Stanowiska

DMARC fail dla twoich wiadomości jest powodem do niepokoju, jeśli jesteś organizacją mocno polegającą na e-mailach zarówno w komunikacji zewnętrznej jak i wewnętrznej. Istnieją metody, jak również narzędzia, których możesz użyć online (za darmo), aby zatrzymać DMARC fail dla twoich wiadomości.

W tym artykule dokładnie obalimy 6 głównych powodów niepowodzenia DMARC i jak można je złagodzić, aby poprawić dostarczalność.

Zanim przejdziemy do tego, dlaczego DMARC zawodzi, zobaczmy, co to jest i jak może pomóc:

DMARC to kluczowe działanie w polityce uwierzytelniania poczty elektronicznej, które pomaga zapobiegać przechodzeniu sfałszowanych wiadomości "spoofed" przez filtry antyspamowe. Jest to jednak tylko jeden z filarów całego programu antyspamowego i nie wszystkie raporty DM ARC są sobie równe. Niektóre z nich podają dokładne działania, jakie odbiorcy poczty podjęli w stosunku do każdej wiadomości, a inne mówią tylko o tym, czy wiadomość została pomyślnie odebrana, czy nie. Zrozumienie, dlaczego wiadomość się nie powiodła, jest równie ważne jak wiedza o tym, czy się powiodła.

Najczęstsze powody, dla których DMARC może zawieść

Ustalenie dlaczego DMARC zawodzi może być skomplikowane. Jednak przejdę przez kilka typowych powodów i czynników, które przyczyniają się do nich, abyś jako właściciel domeny mógł pracować nad usunięciem problemu szybciej.

Błędy w dostosowaniu DMARC

DMARC wykorzystuje dopasowanie domen do uwierzytelniania twoich e-maili. Oznacza to, że DMARC sprawdza czy domena wymieniona w adresie From (w widocznym nagłówku) jest autentyczna poprzez dopasowanie jej do domeny wymienionej w ukrytym nagłówku Return-path (dla SPF) i nagłówku sygnatury DKIM (dla DKIM). Jeśli któraś z nich pasuje, wiadomość przechodzi przez DMARC, w przeciwnym razie DMARC nie przechodzi.

Stąd, jeśli Twoje emaile nie spełniają wymogów DMARC, może to być przypadek błędnego dopasowania domeny. Oznacza to, że ani SPF ani DKIM nie są zgodne i email wydaje się być wysłany z nieautoryzowanego źródła. Jest to jednak tylko jeden z powodów, dla których DMARC zawodzi.

DMARC Alignment Mode 

Twój tryb wyrównania protokołu również odgrywa ogromną rolę w przechodzeniu lub nie przechodzeniu wiadomości DMARC. Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania SPF:

  • Relaxed: Oznacza to, że jeśli domena w nagłówku Return-path i domena w nagłówku From są po prostu dopasowane organizacyjnie, nawet wtedy SPF przejdzie.
  • Strict: Oznacza to, że tylko jeśli domena w nagłówku Return-path i domena w nagłówku From są dokładnym dopasowaniem, tylko wtedy SPF przejdzie.

Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania DKIM:

  • Zrelaksowany: To oznacza, że jeśli domena w podpisie DKIM i domena w nagłówku From jest po prostu organizacyjnym dopasowaniem, nawet wtedy DKIM przejdzie.
  • Strict: Oznacza to, że tylko jeśli domena w podpisie DKIM i domena w nagłówku From jest dokładnym dopasowaniem, tylko wtedy DKIM przejdzie.

Zauważ, że aby emaile przeszły uwierzytelnienie DMARC, albo SPF albo DKIM muszą być zgodne.  

Nie skonfigurowanie sygnatury DKIM 

Bardzo częstym przypadkiem, w którym Twój DMARC może zawieść jest to, że nie określiłeś podpisu DKIM dla swojej domeny. W takich przypadkach, Twój dostawca usług wymiany emaili przypisuje domyślny podpis DKIM do wychodzących emaili, które nie są zgodne z domeną w Twoim nagłówku From. Odbierający MTA nie zdoła wyrównać obu domen, a co za tym idzie, DKIM i DMARC nie zadziałają dla twojej wiadomości (jeśli twoje wiadomości są wyrównane zarówno z SPF jak i DKIM).

