Stanowiska

Obalanie mitów na temat DMARC

Dla wielu osób nie jest od razu jasne, co robi DMARC i jak zapobiega spoofingowi domen, podszywaniu się pod inne osoby oraz oszustwom. Może to prowadzić do poważnych nieporozumień dotyczących DMARC, sposobu działania uwierzytelniania poczty elektronicznej oraz tego, dlaczego jest to dobre dla Ciebie. Ale skąd masz wiedzieć, co jest dobre, a co złe? I skąd możesz mieć pewność, że wdrażasz go poprawnie? 

PowerDMARC jest tutaj na ratunek! Aby pomóc Ci lepiej zrozumieć DMARC, stworzyliśmy listę 6 najczęstszych błędnych przekonań na temat DMARC.

Nieporozumienia związane z DMARC

1. DMARC jest tym samym, co filtr antyspamowy

Jest to jedna z najczęstszych rzeczy, które ludzie mylą w kwestii DMARC. Filtry antyspamowe blokują przychodzące e-maile, które są dostarczane do Twojej skrzynki odbiorczej. Mogą to być podejrzane e-maile wysyłane z dowolnej domeny, nie tylko z Twojej. Z drugiej strony, DMARC mówi otrzymującym serwerom poczty elektronicznej, jak obsługiwać wychodzące wiadomości e-mail wysyłane z Twojej domeny. Filtry antyspamowe, takie jak Microsoft Office 365 ATP, nie chronią przed takimi cyberatakami. Jeśli Twoja domena jest zgodna z DMARC, a wiadomość e-mail nie przejdzie uwierzytelnienia, serwer odbierający ją odrzuci.

2. Po skonfigurowaniu DMARC, Twój email jest bezpieczny na zawsze.

DMARC jest jednym z najbardziej zaawansowanych protokołów uwierzytelniania poczty elektronicznej, ale nie oznacza to, że jest on całkowicie samowystarczalny. Musisz regularnie monitorować swoje raporty DMARC, aby upewnić się, że e-maile z autoryzowanych źródeł nie są odrzucane. Co ważniejsze, musisz sprawdzać, czy nieautoryzowani nadawcy nie nadużywają Twojej domeny. Jeśli zauważysz, że jakiś adres IP wielokrotnie próbuje sfałszować Twój email, musisz natychmiast podjąć działania i umieścić go na czarnej liście lub usunąć z niej.

3. DMARC zmniejszy dostarczalność moich wiadomości e-mail

Kiedy ustawiasz DMARC, ważne jest abyś najpierw ustawił swoją politykę na p=none. Oznacza to, że wszystkie twoje emaile nadal będą dostarczane, ale będziesz otrzymywał raporty DMARC o tym czy przeszły lub nie przeszły uwierzytelnienie. Jeśli podczas tego okresu monitorowania zauważysz, że twoje własne emaile nie spełniają DMARC, możesz podjąć działania, aby rozwiązać ten problem. Kiedy wszystkie twoje autoryzowane emaile zostaną poprawnie zweryfikowane, możesz egzekwować DMARC z polityką p=quarantine lub p=reject.

4. Nie muszę egzekwować DMARC (wystarczy p=none)

Kiedy ustawisz DMARC bez egzekwowania go (polityka p=none), wszystkie emaile z Twojej domeny - włączając te, które nie przejdą przez DMARC - zostaną dostarczone. Będziesz otrzymywał raporty DMARC, ale nie będziesz chronił swojej domeny przed jakimikolwiek próbami spoofingu. Po początkowym okresie monitorowania (wyjaśnionym powyżej), jest absolutnie konieczne, aby ustawić politykę na p=quarantine lub p=reject i egzekwować DMARC.

5. Tylko duże marki potrzebują DMARC

Wiele mniejszych organizacji uważa, że tylko największe, najbardziej rozpoznawalne marki potrzebują ochrony DMARC. W rzeczywistości, cyberprzestępcy wykorzystają każdą domenę biznesową do przeprowadzenia ataku typu spoofing. Wiele mniejszych firm zazwyczaj nie posiada dedykowanych zespołów ds. cyberbezpieczeństwa, co jeszcze bardziej ułatwia atakującym celowanie w małe i średnie organizacje. Pamiętaj, że każda organizacja posiadająca nazwę domeny potrzebuje ochrony DMARC!

