Stanowiska

Uwierzytelnianie poczty elektronicznej jest kluczowym aspektem pracy dostawcy poczty elektronicznej. Uwierzytelnianie emaili znane również jako SPF i DKIM sprawdza tożsamość dostawcy emaili. DMARC dodaje do procesu weryfikacji emaili sprawdzając czy email został wysłany z legalnej domeny poprzez wyrównanie i określając serwerom odbiorczym jak reagować na wiadomości, które nie przejdą kontroli uwierzytelniania. Dzisiaj zamierzamy omówić różne scenariusze, które odpowiedzą na pytanie dlaczego DMARC zawodzi.

DMARC jest kluczowym elementem polityki uwierzytelniania poczty elektronicznej, który pomaga zapobiegać przechodzeniu sfałszowanych wiadomości "spoofed" przez filtry antyspamowe. Jest to jednak tylko jeden z filarów całego programu antyspamowego i nie wszystkie raporty DM ARC są sobie równe. Niektóre z nich podają dokładne działania, jakie odbiorcy poczty podjęli w stosunku do każdej wiadomości, a inne mówią tylko o tym, czy wiadomość zakończyła się sukcesem, czy nie. Zrozumienie dlaczego wiadomość się nie powiodła jest równie ważne jak to czy się powiodła. Poniższy artykuł wyjaśnia powody, dla których wiadomości nie przechodzą kontroli uwierzytelniania DMARC. Są to najczęstsze powody (niektóre z nich można łatwo naprawić), dla których wiadomości mogą nie przejść kontroli uwierzytelniania DMARC.

Najczęstsze powody, dla których wiadomości mogą nie przejść przez DMARC

Zidentyfikowanie dlaczego DMARC zawodzi może być skomplikowane. Jednak przejdę przez kilka typowych powodów, czynników, które przyczyniają się do nich, tak abyś jako właściciel domeny mógł pracować nad usunięciem problemu szybciej.

Błędy w dostosowaniu DMARC

DMARC wykorzystuje wyrównanie domen w celu uwierzytelnienia Twoich emaili. Oznacza to, że DMARC weryfikuje czy domena wymieniona w adresie From (w widocznym nagłówku) jest autentyczna poprzez dopasowanie jej do domeny wymienionej w ukrytym nagłówku Return-path (dla SPF) i nagłówku sygnatury DKIM (dla DKIM). Jeśli którakolwiek z nich pasuje, email przechodzi DMARC, w przeciwnym razie DMARC nie przejdzie.

Stąd, jeśli Twoje emaile nie spełniają wymogów DMARC, może to być przypadek błędnego dopasowania domeny. Oznacza to, że ani SPF ani DKIM nie są zgodne i email wydaje się być wysłany z nieautoryzowanego źródła. Jest to jednak tylko jeden z powodów, dla których DMARC zawodzi.

DMARC Alignment Mode 

Twój tryb wyrównania protokołu również odgrywa ogromną rolę w przechodzeniu lub nie przechodzeniu wiadomości DMARC. Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania SPF:

  • Relaxed: Oznacza to, że jeśli domena w nagłówku Return-path i domena w nagłówku From jest po prostu zgodna organizacyjnie, nawet wtedy SPF przejdzie.
  • Strict: Oznacza to, że tylko wtedy, gdy domena w nagłówku Return-path i domena w nagłówku From są dokładnie zgodne, tylko wtedy SPF przejdzie.

Możesz wybrać jeden z następujących trybów wyrównania dla uwierzytelniania DKIM:

  • Zrelaksowany: To oznacza, że jeśli domena w podpisie DKIM i domena w nagłówku From jest po prostu organizacyjnym dopasowaniem, nawet wtedy DKIM przejdzie.
  • Strict: Oznacza to, że tylko wtedy, gdy domena w podpisie DKIM i domena w nagłówku From jest dokładnym dopasowaniem, tylko wtedy DKIM przejdzie.

Zauważ, że aby emaile przeszły uwierzytelnienie DMARC, albo SPF albo DKIM muszą być zgodne.  