Nie dodajesz źródeł wysyłania do swojego DNS 

Ważne jest, aby pamiętać, że kiedy skonfigurujesz DMARC dla swojej domeny, odbierające MTA wykonują zapytania DNS w celu autoryzacji Twoich źródeł wysyłających. Oznacza to, że jeśli nie masz wszystkich autoryzowanych źródeł wysyłania wymienionych w DNS Twojej domeny, Twoje emaile nie przejdą DMARC dla tych źródeł, które nie są wymienione, ponieważ odbiorca nie będzie w stanie znaleźć ich w DNS. W związku z tym, aby upewnić się, że Twoje legalne emaile są zawsze dostarczane, upewnij się, że wpisy wszystkich autoryzowanych dostawców poczty elektronicznej, którzy są upoważnieni do wysyłania emaili w imieniu Twojej domeny, znajdują się w DNS.

W przypadku przekazywania wiadomości e-mail

Podczas przekazywania wiadomości e-mail, wiadomość przechodzi przez serwer pośredniczący, zanim zostanie ostatecznie dostarczona do serwera odbierającego. Podczas przesyłania dalej, sprawdzanie SPF nie powiedzie się, ponieważ adres IP serwera pośredniczącego nie pasuje do adresu IP serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest uwzględniony w rekordzie SPF serwera oryginalnego. Wręcz przeciwnie, przekazywanie emaili zazwyczaj nie ma wpływu na uwierzytelnianie emaili DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.

Jak wiemy, SPF nieuchronnie zawodzi podczas przekazywania wiadomości, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazana wiadomość e-mail zostanie uznana za nieautentyczną podczas uwierzytelniania DMARC. Aby rozwiązać ten problem, powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez wyrównanie i uwierzytelnienie wszystkich wychodzących wiadomości zarówno względem SPF jak i DKIM, ponieważ aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie.

Twoja domena jest sfałszowana

Jeśli masz swoje protokoły DMARC, SPF i DKIM poprawnie skonfigurowane dla swojej domeny, z zasadami w egzekwowaniu i ważnymi rekordami wolnymi od błędów, a problem nie jest jednym z powyższych przypadków, wtedy najbardziej prawdopodobnym powodem, dla którego Twoje emaile nie spełniają wymogów DMARC jest to, że Twoja domena jest spoofowana lub sfałszowana. Dzieje się tak, gdy osoby podszywające się pod Twoją domenę i stwarzające zagrożenie próbują wysyłać e-maile, które wydają się pochodzić z Twojej domeny, używając złośliwego adresu IP.

Ostatnie statystyki dotyczące oszustw email owych wykazały, że przypadki spoofingu emaili rosną w ostatnim czasie i są bardzo dużym zagrożeniem dla reputacji Twojej organizacji. W takich przypadkach, jeśli masz DMARC zaimplementowany na polityce odrzucania, nie powiedzie się i spoofowany email nie zostanie dostarczony do skrzynki odbiorcy. Dlatego też spoofing domeny może być odpowiedzią na pytanie dlaczego DMARC zawodzi w większości przypadków.

Dlaczego DMARC nie działa w przypadku zewnętrznych dostawców skrzynek pocztowych? (Gmail, Mailchimp, Sendgrid itp.)

Jeśli korzystasz z zewnętrznych dostawców skrzynek pocztowych do wysyłania e-maili w Twoim imieniu, musisz włączyć dla nich protokoły DMARC, SPF, i/lub DKIM. Możesz to zrobić, kontaktując się z nimi i prosząc o implementację, lub wziąć sprawy w swoje ręce i ręcznie aktywować te protokoły. Aby to zrobić, musisz mieć dostęp do portalu konta hostowanego na każdej z tych platform (jako administrator).

Jeśli wiadomości Gmaila nie przechodzą pomyślnie przez protokół DMARC, przejdź do rekordu SPF swojej domeny i sprawdź, czy uwzględniono w nim _spf.google.com. Jeśli nie, może to być powodem, dla którego serwery odbiorcze nie rozpoznają Gmaila jako Twojego autoryzowanego źródła wysyłania. To samo dotyczy wiadomości wysyłanych za pomocą programów Mailchimp, Sendgrid i innych.

Jak usunąć awarię DMARC?

Aby usunąć awarię DMARC, zalecamy zarejestrowanie się w naszym darmowym DMARC Analyzer i rozpoczęcie podróży raportowania i monitorowania DMARC.

