Stanowiska

Czy mogę mieć wiele rekordów DMARC na mojej domenie?

Posiadanie wielu rekordów DMARC na swojej domenie jest kompletnym nie-nie, a oto dlaczego! Wiemy, że wdrażanie protokołów uwierzytelniania emaili takich jak DMARC jest niezbędne dla reputacji organizacji i bezpieczeństwa danych, i aby to zrobić właściciele domen muszą opublikować rekord TXT w swoim DNS. Ale pytanie, które często powraca w społeczności, brzmi: "Czy mogę mieć wiele rekordów DMARC w mojej domenie?". Odpowiedź brzmi: nie. Wiele rekordów DMARC w tej samej domenie może unieważnić Twój rekord, a tym samym polityka uwierzytelniania DMARC ustawiona dla Twojej domeny nie będzie działać.

Jak rekord DMARC jest przetwarzany przez MTA?

Rekord DMARC opublikowany w DNS Twojej domeny wygląda mniej więcej tak:

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

Dlatego też, gdy domena, która ma skonfigurowany DMARC wysyła email, MTA odbierający email pobiera wszystkie rekordy TXT, które zaczynają się od v=DMARC1. MTA odpytuje DNS domeny wysyłającej i może natknąć się na następujące scenariusze:

  1. Znajduje pojedynczy prawidłowy rekord DMARC w DNS domeny źródłowej i przetwarza wiadomość e-mail zgodnie ze specyfikacją polityki DMARC.
  2. Nie znajduje żadnego rekordu DMARC dla domeny wysyłającej i przetwarzanie DMARC automatycznie ustaje, email jest dostarczany bez weryfikacji źródła.
  3. Znajduje wiele rekordów DMARC w tej samej domenie i w tym przypadku przetwarzanie DMARC jest również przerywane, a zastosowana polityka nie jest wykonywana

Wiele rekordów DMARC: Jak to naprawić?

Kiedy konfigurujesz DMARC dla swojej domeny i ustawiasz politykę, chcesz, aby MTA odpowiadały na Twoje emaile w sposób, który jest zgodny z Twoimi intencjami. W ten sposób DMARC może chronić Twoją domenę przed podszywaniem się i spoofingiem. Aby skonfigurowany protokół działał efektywnie, zalecamy wykonanie następujących kroków:

  • Upewnij się, że nie opublikowałeś wielu rekordów DMARC dla swojej domeny
  • Upewnij się, że Twój rekord DMARC nie zawiera błędów składniowych
  • Zamiast ręcznie generować swój rekord DMARC, użyj niezawodnych narzędzi, takich jak naszdarmowy generator rekordów DMARC, który wykona pracę za Ciebie.
  • Włącz raporty DMARC dla swojej domeny, aby monitorować przepływ poczty i wyniki uwierzytelniania od czasu do czasu, tak abyś mógł śledzić problemy z dostawą i podejmować działania przeciwko złośliwym źródłom wysyłania.
  • Upewnij się, że nie przekroczyłeś limitu SPF 10 lookup, aby uniknąć permerror rezultatów

Alternatywą do kilku kroków, które możesz podjąć, aby poprawnie wdrożyć DMARC dla swojej domeny i uniknąć wielu rekordów DMARC, byłoby po prostu zarejestrowanie się w naszym analizatorze DMARC.

PowerDMARC zajmuje się większością złożoności w tle, aby zautomatyzować proces uwierzytelniania poczty elektronicznej i pomóc Ci zminimalizować wszelkie błędy w konfiguracji, które mogą powodować problemy z dostarczalnością poczty elektronicznej.

/przez

Dlaczego DMARC zawodzi? 6 powodów niepowodzeń DMARC

Uwierzytelnianie poczty elektronicznej jest kluczowym aspektem pracy dostawcy poczty elektronicznej. Uwierzytelnianie emaili znane również jako SPF i DKIM sprawdza tożsamość dostawcy emaili. DMARC dodaje do procesu weryfikacji emaili sprawdzając czy email został wysłany z legalnej domeny poprzez wyrównanie i określając serwerom odbiorczym jak reagować na wiadomości, które nie przejdą kontroli uwierzytelniania. Dzisiaj zamierzamy omówić różne scenariusze, które odpowiedzą na pytanie dlaczego DMARC zawodzi.

