W stale rozwijającym się świecie bezpieczeństwa poczty elektronicznej, DMARC (Domain-based Message Authentication, Reporting, and Conformance) jest istotnym narzędziem dla właścicieli domen do ochrony ich domen e-mail przed nadużyciami i phishingiem.
Z biegiem czasu protokół ten doczekał się kilku aktualizacji, a jedną z takich przewidywalnych zmian może być zastąpienie znacznika "pct" znacznikiem "t", o czym poinformował IETF w swoim projekcie technicznym DMARCbis.
W tym artykule zbadamy przyczyny tej modyfikacji i jej konsekwencje dla bezpieczeństwa poczty e-mail.
Uwaga: Nie należy podejmować żadnych działań w oparciu o ten artykuł. Dokument IETF jest wciąż w wersji roboczej i w przyszłości może ulec zmianie.
Znacznik "pct"
Wcześniejsza wersja protokołu DMARC, udokumentowana w RFC7489, wprowadziła znacznik "pct". Znacznik ten pozwalał właścicielom domen na określenie procentu wiadomości podlegających bardziej rygorystycznej polityce DMARC, takiej jak przejście z "brak" do "kwarantanna". "brak" do "kwarantanna lub "kwarantanny" do "odrzucenia".Intencją było zapewnienie stopniowego przejścia, pozwalającego właścicielom domen na złagodzenie bardziej rygorystycznych polityk dotyczących poczty elektronicznej.
Wyzwania związane z tagiem "pct"
Doświadczenie operacyjne ujawniło jednak, że tag "pct" stwarzał różne wyzwania. Często był niedokładnie stosowany, z wyjątkiem sytuacji, gdy wartość wynosiła "0" lub "100" (wartość domyślna).
Wartość domyślna, "100", nie wymagała specjalnego przetwarzania ze strony odbiorcy poczty, co czyniło ją prostym wyborem dla wielu. Z drugiej strony, wartość "pct" równa "0" stała się związana z odchyleniami od standardowej obsługi, głównie przez pośredników i dostawców skrzynek pocztowych, którzy przepisali nagłówek RFC5322 From, aby uniknąć niepowodzeń DMARC na dalszym etapie.
Niestandardowe akcje i cenne informacje
Co dziwne, to niezamierzone użycie "pct=0" było cenne dla społeczności e-mail. Gdy pośrednicy przepisywali nagłówki z "pct=0", właściciele domen mogli uzyskać wgląd w to, ile ich ruchu e-mail przechodziło przez pośredników, którzy nie zmienili RFC5322. Chociaż porównanie to wymagało wysiłku, było to ważne źródło informacji dla właścicieli domen.
Znając zakres poczty podlegającej potencjalnemu niepowodzeniu DMARC z powodu braku RFC5322 z przepisywania nagłówków przez pośredników, właściciele domen mogliby podejmować świadome decyzje. Mogliby ocenić swoją tolerancję na niepowodzenia DMARC i zdecydować, czy przejść z "p=none" na "p=quarantine" lub "p=reject".
Wprowadzenie znacznika "t"
Uznając wartość "pct=0" dla właścicieli domen, zachowanie tej funkcjonalności w protokole DMARC miało sens. Jednak nie miało już sensu utrzymywanie tagu o nazwie "pct" z tylko dwiema ważnymi wartościami. Aby temu zaradzić, najnowsza wersja protokołu DMARC może wprowadzić tag "t", który oznacza "testowanie". Tag "t" ma dwie prawidłowe wartości: "y" i "n".
Więcej informacji można znaleźć w oficjalnym projekcie DMARC IETF.
Znacznik "t" vs. znacznik "pct"
Znacznik "t" zostanie zaprojektowany tak, aby był analogiczny w stosowaniu przez dostawców skrzynek pocztowych i pośredników do wartości znacznika "pct" odpowiednio "0" i "100". Oto ich porównanie:
- "t=y" jest odpowiednikiem "pct=0": Komunikaty oznaczone "t=y" oznaczają, że właściciel domeny jest obecnie w fazie testowania swojej polityki i polityka nie może być stosowana przez odbiorcę wykonującego sprawdzenie.
- "t=n" jest odpowiednikiem "pct=100": Wiadomości oznaczone "t=n" będą zgodne z domyślną polityką DMARC, podobnie jak poprzednie ustawienie "pct=100".
Przeczytaj więcej o tagu t= w oficjalnym projekcie DMARC IETF.
Implikacje znacznika "t"
Ogólnie rzecz biorąc, wprowadzenie znacznika "t" może uprościć obsługę polityki DMARC. Choć początkowo może się to wydawać drobną zmianą, usprawnia ona również ustawianie i wdrażanie polityk DMARC. Nowy znacznik może pomóc w zapewnieniu, że polityki są dokładniej stosowane, rozwiązując poprzednie problemy.
Wniosek
Podane informacje opierają się na projekcie dokumentu, który nie został jeszcze potwierdzony ani wdrożony. Aktualna wersja protokołu DMARC nadal aktywnie wykorzystuje i obsługuje znacznik DMARC "pct". Poglądy wyrażone w tym artykule są wyłącznie naszymi poglądami i nie należy podejmować żadnych działań na ich podstawie bez oficjalnego potwierdzenia ze strony IETF.
- PowerDMARC integruje się z ConnectWise - 31 października 2024 r.
- Czym jest Datagram Transport Layer Security (DTLS): Korzyści i wyzwania - 29 października 2024 r.
- DMARC i FedRAMP: poprawa bezpieczeństwa poczty elektronicznej - 28 października 2024 r.