwietnia 2025 r.