#Krok 1: Przy braku polityki, możesz zacząć od monitorowania swojej domeny za pomocą zbiorczych raportów DMARC (RUA) i mieć oko na swoje przychodzące i wychodzące wiadomości e-mail, to pomoże Ci odpowiedzieć na wszelkie niepożądane problemy z dostawą

#Krok 2: Po tym, pomożemy Ci przejść na wymuszoną politykę, która ostatecznie pomoże Ci w uzyskaniu odporności na ataki typu domain spoofing i phishing

#Krok 3: Usunięcie złośliwych adresów IP i zgłoszenie ich bezpośrednio z platformy PowerDMARC, aby uniknąć przyszłych ataków podszywania się, z pomocą naszego silnika Threat Intelligence

#Krok 4: Włącz raporty DMARC (RUF) Forensic, aby uzyskać szczegółowe informacje o przypadkach, w których Twoje e-maile nie spełniły wymogów DMARC, dzięki czemu możesz dotrzeć do źródła problemu i naprawić go szybciej

Jak radzić sobie z wiadomościami, które nie spełniają wymogów DMARC?

Zauważ, że wiadomość może nie przejść przez DMARC ze względu na zwykłe okoliczności, takie jak zagrożenie spoofingiem, nie przechodząc wyrównania dla a) tylko DKIM b) tylko SPF c) obu. Jeśli nie powiedzie się w obu przypadkach, Twoja wiadomość zostanie uznana za nieautoryzowaną. Możesz skonfigurować odpowiednią politykę DMARC, aby poinstruować odbiorców jak mają reagować na takie wiadomości.

Mamy nadzieję, że udało nam się rozwiązać problem, dlaczego DMARC nie działa dla Twojej domeny i podać rozwiązanie, jak łatwo rozwiązać ten problem. Aby zapobiec spoofingowi domen i monitorować przepływ emaili z PowerDMARC, już dziś!

Użytkownicy systemów informatycznych w dużych organizacjach często silnie reagują na swoje doświadczenia z systemem. Konieczność poruszania się w środowisku informatycznym złożonym z niezliczonej ilości rozwiązań punktowych może być frustrująca dla użytkowników końcowych. W związku z tym wiele działów tworzy i opiera się na własnych rozwiązaniach punktowych, aby przezwyciężyć postrzegane ograniczenia jednego, ogólnoorganizacyjnego rozwiązania. W ten sposób narodziło się Shadow IT. Dział, który posiada zasoby shadow IT, jest bardziej elastyczny w swoich procesach. Unika także, często niemożliwego do osiągnięcia, dopasowania pomiędzy działami - co jest główną korzyścią, wokół której się obraca. Shadow IT stwarza jednak kolosalny zbiór zagrożeń i wyzwań związanych z bezpieczeństwem, które całkowicie niweczą jego jedyną zaletę. Te zagrożenia bezpieczeństwa mogą być rozwiązane dzięki DMARC .

Dowiedzmy się więcej o tym, czym jest Shadow IT i jak DMARC pomaga zwalczać zagrożenia bezpieczeństwa Shadow IT dzięki zwiększonej widoczności.

Czym jest Shadow IT?

Duże firmy często posiadają duże centralne działy IT, które monitorują sieci, zapewniają wsparcie i zarządzają usługami wykorzystywanymi przez organizację. Jednak w ostatnich latach zaobserwowano, że rozpoczął się trend shadow IT, ponieważ pracownicy często omijają centralne organy i kupują własne technologie, aby realizować cele związane z pracą. W coraz bardziej mobilnym świecie pracownicy wolą przynosić do pracy własne urządzenia, ponieważ już je mają, są z nimi zaznajomieni lub nie są tak obciążeni przez dział IT, który wymaga skomplikowanej konfiguracji. W miarę jak aplikacje konsumenckie oparte na chmurze zyskują na popularności, rośnie popularność shadow IT. RSA , oddział firmy EMC zajmujący się bezpieczeństwem, podaje, że 35 procent pracowników obchodzi zasady bezpieczeństwa obowiązujące w ich firmach, aby wykonać swoją pracę.

Choć szacuje się, że tak znaczna populacja pracowników należących do innych działów wykorzystywałaby niezgodne z przepisami metody wykonywania swojej pracy, firmy muszą pamiętać, że niekontrolowane wykorzystanie Shadow IT może prowadzić do utraty produktywności i bezpieczeństwa.