6. Raporty DMARC są łatwe do odczytania

Widzimy wiele organizacji wdrażających DMARC i zlecających wysyłanie raportów do własnych skrzynek e-mail. Problem z tym jest taki, że raporty DMARC są dostarczane w formacie XML, który może być bardzo trudny do odczytania, jeśli nie jesteś z nim zaznajomiony. Korzystanie z dedykowanej platformy DMARC może nie tylko znacznie ułatwić proces konfiguracji, ale PowerDMARC może przekształcić złożone pliki XML w łatwe do odczytania raporty z wykresami, diagramami i szczegółowymi statystykami.

 

Ten artykuł będzie badać, jak zatrzymać spoofing e-mail, na 5 sposobów. Wyobraź sobie, że pewnego dnia przychodzisz do pracy, siadasz przy biurku i otwierasz komputer, aby sprawdzić wiadomości. I wtedy to widzisz. Nazwa Twojej organizacji jest wszędzie w nagłówkach gazet - i nie są to dobre wiadomości. Ktoś rozpoczął atak spoofingu e-mail z Twojej domeny, wysyłając wiadomości phishingowe do ludzi na całym świecie. I wielu z nich dało się nabrać. Twoja firma właśnie stała się twarzą ogromnego ataku phishingowego, a teraz nikt nie ufa już ani Twoim zabezpieczeniom, ani wiadomościom e-mail.

W takiej właśnie sytuacji znaleźli się pracownicy Światowej Organizacji Zdrowia(WHO) podczas pandemii wirusa Covid-19 w lutym 2020 roku. Atakujący wykorzystywali rzeczywistą nazwę domeny WHO do wysyłania e-maili z prośbą o wpłaty na fundusz pomocy dla osób zarażonych koronawirusem. Incydent ten nie jest jednak odosobniony. Niezliczone organizacje padły ofiarą bardzo przekonujących wiadomości phishingowych, które w niewinny sposób proszą o podanie poufnych danych osobowych, informacji bankowych, a nawet danych do logowania. Mogą to być nawet e-maile pochodzące z tej samej organizacji, w których prosi się o dostęp do bazy danych lub plików firmowych.

Aż 90% wszystkich incydentów utraty danych wiąże się z jakimś elementem phishingu. A przecież podszywanie się pod domenę nie jest nawet szczególnie skomplikowane. Dlaczego więc jest w stanie wyrządzić tak wiele szkód?

Jak działa Domain Spoofing?

Ataki typu domain spoofing są dość proste do zrozumienia.

  • Atakujący podrabia nagłówek wiadomości e-mail, aby zawierał nazwę Twojej organizacji i wysyła fałszywe wiadomości phishingowe, używając nazwy Twojej marki, dzięki czemu odbiorcy mają do Ciebie zaufanie.
  • Ludzie klikają na złośliwe linki lub podają poufne informacje, myśląc, że to Twoja organizacja o nie prosi.
  • Kiedy zdadzą sobie sprawę, że to oszustwo, wizerunek Twojej marki zostanie naruszony, a klienci stracą do Ciebie zaufanie.

 

Narażasz ludzi z zewnątrz (i wewnątrz) swojej organizacji na phishingowe e-maile. Co gorsza, złośliwe e-maile wysyłane z Twojej domeny mogą naprawdę zaszkodzić reputacji Twojej marki w oczach klientów.

Więc co możesz z tym zrobić? Jak możesz obronić siebie i swoją markę przed spoofingiem domenowym i uniknąć katastrofy PR-owej?

Jak zatrzymać Email Spoofing?

