Rząd Nowej Zelandii wprowadza DMARC w ramach nowych ram bezpiecznej poczty elektronicznej

przez

Ostatnia aktualizacja:
5 czas czytania: 5 minut
Rząd Nowej Zelandii wprowadza DMARC w ramach nowych ram bezpiecznej poczty elektronicznej

Rząd Nowej Zelandii wprowadził ramy bezpiecznej rządowej poczty elektronicznej (SGE), aby pomóc agencjom w zabezpieczaniu zewnętrznej poczty elektronicznej przy użyciu najlepszych praktyk branżowych. Aby wdrożyć SGE, DMARC przy p=reject jest teraz obowiązkowy dla wszystkich domen obsługujących pocztę e-mail, wraz z SPF, DKIM i MTA-STS.

Chociaż SEEMail działał przez lata, miał ograniczenia w zakresie skalowalności, współpracy z partnerami zewnętrznymi i dostosowania do nowoczesnych standardów bezpieczeństwa poczty elektronicznej. Nowa struktura SGE ma na celu poprawę bezpieczeństwa poczty elektronicznej, zminimalizowanie fałszerstw i umożliwienie wycofania usługi SEEMail (Secure Encrypted Email), która ma zostać wyłączona w 2026 r. Można zapoznać się z oficjalny dokument .

Oś czasu wdrożenia: Do Październik 2025 r.Wszystkie agencje rządowe muszą zaktualizować swoje zabezpieczenia poczty elektronicznej, aby spełniały standardy tych ram.

Harmonogram wycofania z eksploatacji: Wycofanie SEEMail z eksploatacji planowane jest na rok 2026.

 

Kluczowe wnioski

  • Nowa Zelandia upoważnia DMARC dla agencji rządowych w ramach SGE.
  • Agencje muszą wycofać SEEMail i w pełni przyjąć SGE do października 2025 r.
  • Wymagane są również SPF, DKIM, MTA-STS i TLS 1.2.
  • Wczesne wdrożenie zmniejsza ryzyko spoofingu i zapewnia płynną zgodność.
  • PowerDMARC oferuje zautomatyzowane narzędzia i zarządzane usługi upraszczające wdrażanie i egzekwowanie DMARC w Nowej Zelandii.

 

Czym jest platforma Secure Government Email (SGE)?

Secure Government Email (SGE) to platforma rządu Nowej Zelandii, która chroni komunikację e-mail między agencjami rządowymi i partnerami zewnętrznymi. Jest ona zgodna z wytycznymi bezpieczeństwa określonymi przez New Zealand Information Security Manual (NZISM) i ma na celu ochronę informacji sklasyfikowanych jako wrażliwe. 

Mówiąc prościej, ramy SGE: 

  • Przestrzega ścisłych wytycznych w celu ochrony poufnych informacji
  • Utrudnia cyberprzestępcom podrabianie domen rządowych.
  • Poprawia ogólne bezpieczeństwo informacji e-mail 
  • Zastępuje starszą usługę SEEMail 

Kluczowe wymagania techniczne dla wdrożenia SGE

Przewodnik wdrażania Przewodnik wdrażania SGE określa następujące krytyczne wymagania i harmonogramy wdrażania dla agencji:

Dla wszystkich domen obsługujących pocztę e-mail:

  • DMARC w celu zapobiegania spoofingowi 

Implementacja DMARC jest teraz obowiązkowa z polityką ustawioną na p=reject i włączonym raportowaniem DMARC. Zalecany jest tryb ścisłego wyrównania SPF i DKIM. 

  • SPF do autoryzacji legalnych nadawców 

SPF musi być zaimplementowany z rekordem SPF kończącym się na -all (hardfail).

  • DKIM, aby zapobiec manipulacjom 

DKIM musi zostać zastosowane na ostatnim serwerze MX w strumieniu wysyłania.

  • MTA-STS do wymuszania szyfrowania w tranzycie 

MTA-STS musi być zaimplementowany w polityce "Enforce", a TLS-RPT musi być włączony do monitorowania błędów szyfrowania.

  • TLS do zabezpieczenia komunikacji na poziomie sesji

TLS musi być zaimplementowany w minimalnej wersji 1.2 lub wyższej. 

  • DLP w celu zapobiegania nieautoryzowanemu przesyłaniu poufnych informacji

Wdrożenie DLP musi być zgodne z wymogami agencji, dostosowanymi do NZISM. 

Dla domen/subdomen niewysyłających:

  1. Opublikuj rekord SPF: "v=spf1 -all".
  2. Opublikuj rekord DKIM: "v=DKIM1; p="
  3. Publish the DMARC record: “V=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:<your email address>;”

Monitorowanie zgodności

W przypadku struktury SGE AoGSD nadzoruje wdrażanie i monitorowanie zgodności. Zespół AoGSD będzie monitorował, jak dobrze agencje przestrzegają nowych ram bezpieczeństwa poczty elektronicznej. Obejmuje to sprawdzanie ustawień takich jak SPF, DMARCi MTA-STSoraz DKIM zostanie dodany później.