DMARC jest kluczowym elementem polityki uwierzytelniania poczty elektronicznej, który pomaga zapobiegać przechodzeniu sfałszowanych wiadomości "spoofed" przez filtry antyspamowe. Jest to jednak tylko jeden z filarów całego programu antyspamowego i nie wszystkie raporty DM ARC są sobie równe. Niektóre z nich podają dokładne działania, jakie odbiorcy poczty podjęli w stosunku do każdej wiadomości, a inne mówią tylko o tym, czy wiadomość zakończyła się sukcesem, czy nie. Zrozumienie dlaczego wiadomość się nie powiodła jest równie ważne jak to czy się powiodła. Poniższy artykuł wyjaśnia powody, dla których wiadomości nie przechodzą kontroli uwierzytelniania DMARC. Są to najczęstsze powody (niektóre z nich można łatwo naprawić), dla których wiadomości mogą nie przejść kontroli uwierzytelniania DMARC.

Najczęstsze powody, dla których wiadomości mogą nie przejść przez DMARC

Zidentyfikowanie dlaczego DMARC zawodzi może być skomplikowane. Jednak przejdę przez kilka typowych powodów, czynników, które przyczyniają się do nich, tak abyś jako właściciel domeny mógł pracować nad usunięciem problemu szybciej.

Błędy w dostosowaniu DMARC

DMARC wykorzystuje wyrównanie domen w celu uwierzytelnienia Twoich emaili. Oznacza to, że DMARC weryfikuje czy domena wymieniona w adresie From (w widocznym nagłówku) jest autentyczna poprzez dopasowanie jej do domeny wymienionej w ukrytym nagłówku Return-path (dla SPF) i nagłówku sygnatury DKIM (dla DKIM). Jeśli którakolwiek z nich pasuje, email przechodzi DMARC, w przeciwnym razie DMARC nie przejdzie.

Stąd, jeśli Twoje emaile nie spełniają wymogów DMARC, może to być przypadek błędnego dopasowania domeny. Oznacza to, że ani SPF ani DKIM nie są zgodne i email wydaje się być wysłany z nieautoryzowanego źródła. Jest to jednak tylko jeden z powodów, dla których DMARC zawodzi.

DMARC Alignment Mode 

Twój tryb wyrównania protokołu również odgrywa ogromną rolę w przechodzeniu lub nie przechodzeniu wiadomości DMARC. Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania SPF:

  • Relaxed: Oznacza to, że jeśli domena w nagłówku Return-path i domena w nagłówku From jest po prostu zgodna organizacyjnie, nawet wtedy SPF przejdzie.
  • Strict: Oznacza to, że tylko wtedy, gdy domena w nagłówku Return-path i domena w nagłówku From są dokładnie zgodne, tylko wtedy SPF przejdzie.

Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania DKIM:

  • Zrelaksowany: To oznacza, że jeśli domena w podpisie DKIM i domena w nagłówku From jest po prostu organizacyjnym dopasowaniem, nawet wtedy DKIM przejdzie.
  • Strict: Oznacza to, że tylko wtedy, gdy domena w podpisie DKIM i domena w nagłówku From jest dokładnym dopasowaniem, tylko wtedy DKIM przejdzie.

Zauważ, że aby emaile przeszły uwierzytelnienie DMARC, albo SPF albo DKIM muszą być zgodne.  

Nie skonfigurowanie sygnatury DKIM 

Bardzo częstym przypadkiem, w którym Twój DMARC może zawieść jest to, że nie określiłeś podpisu DKIM dla swojej domeny. W takich przypadkach, Twój dostawca usług wymiany emaili przypisuje domyślny podpis DKIM do Twoich wychodzących emaili, który nie jest zgodny z domeną w Twoim nagłówku From. Odbierający MTA nie zdoła wyrównać obu domen, a co za tym idzie, DKIM i DMARC nie zadziałają dla Twojej wiadomości (jeśli Twoje wiadomości są wyrównane zarówno względem SPF jak i DKIM).