1. Zmodyfikuj swój rekord SPF

Jednym z największych błędów przy SPF jest nie trzymanie go w zwięzłości. Rekordy SPF mają limit 10 wyszukiwań DNS, aby utrzymać koszt przetwarzania każdego emaila na jak najniższym poziomie. Oznacza to, że proste umieszczenie wielu adresów IP w rekordzie może spowodować przekroczenie limitu. Jeśli tak się stanie, Twoja implementacja SPF stanie się nieważna, a Twój email nie przejdzie SPF i może nie zostać dostarczony. Nie pozwól na to: utrzymuj swój rekord SPF krótki i słodki dzięki automatycznemu spłaszczaniu SPF.

2. Aktualizuj swoją listę zatwierdzonych adresów IP

Jeśli Twoja organizacja korzysta z usług wielu zewnętrznych dostawców zatwierdzonych do wysyłania wiadomości e-mail z Twojej domeny, ten wpis jest dla Ciebie. Jeśli zaprzestaniesz korzystania z usług jednego z nich, musisz się upewnić, że zaktualizujesz również swój rekord SPF. Jeśli system mailowy dostawcy jest zagrożony, ktoś może być w stanie użyć go do wysyłania "zatwierdzonych" phishingowych maili z Twojej domeny! Zawsze upewnij się, że tylko zewnętrzni dostawcy, którzy nadal z Tobą współpracują, mają swoje IP w rekordzie SPF.

3. Wdrożenie DKIM

DomainKeys Identified Mail, lub DKIM, jest protokołem, który nadaje każdemu emailowi wysłanemu z Twojej domeny podpis cyfrowy. Pozwala to serwerowi odbiorczemu na sprawdzenie, czy wiadomość jest autentyczna i czy nie została zmodyfikowana podczas transportu. Jeśli email został zmodyfikowany, podpis nie zostanie zweryfikowany i email nie przejdzie DKIM. Jeśli chcesz zachować integralność swoich danych, skonfiguruj DKIM na swojej domenie!

4. Ustaw właściwą politykę DMARC

Zbyt często organizacje wdrażają DMARC, ale zapominają o najważniejszej rzeczy - faktycznym jego egzekwowaniu. Polityka DMARC może być ustawiona na jedną z trzech rzeczy: brak, kwarantanna lub odrzucenie. Kiedy skonfigurujesz DMARC, ustawienie polityki na brak oznacza, że nawet email, który nie przejdzie uwierzytelnienia zostanie dostarczony. Wdrożenie DMARC jest dobrym pierwszym krokiem, ale bez jego egzekwowania, protokół ten jest nieskuteczny. Zamiast tego, najlepiej ustawić politykę na odrzucanie, dzięki czemu wiadomości, które nie przejdą DMARC będą automatycznie blokowane.

Ważne jest, aby pamiętać, że dostawcy poczty elektronicznej określają reputację nazwy domeny podczas odbierania wiadomości e-mail. Jeśli Twoja domena ma historię ataków spoofingowych związanych z nią, Twoja reputacja spada. W konsekwencji, spada również dostarczalność.

5. Prześlij logo swojej marki do BIMI

Brand Indicators for Message Identification, czyli BIMI, to standard bezpieczeństwa poczty elektronicznej, który wykorzystuje logo marki do uwierzytelniania wiadomości e-mail. BIMI dołącza Twoje logo jako ikonę do wszystkich Twoich wiadomości e-mail, dzięki czemu są one natychmiast rozpoznawalne w skrzynce odbiorczej. Jeśli atakujący wyśle wiadomość z Twojej domeny, nie będzie miał obok niej Twojego logo. Więc nawet jeśli email zostałby dostarczony, szanse na to, że Twoi klienci rozpoznaliby fałszywy email byłyby znacznie większe. Zaleta BIMI jest jednak podwójna.

Za każdym razem, gdy ktoś otrzymuje od Ciebie wiadomość e-mail, widzi Twoje logo i natychmiast kojarzy Cię z produktem lub usługą, którą oferujesz. Tak więc nie tylko pomaga to Twojej organizacji powstrzymać spoofing emaili, ale również zwiększa rozpoznawalność Twojej marki.

Zapisz się do darmowego analizatora DMARC już dziś!