Zagrożenia i wyzwania dla organizacji związane z Shadow IT

Według ostatniego badania przeprowadzonego przez Cloud Computing Association, ponad 30% firm korzysta z aplikacji w chmurze, o których nie wie dział IT. Wiele firm boryka się z naruszeniami danych i awariami spowodowanymi korzystaniem z aplikacji w chmurze. Te aplikacje w chmurze są zazwyczaj już używane przez pracowników, ale nie są monitorowane przez dział IT.

Nigdy nie wiesz, kiedy dział nieinformatyczny w Twojej firmie używa Shadow IT do obejścia zabezpieczeń organizacyjnych i wysyła wiadomości e-mail przy użyciu aplikacji i usług w chmurze, które nie są autoryzowanymi źródłami wysyłania dla Twojej organizacji, wykorzystując Twoją tożsamość. Może to utorować drogę do niefiltrowanych złośliwych działań, spamu i wymiany fałszywych wiadomości, które mogą potencjalnie zaszkodzić reputacji i wiarygodności Twojej firmy. Shadow IT, jak to się nazywa, może być podatne na naruszenia danych i awarie systemu, jeśli nie jest odpowiednio monitorowane. Właśnie w tym miejscu wkracza DMARC, aby rozwiązać problem ryzyka związanego z Shadow IT w zakresie bezpieczeństwa poprzez uwierzytelnianie źródeł wysyłania, nawet jeśli uda im się ominąć zintegrowane bramki bezpieczeństwa, aby dotrzeć do serwera poczty elektronicznej Twojego klienta.

Jak DMARC chroni przed zagrożeniami stwarzanymi przez Shadow IT

Podstawowym problemem wywołanym przez Shadow IT jest brak widoczności działań poszczególnych działów i ich komunikacji z zewnętrznymi źródłami, takimi jak klienci i partnerzy, za pośrednictwem zewnętrznych usług wymiany poczty elektronicznej, bez wiedzy działu IT. To zwiększone i nieautoryzowane wykorzystanie aplikacji opartych na chmurze do wymiany informacji i komunikacji powoduje duży napływ oszustw e-mailowych, ataków podszywania się i BEC. DMARC jako najbardziej rekomendowany protokół uwierzytelniania poczty elektronicznej w branży pomaga organizacjom być o krok przed działaniami Shadow IT.

  • Zbiorcze raporty DMARC zapewniają wgląd w źródła wysyłania i stojące za nimi adresy IP, pokazując działowi IT dokładne pochodzenie wszystkich nieautoryzowanych źródeł wysyłania.
  • Dzięki wdrożeniu DMARC w Twojej organizacji, emaile pochodzące z nielegalnych źródeł są odrzucane przez MTA zanim trafią do skrzynki odbiorczej Twojego klienta.
  • Raporty kryminalistyczne DMARC szczegółowo opisują wszelkie próby spoofingu domen, podszywania się pod domeny, BEC i innych oszustw.
  • Pomaga to położyć kres praktykom Shadow IT stosowanym przez działy nieinformatyczne bez zgody działu IT.
  • Pomaga to również w uzyskaniu widoczności na wszystkie e-maile wysyłane do i z domeny przez różne działy przez cały czas, co one obejmują, a status ich uwierzytelniania

Już dziś zarejestruj się w DMARC analyzer i rozpocznij swoją podróż w kierunku uwierzytelniania poczty elektronicznej, aby ograniczyć działania Shadow IT w Twojej organizacji i zachować pełną przejrzystość we wszystkich działach.

W porządku, właśnie przeszedłeś przez cały proces ustawiania DMARC dla swojej domeny. Opublikowałeś swoje rekordy SPF, DKIM i DMARC, przeanalizowałeś wszystkie swoje raporty, naprawiłeś problemy z dostarczaniem, podniosłeś swój poziom egzekwowania z p=none do kwarantanny i w końcu do odrzucenia. Jesteś oficjalnie w 100% wzmocniony DMARC. Gratulacje! Teraz tylko Twoje maile trafiają do skrzynek pocztowych. Nikt nie będzie podszywał się pod Twoją markę, jeśli możesz coś na to poradzić.

Więc to już wszystko, prawda? Twoja domena jest zabezpieczona i wszyscy możemy iść do domu szczęśliwi, wiedząc, że Twoje e-maile będą bezpieczne. Prawda...?