Nie dodajesz źródeł wysyłania do swojego DNS 

Ważne jest, aby pamiętać, że kiedy skonfigurujesz DMARC dla swojej domeny, odbierające MTA wykonują zapytania DNS w celu autoryzacji Twoich źródeł wysyłających. Oznacza to, że jeśli nie masz wszystkich autoryzowanych źródeł wysyłania wymienionych w DNS Twojej domeny, Twoje emaile nie przejdą DMARC dla tych źródeł, które nie są wymienione, ponieważ odbiorca nie będzie w stanie znaleźć ich w DNS. W związku z tym, aby upewnić się, że twoje legalne emaile są zawsze dostarczane, upewnij się, że wpisy wszystkich autoryzowanych dostawców emaili, którzy są upoważnieni do wysyłania emaili w imieniu twojej domeny, znajdują się w twoim DNS.

W przypadku przekazywania wiadomości e-mail

Podczas przekazywania email i email przechodzi przez serwer pośredniczący zanim zostanie ostatecznie dostarczony do serwera odbierającego. Podczas przekazywania emaili sprawdzanie SPF kończy się niepowodzeniem, ponieważ adres IP serwera pośredniczącego nie zgadza się z adresem serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest zawarty w rekordzie SPF serwera oryginalnego. Z drugiej strony, przekazywanie wiadomości e-mail zazwyczaj nie ma wpływu na uwierzytelnianie poczty elektronicznej DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.

Jak wiemy, SPF nieuchronnie zawodzi podczas przekazywania wiadomości, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazana wiadomość e-mail zostanie uznana za nieautentyczną podczas uwierzytelniania DMARC. Aby rozwiązać ten problem, powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez wyrównanie i uwierzytelnienie wszystkich wychodzących wiadomości zarówno względem SPF jak i DKIM, ponieważ aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie.

Twoja domena jest sfałszowana

Jeśli masz swoje protokoły DMARC, SPF i DKIM poprawnie skonfigurowane dla swojej domeny, z zasadami w egzekwowaniu i ważnymi rekordami wolnymi od błędów, a problem nie jest jednym z powyższych przypadków, to najbardziej prawdopodobnym powodem, dla którego Twoje e-maile nie spełniają wymogów DMARC jest to, że Twoja domena jest spoofowana lub sfałszowana. Dzieje się tak, gdy osoby podszywające się pod Twoją domenę i stwarzające zagrożenie próbują wysyłać e-maile, które wydają się pochodzić z Twojej domeny, używając złośliwego adresu IP.

Ostatnie statystyki dotyczące oszustw email owych wykazały, że przypadki spoofingu emaili rosną w ostatnim czasie i są bardzo dużym zagrożeniem dla reputacji Twojej organizacji. W takich przypadkach, jeśli masz DMARC zaimplementowany na polityce odrzucania, nie powiedzie się i spoofowany email nie zostanie dostarczony do skrzynki odbiorcy. Dlatego też spoofing domeny może być odpowiedzią na pytanie dlaczego DMARC zawodzi w większości przypadków.

Zalecamy zarejestrowanie się w naszym darmowym DMARC Analyzer i rozpoczęcie swojej podróży z raportowaniem i monitorowaniem DMARC.

  • Dzięki braku polityki możesz monitorować swoją domenę za pomocą zbiorczych raportów DMARC (RUA) i mieć oko na swoje przychodzące i wychodzące e-maile, co pomoże Ci reagować na wszelkie niepożądane problemy z dostawą.
  • Następnie pomożemy Ci przejść na politykę egzekwowania, która ostatecznie pomoże Ci uzyskać odporność na ataki typu domain spoofing i phishing.
  • Dzięki naszemu mechanizmowi Threat Intelligence można zdjąć złośliwe adresy IP i zgłosić je bezpośrednio z platformy PowerDMARC, aby uniknąć przyszłych ataków podszywania się.
  • Raporty PowerDMARC DMARC (RUF) Forensic pomagają uzyskać szczegółowe informacje o przypadkach, w których wiadomości e-mail nie spełniają wymogów DMARC, dzięki czemu można dotrzeć do źródła problemu i go rozwiązać.

Zapobiegaj spoofingowi domen i monitoruj przepływ e-maili z PowerDMARC, już dziś!

/przez