Nie skonfigurowanie sygnatury DKIM 

Bardzo częstym przypadkiem, w którym Twój DMARC może zawieść jest to, że nie określiłeś podpisu DKIM dla swojej domeny. W takich przypadkach, Twój dostawca usług wymiany emaili przypisuje domyślny podpis DKIM do Twoich wychodzących emaili, który nie jest zgodny z domeną w Twoim nagłówku From. Odbierający MTA nie zdoła wyrównać obu domen, a co za tym idzie, DKIM i DMARC nie zadziałają dla Twojej wiadomości (jeśli Twoje wiadomości są wyrównane zarówno względem SPF jak i DKIM).

Nie dodajesz źródeł wysyłania do swojego DNS 

Ważne jest, aby pamiętać, że kiedy skonfigurujesz DMARC dla swojej domeny, odbierające MTA wykonują zapytania DNS w celu autoryzacji Twoich źródeł wysyłających. Oznacza to, że jeśli nie masz wszystkich autoryzowanych źródeł wysyłania wymienionych w DNS Twojej domeny, Twoje emaile nie przejdą DMARC dla tych źródeł, które nie są wymienione, ponieważ odbiorca nie będzie w stanie znaleźć ich w DNS. W związku z tym, aby upewnić się, że twoje legalne emaile są zawsze dostarczane, upewnij się, że wpisy wszystkich autoryzowanych dostawców emaili, którzy są upoważnieni do wysyłania emaili w imieniu twojej domeny, znajdują się w twoim DNS.

W przypadku przekazywania wiadomości e-mail

Podczas przekazywania email i email przechodzi przez serwer pośredniczący zanim zostanie ostatecznie dostarczony do serwera odbierającego. Podczas przekazywania emaili sprawdzanie SPF kończy się niepowodzeniem, ponieważ adres IP serwera pośredniczącego nie zgadza się z adresem serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest zawarty w rekordzie SPF serwera oryginalnego. Z drugiej strony, przekazywanie wiadomości e-mail zazwyczaj nie ma wpływu na uwierzytelnianie poczty elektronicznej DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.

Jak wiemy, SPF nieuchronnie zawodzi podczas przekazywania wiadomości, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazana wiadomość e-mail zostanie uznana za nieautentyczną podczas uwierzytelniania DMARC. Aby rozwiązać ten problem, powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez wyrównanie i uwierzytelnienie wszystkich wychodzących wiadomości zarówno względem SPF jak i DKIM, ponieważ aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie.

Twoja domena jest sfałszowana

Jeśli masz swoje protokoły DMARC, SPF i DKIM poprawnie skonfigurowane dla swojej domeny, z zasadami w egzekwowaniu i ważnymi rekordami wolnymi od błędów, a problem nie jest jednym z powyższych przypadków, to najbardziej prawdopodobnym powodem, dla którego Twoje e-maile nie spełniają wymogów DMARC jest to, że Twoja domena jest spoofowana lub sfałszowana. Dzieje się tak, gdy osoby podszywające się pod Twoją domenę i stwarzające zagrożenie próbują wysyłać e-maile, które wydają się pochodzić z Twojej domeny, używając złośliwego adresu IP.

Ostatnie statystyki dotyczące oszustw email owych wykazały, że przypadki spoofingu emaili rosną w ostatnim czasie i są bardzo dużym zagrożeniem dla reputacji Twojej organizacji. W takich przypadkach, jeśli masz DMARC zaimplementowany na polityce odrzucania, nie powiedzie się i spoofowany email nie zostanie dostarczony do skrzynki odbiorcy. Dlatego też spoofing domeny może być odpowiedzią na pytanie dlaczego DMARC zawodzi w większości przypadków.

Zalecamy zarejestrowanie się w naszym darmowym DMARC Analyzer i rozpoczęcie swojej podróży z raportowaniem i monitorowaniem DMARC.

  • Dzięki braku polityki możesz monitorować swoją domenę za pomocą zbiorczych raportów DMARC (RUA) i mieć oko na swoje przychodzące i wychodzące e-maile, co pomoże Ci reagować na wszelkie niepożądane problemy z dostawą.
  • Następnie pomożemy Ci przejść na politykę egzekwowania, która ostatecznie pomoże Ci uzyskać odporność na ataki typu domain spoofing i phishing.
  • Dzięki naszemu mechanizmowi Threat Intelligence można zdjąć złośliwe adresy IP i zgłosić je bezpośrednio z platformy PowerDMARC, aby uniknąć przyszłych ataków podszywania się.
  • Raporty PowerDMARC DMARC (RUF) Forensic pomagają uzyskać szczegółowe informacje o przypadkach, w których wiadomości e-mail nie spełniają wymogów DMARC, dzięki czemu można dotrzeć do źródła problemu i go rozwiązać.

