Stanowiska

W ramach DMARC istnieje znacznik polityki kwarantanny p=quarantine, który oznacza, że wiadomości są oznaczane jako spam, a następnie przekazywane do właściciela danej domeny w celu sprawdzenia. W ten sposób można z wyprzedzeniem wyłapać większość fałszywych domen. Ten przewodnik ma na celu pomóc w zrozumieniu, czym jest kwarantanna DMARC i jak działa DMARC z polityką p=kwarantanny.

Co to jest kwarantanna DMARC?

Kwarantanna DMARC jest jedną z trzech zasad DMARC (pozostałe dwie to p=none i p=reject) która nakazuje serwerowi odbierającemu pocztę e-mail umieszczenie wszystkich wiadomości e-mail, które nie przejdą uwierzytelnienia DMARC, w folderze spam/śmieci odbiorcy.

Po ustawieniu polityki DMARC na p=kwarantannainformujesz serwery pocztowe, że jeśli wiadomość e-mail nie przejdzie uwierzytelnienia DMARC, serwer powinien poddać ją kwarantannie. "Poddanie wiadomości e-mail kwarantannie oznacza, że nadal będzie ona dostarczona do skrzynki odbiorcy, ale zostanie oznaczona jako podejrzana i wysłana do folderu spamu (lub "poczty śmieciowej") zamiast do skrzynki odbiorczej.

Poniżej opisano sposób lokalizowania folderu spamu w usłudze GMAIL.

Rekord DMARC z polityką Kwarantanna może wyglądać następująco:

v=DMARC1; p=quarantine; rua=mailto:[email protected];

Jak realizowana jest polityka kwarantanny DMARC?

Zasady kwarantanny oznaczają, że dostawcy poczty elektronicznej, którzy otrzymują wiadomości od użytkownika, będą sprawdzać za pomocą DMARC aby sprawdzić, czy wiadomość przeszła uwierzytelnienie DKIM lub SPF, a także sprawdzą, czy domena znaleziona w adresie pasuje do domen znalezionych w dopasowaniu identyfikatorów SPF lub DKIM. Jeśli te kryteria są spełnione, dostawca poczty elektronicznej dostarczy wiadomość do skrzynki odbiorczej użytkownika. Jeśli jednak kryteria te nie są spełnione, dostawca poczty elektronicznej umieści wiadomość w folderze spamu lub ją odrzuci.

Analiza działania zasad kwarantanny DMARC krok po kroku

1. Gdy wiadomość e-mail jest wysyłana, odbiorca sprawdza, czy istnieje rekord DMARC.

2. Jeśli wiadomość nie przejdzie SPF lub DKIM, wówczas jest oceniana na podstawie parametrów wyrównania domen w rekordzie DMARC, które są przekazywane wraz z kontrolą DMARC. Wyrównanie domen odnosi się do tego, czy domena w adresie From jest zgodna z domeną w rekordzie SPF.

3. Opcje przetwarzania zdefiniowane w zasadach DMARC są oparte na tym, jak bardzo wiadomość jest zgodna z domeną wysyłającą.

4. Jeśli nadawca przejdzie pomyślnie proces uwierzytelniania, wiadomość zostanie dostarczona w zwykły sposób.

5. Jeśli natomiast nie jest on ściśle dopasowany, wówczas wykonywana jest zastosowana polityka DMARC (w naszym przypadku jest to p=kwarantanna).

6. Polityka DMARC p=kwarantanna nakazuje serwerowi odbiorczemu traktować wiadomości e-mail, które nie przejdą uwierzytelnienia DMARC, jako podejrzane; nie zostaną one dostarczone bezpośrednio do skrzynki odbiorczej użytkownika, ale nie zostaną też całkowicie odrzucone. Będą one umieszczane w folderze spamu lub folderze wiadomości-śmieci albo oznaczane w jakiś sposób, aby użytkownik wiedział, że wiadomość nie jest autentyczna.

Znaczenie zasad kwarantanny DMARC

DMARC jest skutecznym narzędziem zapobiegającym podszywaniu się pod pocztę elektroniczną, a zasady kwarantanny to świetny sposób na zabezpieczenie skrzynki odbiorczej bez wprowadzania wielu zmian w systemie.

Korzystanie z witryny p=kwarantanna mówi serwerowi pocztowemu, że wszystkie wiadomości, które nie mają nazwy domeny w polu "Od" (lub innych kryteriów) powinny być domyślnie poddawane kwarantannie.

Na przykład:

Jeśli spamer próbuje wysłać wiadomość e-mail z adresu "[email protected]", ale nie ma dostępu do informacji niezbędnych do podpisania jej za pomocą DKIM lub SPF, wiadomość ta zostanie poddana kwarantannie, a nie dostarczona. Chroni to Twoją skrzynkę odbiorczą przed wieloma niechcianymi wiadomościami.

Zasady kwarantanny są przydatne również dlatego, że redukują liczbę fałszywych alarmów - ponieważ nakazujesz serwerowi pocztowemu, aby poddał kwarantannie wszystkie wiadomości, które nie spełniają określonych kryteriów, nie musisz się martwić o identyfikację, które wiadomości są złośliwe, a które pochodzą z legalnych źródeł.