Cóż, nie do końca. DMARC jest trochę jak ćwiczenia i dieta: robisz to przez jakiś czas i tracisz kilka kilogramów i dostajesz trochę chorego brzucha, i wszystko idzie świetnie. Ale jeśli przestaniesz, wszystkie te zyski, które właśnie osiągnąłeś, powoli będą się zmniejszać, a ryzyko spoofingu zacznie się wkradać z powrotem. Ale nie wariuj! Podobnie jak w przypadku diety i ćwiczeń, uzyskanie sprawności fizycznej (tj. uzyskanie 100% egzekwowania) jest najtrudniejszą częścią. Kiedy już to zrobisz, musisz tylko utrzymać to na tym samym poziomie, co jest znacznie łatwiejsze.

Dobra, koniec z analogiami, przejdźmy do rzeczy. Jeśli właśnie wdrożyłeś i egzekwujesz DMARC na swojej domenie, jaki jest następny krok? Jak dalej utrzymywać bezpieczeństwo domeny i kanałów email?

Co zrobić po osiągnięciu egzekwowania DMARC?

Powodem nr 1, dla którego bezpieczeństwo poczty elektronicznej nie kończy się po prostu po osiągnięciu 100% skuteczności, jest fakt, że schematy ataków, oszustwa phishingowe i źródła wysyłania wiadomości ciągle się zmieniają. Popularny trend w oszustwach e-mailowych często nie trwa nawet dłużej niż kilka miesięcy. Pomyśl o atakach ransomware WannaCry w 2018 r. lub nawet o czymś tak niedawnym jak np. Oszustwa phishingowe WHO Coronavirus na początku 2020 roku. Nie widzisz teraz wielu z nich na wolności, prawda?

Cyberprzestępcy nieustannie zmieniają swoje taktyki, a źródła złośliwych wysyłek ciągle się zmieniają i mnożą, a Ty niewiele możesz na to poradzić. To, co możesz zrobić, to przygotować swoją markę na każdy możliwy cyberatak, który może na nią spaść. A sposobem na to jest monitorowanie i widoczność DMARC.

Nawet po wdrożeniu, nadal musisz mieć pełną kontrolę nad swoimi kanałami e-mailowymi. Oznacza to, że musisz wiedzieć, które adresy IP wysyłają e-maile przez Twoją domenę, gdzie masz problemy z dostarczaniem lub uwierzytelnianiem e-maili, a także zidentyfikować i zareagować na każdą potencjalną próbę spoofingu lub złośliwy serwer przeprowadzający kampanię phishingową w Twoim imieniu. Im więcej monitorujesz swoją domenę, tym lepiej ją zrozumiesz. A w konsekwencji, tym lepiej będziesz w stanie zabezpieczyć swoje e-maile, swoje dane i swoją markę.

Dlaczego monitorowanie DMARC jest tak ważne

Identyfikacja nowych źródeł poczty
Kiedy monitorujesz swoje kanały email, nie tylko sprawdzasz czy wszystko jest w porządku. Będziesz również szukał nowych IP wysyłających wiadomości z Twojej domeny. Twoja organizacja może co jakiś czas zmieniać swoich partnerów lub zewnętrznych dostawców, co oznacza, że ich adresy IP mogą stać się autoryzowane do wysyłania emaili w Twoim imieniu. Czy to nowe źródło wysyłania to tylko jeden z nowych dostawców, czy może ktoś próbuje podszyć się pod Twoją markę? Jeśli będziesz regularnie analizował swoje raporty, będziesz miał na to jednoznaczną odpowiedź.

PowerDMARC pozwala na przeglądanie raportów DMARC według każdego źródła wysyłania dla Twojej domeny.

Zrozumienie nowych trendów w nadużywaniu domen
Jak wspomniałem wcześniej, atakujący ciągle znajdują nowe sposoby na podszywanie się pod marki i oszukiwanie ludzi, aby przekazywali im dane i pieniądze. Ale jeśli zaglądasz do raportów DMARC tylko raz na kilka miesięcy, nie zauważysz żadnych wyraźnych oznak spoofingu. Jeśli nie będziesz regularnie monitorował ruchu email w swojej domenie, nie zauważysz trendów ani wzorców w podejrzanej aktywności, a kiedy zostaniesz trafiony atakiem spoofingowym, będziesz tak samo niezorientowany jak ludzie, do których kierowane są wiadomości. A uwierz mi, to nigdy nie jest dobry wygląd dla Twojej marki.