Jak wpływa to na agencje rządowe

https://www.youtube.com/watch?v=-nf_POieTU4

Oto jak przejście na platformę SGE wpłynie na agencje rządowe:

  1. SEEMail replacement: SEEMail musi zostać wycofany; agencje muszą przyjąć nowy model SGE Framework.
  2. Modernizacja: Przejście na otwarte i skalowalne rozwiązania bezpieczeństwa poczty elektronicznej
  3. Zwiększone bezpieczeństwo domeny: Wczesne wdrożenie może ograniczyć ataki typu spoofing i phishing.
  4. Bezpieczna komunikacja zewnętrzna: Zapewnia ochronę poufnych informacji podczas komunikacji z partnerami zewnętrznymi.
  5. Lepsza zgodność z przepisami: Dostosowanie praktyk agencji do kontroli NZISM i krajowych standardów bezpieczeństwa.
  6. Efektywność operacyjna: Proaktywne wdrażanie minimalizuje zakłócenia i wspiera szersze inicjatywy transformacji cyfrowej.

SEEMail vs. SGE

CechaSEEMailSGE
CelBezpieczna, szyfrowana poczta e-mail w agencjach rządowych Nowej ZelandiiOparta na standardach bezpieczna poczta e-mail do komunikacji wewnętrznej i zewnętrznej
Protokoły uwierzytelnianiaNie są konsekwentnie wdrażaneDMARC (p=odrzuć), SPF, DKIM z wymuszonym ścisłym wyrównaniem
Szyfrowanie w tranzycieWłasne szyfrowanie za pośrednictwem infrastruktury SEEMailWymagane MTA-STS z szyfrowaniem TLS 1.2+
InteroperacyjnośćOgraniczone do agencji uczestniczących w SEEMailKompatybilność z zewnętrznymi partnerami i nowoczesnymi systemami poczty elektronicznej
Widoczność wiadomości e-mailOgraniczona widoczność i raportowaniePełna widoczność dzięki raportom DMARC i TLS-RPT
Monitorowanie zgodnościScentralizowany, ale wąski zakresAoGSD monitoruje zgodność wszystkich ustawień zabezpieczeń poczty e-mail
Model wdrażaniaScentralizowana, szyfrowana platforma poczty elektronicznejZdecentralizowane, otwarte standardy egzekwowania zasad na poziomie domeny
StatusStarszy system, który jest stopniowo wycofywanyObowiązkowe wdrożenie do października 2025 r.

Jak PowerDMARC wspiera to przejście 

Ramy SGE wymagają rygorystycznego egzekwowania zasad, które, choć korzystne, mogą powodować problemy z dostarczalnością, jeśli zostaną wykonane nieprawidłowo. 

PowerDMARC wspiera i upraszcza to przejście dla nowozelandzkich agencji sektora publicznego poprzez zarządzane usługi wdrażania DMARC usługi wdrożeniowe.

1. Zautomatyzowana implementacja SPF, DKIM, DMARC

Możemy pomóc nowozelandzkim agencjom rządowym w szybkim wdrażaniu złożonych protokołów bez specjalistycznej wiedzy technicznej, dzięki inteligentnym i zautomatyzowanym narzędzia do generowania rekordów DNS. Platforma obsługuje również automatyczne publikowanie rekordów DNS jednym kliknięciem, aby przyspieszyć proces wdrażania i ograniczyć pracę ręczną.

2. Kierowane egzekwowanie zasad DMARC i MTA-STS 

Egzekwowanie polityki może być zniechęcające i może prowadzić do niepożądanych problemów z dostarczalnością, jeśli zostanie wykonane nieprawidłowo. Zapewniamy nowozelandzkim agencjom sektora publicznego środowisko z przewodnikiem do egzekwowania polityk DMARC i MTA-STS, z fachowym wsparciem na każdym etapie!

3. Obsługa błędów SPF

Rekordy SPF są podatne na błędy ze względu na ograniczenia narzucone przez IETF. W przypadku korzystania z usług stron trzecich, trudno jest utrzymać te limity wyszukiwania DNS i długości znaków. Oferujemy agencjom bezdotykową, automatyczną usługę optymalizacji SPF poprzez Hosted SPF. Integracja Makra pozwala znacznie zminimalizować liczbę błędów SPF.

4. Uproszczone raportowanie DMARC i TLS

Organizacje i agencje często mają trudności z odczytaniem i zrozumieniem złożonych raportów DMARC XML i raportów JSON dla TLS-RPT. My również to upraszczamy! Wizualne pulpity nawigacyjne, dane czytelne dla człowieka i zaawansowane opcje filtrowania pozwalają agencjom na monitorowanie z pewnością. 

5. Ciągłe monitorowanie wyrównania

Błędy wyrównania DMARC są głównymi czerwonymi flagami. Zazwyczaj sygnalizują one próbę spoofingu lub podszywania się! Nasz pulpit nawigacyjny wyraźnie wyświetla błędy wyrównania dla DMARC, SPF i DKIM, podkreślając podstawowe problemy. Pomaga to agencjom być na bieżąco z podejrzanymi działaniami! 

6. Zarządzanie zgodnością ESP

Jak Google, Yahoo i Microsoft zaostrzyły swoje wymagania dotyczące bezpieczeństwa poczty elektronicznej, DMARC nie jest już opcjonalny dla nadawców masowych. Pomagamy agencjom w spełnianiu i zarządzaniu zgodnością, zapewniając, że wrażliwa korespondencja rządowa bezpiecznie ląduje w skrzynkach odbiorczych.

Zacznij już dziś

PowerDMARC współpracuje z agencjami rządowymi na całym świecie w celu spełnienia lokalnych i międzynarodowych standardów bezpieczeństwa. Skontaktuj się z nami już dziś, aby rozpocząć swoją podróż w kierunku zgodności z SGE!

CTA