Znaczenie kwarantanny DMARC wyjaśnione na przykładzie

Załóżmy, że jesteś pracownikiem działu kadr w firmie Akme. Pewnego dnia Twój szef przysyła Ci wiadomość e-mail z prośbą o przelanie 1000 USD na konto bankowe dostawcy o nazwie Dynamic Corp.

Nigdy wcześniej nie słyszałeś o tym sprzedawcy. Nie sądzisz nawet, że Twoja firma współpracuje z dostawcami!

Ponieważ jednak wiadomość pochodzi z adresu e-mail szefa, a nie z jakiegoś przypadkowego konta, zakładasz, że jest prawdziwa. Przelewasz więc pieniądze.

Następnego dnia Twój szef pyta, dlaczego wysłałeś do DynamicCorp 1000 dolarów. Mówisz mu, że myślałeś, że on Cię o to prosił. Mówi Ci, że to ktoś podszywający się pod niego wysłał e-mail, o którym mowa, a on nigdy nie prosił Cię o dokonanie tej płatności!

Dzięki polityce kwarantanny DMARC taka sytuacja nigdy nie ma miejsca. Jeśli Akme ustanowi politykę kwarantanny DMARC za pomocą protokołu DMARC (publikując rekord DMARC TXT), to w przypadku, gdy ktoś sfałszuje domenę Akme i wyśle wiadomość e-mail, jak ta, podając się za wiadomość od Akme HR, skrzynka odbiorcza odbiorcy oznaczy wiadomość jako spam lub wiadomości-śmieci, zapobiegając problemowi, zanim jeszcze zdąży się on rozpocząć.

Zalecany odsetek wiadomości poddawanych kwarantannie w rekordzie DMARC

Podczas konfigurowania rekordu DMARC należy pamiętać, że kwarantanna może spowodować utratę niektórych dobrych wiadomości. W tym miejscu pojawia się wartość procentowa - mówi ona odbierającym serwerom pocztowym, jaki procent wiadomości powinien być traktowany jako spam. Oznacza to, że na każde 100 wiadomości tylko [x] zostanie poddane kwarantannie.

Dla małych organizacji zalecamy wartość 10%. Oznacza to, że jeśli ktoś wyśle do Ciebie wiadomość e-mail, która nie przejdzie pomyślnie kontroli DMARC, istnieje tylko jedna szansa na dziesięć, że zostanie ona poddana kwarantannie jako spam. W ten sposób zmniejsza się ryzyko utraty legalnych wiadomości, a jednocześnie można przetestować konfigurację DMARC na prawdziwych wiadomościach.

W przypadku dużych organizacji zalecamy znacznie niższy odsetek - około 1%. W przypadku dużych organizacji oznacza to, że jeśli ktoś wyśle wiadomość e-mail, która nie przejdzie uwierzytelniania DMARC, istnieje jedna szansa na 100, że zostanie ona poddana kwarantannie jako spam. W przypadku dużej organizacji może zaistnieć potrzeba zaufania niektórym nadawcom tylko na podstawie ich adresu IP lub nazwy domeny - na przykład, jeśli budynek biurowy znajduje się na wspólnej przestrzeni i ma jeden adres IP dla wszystkich lokatorów.

Przykład rekordu DMARC z tagiem procent:

 

v=DMARC1; p=kwarantanna; pct=10%; adkim=r; aspf=r; rua=mailto:[email protected];

pct= reprezentuje procent emaili, które mają być próbkowane. Jeśli więc znacznik pct ma wartość 100, to każdy email zostanie pobrany do próby. Jeśli znacznik pct ma wartość 10, to próbkowany będzie 1 z każdych 10 wiadomości.

p=brak VS p=kwarantanna VS p=odrzucenie

  • p=none oznacza po prostu, że serwery odbiorców będą monitorować emaile przychodzące z Twojej domeny, ale nie będą blokować żadnych wiadomości, które mogą być fałszywe. Jest to dobry sposób, aby rozpocząć monitorowanie oszustw, ale nie robi tak wiele, aby im zapobiec. 
  • p=kwarantanna to sposób na poinformowanie serwerów odbiorców, że chcesz, aby wszystkie wiadomości wysłane z Twojej domeny, które nie przejdą kontroli SPF lub DKIM, zostały umieszczone w folderze spamu w skrzynce odbiorczej, zamiast w zwykłej skrzynce odbiorczej. 
  • p=reject idzie o krok dalej i mówi serwerowi odbiorcy, aby odrzucił wszystkie e-maile wysłane z Twojej domeny, które nie przejdą kontroli SPF lub DKIM. Oznacza to, że takie wiadomości nigdy nie trafią do skrzynki odbiorczej (lub nawet do folderu spam) użytkownika, który je otrzyma.

Mamy nadzieję, że zrozumiałeś, czym jest i jak działa kwarantanna DMARC. Jeśli chcesz dowiedzieć się więcej o DMARC, PowerDMARC oferuje wiele narzędzi, które pomogą Ci w tym procesie. Należą do nich Analizator raportów DMARC który podsumowuje aktualny rekord DMARC i wykrywa wszelkie istniejące problemy, a także generator SPF dzięki któremu można za darmo utworzyć własne rekordy SPF dla swojej domeny.