Znajdź i umieść na czarnej liście złośliwe adresy IP
Nie wystarczy tylko znaleźć, kto dokładnie próbuje nadużywać Twojej domeny, trzeba zamknąć je ASAP. Kiedy jesteś świadomy źródeł wysyłania, znacznie łatwiej jest wskazać obraźliwe IP, a kiedy już je znajdziesz, możesz zgłosić to IP do ich dostawcy usług hostingowych i umieścić je na czarnej liście. W ten sposób trwale wyeliminujesz to konkretne zagrożenie i unikniesz ataku typu spoofing.

Z Power Take Down, można znaleźć lokalizację złośliwego IP, ich historii nadużyć i mieć je usunięte.

Kontrola nad dostarczalnością
Nawet jeśli udało Ci się doprowadzić DMARC do poziomu 100% bez wpływu na wskaźniki dostarczalności, ważne jest, aby stale dbać o wysoką dostarczalność. W końcu jaki jest pożytek z tych wszystkich zabezpieczeń, jeśli żaden z emaili nie dociera do adresata? Dzięki monitorowaniu raportów emaili, możesz sprawdzić, które z nich przeszły, nie przeszły lub nie są zgodne z DMARC, a także odkryć źródło problemu. Bez monitorowania, nie byłoby możliwe, aby wiedzieć, czy Twoje e-maile są dostarczane, nie mówiąc już o usunięciu problemu.

PowerDMARC daje Ci możliwość przeglądania raportów w oparciu o status DMARC, dzięki czemu możesz natychmiast zidentyfikować, które z nich nie przeszły.

 

Nasza najnowocześniejsza platforma oferuje całodobowe monitorowanie domeny, a nawet zapewnia dedykowany zespół reagowania na naruszenia bezpieczeństwa, który może zarządzać naruszeniem bezpieczeństwa w Twoim imieniu. Dowiedz się więcej o rozszerzonym wsparciu technicznym PowerDMARC.

Na pierwszy rzut oka pakiet Office 365 firmy Microsoft wydaje się być całkiem... słodki, prawda? Nie tylko otrzymujesz całą masę aplikacji zwiększających produktywność, pamięć masową w chmurze i usługę poczty elektronicznej, ale także jesteś chroniony przed spamem dzięki własnym rozwiązaniom bezpieczeństwa poczty elektronicznej firmy Microsoft. Nic dziwnego, że jest to najszerzej rozpowszechnione rozwiązanie poczty elektronicznej dla przedsiębiorstw, z 54% udziałem w rynku i ponad 155 milionami aktywnych użytkowników. Prawdopodobnie Ty też jesteś jednym z nich.

Ale jeśli firma zajmująca się cyberbezpieczeństwem pisze bloga o Office 365, to musi być w tym coś więcej, prawda? No cóż, tak. Jest. Porozmawiajmy więc o tym, na czym dokładnie polega problem z opcjami bezpieczeństwa w usłudze Office 365 i dlaczego naprawdę musisz o tym wiedzieć.

Co jest dobre w zabezpieczeniach Microsoft Office 365

Zanim porozmawiamy o problemach z nim związanych, najpierw szybko usuńmy to z drogi: Microsoft Office 365 Advanced Threat Protection (co za nazwa) jest dość skuteczny w podstawowym zabezpieczeniu poczty elektronicznej. Będzie w stanie powstrzymać spam, złośliwe oprogramowanie i wirusy przed dostaniem się do skrzynki odbiorczej.

Jest to wystarczająco dobre rozwiązanie, jeśli szukasz tylko podstawowej ochrony antyspamowej. Ale na tym polega problem: spam o niskim poziomie zagrożenia, taki jak ten, zwykle nie stanowi największego zagrożenia. Większość dostawców poczty elektronicznej oferuje pewną formę podstawowej ochrony poprzez blokowanie wiadomości pochodzących z podejrzanych źródeł. Prawdziwym zagrożeniem - takim, które może spowodować, że Twoja organizacja straci pieniądze, dane i integralność marki - są wiadomoście-mail starannie zaprojektowane tak, abyś nie zorientował się, że są fałszywe.

W tym momencie wkraczasz na terytorium poważnej cyberprzestępczości.

Przed czym nie uchroni Cię Microsoft Office 365

Rozwiązanie bezpieczeństwa Microsoft Office 365 działa jak filtr antyspamowy, wykorzystując algorytmy do określenia, czy wiadomość e-mail jest podobna do innych wiadomości spamowych lub phishingowych. Ale co się stanie, gdy zostaniesz trafiony znacznie bardziej wyrafinowanym atakiem wykorzystującym inżynierię społeczną lub skierowanym do konkretnego pracownika lub grupy pracowników?

To nie jest zwykły spam rozsyłany do dziesiątek tysięcy osób naraz. Business Email Compromise (BEC) i Vendor Email Compromise (VEC) są przykładami tego, jak atakujący starannie wybierają cel, zdobywają więcej informacji o jego organizacji poprzez szpiegowanie jego poczty elektronicznej, a w strategicznym momencie wysyłają fałszywą fakturę lub prośbę za pośrednictwem poczty elektronicznej, prosząc o przekazanie pieniędzy lub udostępnienie danych.

Ta taktyka, szeroko znana jako spear phishing, sprawia wrażenie, że wiadomości e-mail pochodzą od kogoś z Twojej własnej organizacji, zaufanego partnera lub dostawcy. Nawet po dokładnym sprawdzeniu, wiadomości te mogą wyglądać bardzo realistycznie i są prawie niemożliwe do wykrycia, nawet dla doświadczonych ekspertów ds. bezpieczeństwa cybernetycznego.

Jeśli napastnik podszywa się pod Twojego szefa lub dyrektora generalnego Twojej organizacji i wysyła Ci wiadomość e-mail, jest mało prawdopodobne, że sprawdzisz, czy wiadomość wygląda na autentyczną, czy nie. Właśnie to sprawia, że oszustwa typu BEC i CEO są tak niebezpieczne. Usługa Office 365 nie będzie w stanie ochronić Cię przed tego typu atakami, ponieważ wiadomości te pozornie pochodzą od prawdziwej osoby, a algorytmy nie uznają ich za spam.

Jak można zabezpieczyć Office 365 przed BEC i Spear Phishingiem?

Domain-based Message Authentication, Reporting & Conformance, lub DMARC, jest protokołem bezpieczeństwa poczty elektronicznej, który wykorzystuje informacje dostarczone przez właściciela domeny do ochrony odbiorców przed spoofed email. Kiedy wdrożysz DMARC na domenie Twojej organizacji, serwery odbiorcze będą sprawdzać każdy email przychodzący z Twojej domeny pod kątem opublikowanych przez Ciebie rekordów DNS.

Ale jeśli Office 365 ATP nie może zapobiec ukierunkowanym atakom spoofingowym, to w jaki sposób robi to DMARC?

Cóż, DMARC działa zupełnie inaczej niż filtr antyspamowy. Podczas gdy filtry antyspamowe sprawdzają przychodzące wiadomości e-mail przychodzące do Twojej skrzynki odbiorczej, DMARC uwierzytelnia wychodzące wiadomości e-mail wysyłane przez domenę Twojej organizacji. Oznacza to, że jeśli ktoś próbuje podszywać się pod Twoją organizację i wysyłać Ci wiadomości phishingowe, tak długo, jak długo masz DMARC, wiadomości te zostaną wyrzucone do folderu spamu lub całkowicie zablokowane.

Oznacza to również, że jeśli cyberprzestępca wykorzystałby Twoją zaufaną markę do wysyłania wiadomości phishingowych, nawet Twoi klienci nie musieliby mieć z nimi do czynienia. DMARC w rzeczywistości pomaga chronić również Twoją firmę.

Ale to nie wszystko: Office 365 w rzeczywistości nie daje Twojej organizacji żadnej widoczności na temat ataku phishingowego, blokuje jedynie spam. Ale jeśli chcesz odpowiednio zabezpieczyć swoją domenę, musisz dokładnie wiedzieć, kto lub co próbuje podszyć się pod Twoją markę, i podjąć natychmiastowe działania. DMARC dostarcza takich danych, w tym adresów IP nadużywających źródeł nadawczych, jak również liczby wysyłanych przez nie e-maili. PowerDMARC przenosi to na wyższy poziom dzięki zaawansowanej analityce DM ARC bezpośrednio na pulpicie nawigacyjnym.

Dowiedz się więcej o tym, co PowerDMARC może zrobić dla Twojej marki.