Zapobiegaj spoofingowi domen i monitoruj przepływ e-maili z PowerDMARC, już dziś!

W porządku, właśnie przeszedłeś przez cały proces ustawiania DMARC dla swojej domeny. Opublikowałeś swoje rekordy SPF, DKIM i DMARC, przeanalizowałeś wszystkie swoje raporty, naprawiłeś problemy z dostarczaniem, podniosłeś swój poziom egzekwowania z p=none do kwarantanny i w końcu do odrzucenia. Jesteś oficjalnie w 100% wzmocniony DMARC. Gratulacje! Teraz tylko Twoje maile trafiają do skrzynek pocztowych. Nikt nie będzie podszywał się pod Twoją markę, jeśli możesz coś na to poradzić.

Więc to już wszystko, prawda? Twoja domena jest zabezpieczona i wszyscy możemy iść do domu szczęśliwi, wiedząc, że Twoje e-maile będą bezpieczne. Prawda...?

Cóż, nie do końca. DMARC jest trochę jak ćwiczenia i dieta: robisz to przez jakiś czas i tracisz kilka kilogramów i dostajesz trochę chorego brzucha, i wszystko idzie świetnie. Ale jeśli przestaniesz, wszystkie te zyski, które właśnie osiągnąłeś, powoli będą się zmniejszać, a ryzyko spoofingu zacznie się wkradać z powrotem. Ale nie wariuj! Podobnie jak w przypadku diety i ćwiczeń, uzyskanie sprawności fizycznej (tj. uzyskanie 100% egzekwowania) jest najtrudniejszą częścią. Kiedy już to zrobisz, musisz tylko utrzymać to na tym samym poziomie, co jest znacznie łatwiejsze.

Dobra, koniec z analogiami, przejdźmy do rzeczy. Jeśli właśnie wdrożyłeś i egzekwujesz DMARC na swojej domenie, jaki jest następny krok? Jak dalej utrzymywać bezpieczeństwo domeny i kanałów email?

Co zrobić po osiągnięciu egzekwowania DMARC?

Powodem nr 1, dla którego bezpieczeństwo poczty elektronicznej nie kończy się po osiągnięciu 100% skuteczności, jest fakt, że schematy ataków, oszustwa phishingowe i źródła wysyłania wiadomości ciągle się zmieniają. Popularny trend w oszustwach e-mailowych często nie trwa nawet dłużej niż kilka miesięcy. Pomyślcie o atakach ransomware WannaCry w 2018 roku, czy nawet o czymś tak niedawnym jak oszustwa phishingowe WHO Coronavirus na początku 2020 roku. Nie widzisz ich teraz zbyt wiele na wolności, prawda?

Cyberprzestępcy nieustannie zmieniają swoje taktyki, a źródła złośliwych wysyłek ciągle się zmieniają i mnożą, a Ty niewiele możesz na to poradzić. To, co możesz zrobić, to przygotować swoją markę na każdy możliwy cyberatak, który może na nią spaść. A sposobem na to jest monitorowanie i widoczność DMARC.

Nawet po wdrożeniu, nadal musisz mieć pełną kontrolę nad swoimi kanałami e-mailowymi. Oznacza to, że musisz wiedzieć, które adresy IP wysyłają e-maile przez Twoją domenę, gdzie masz problemy z dostarczaniem lub uwierzytelnianiem e-maili, a także zidentyfikować i zareagować na każdą potencjalną próbę spoofingu lub złośliwy serwer przeprowadzający kampanię phishingową w Twoim imieniu. Im więcej monitorujesz swoją domenę, tym lepiej ją zrozumiesz. A w konsekwencji, tym lepiej będziesz w stanie zabezpieczyć swoje e-maile, swoje dane i swoją markę.

Dlaczego monitorowanie DMARC jest tak ważne

Identyfikacja nowych źródeł poczty
Kiedy monitorujesz swoje kanały email, nie tylko sprawdzasz czy wszystko jest w porządku. Będziesz również szukał nowych IP wysyłających wiadomości z Twojej domeny. Twoja organizacja może co jakiś czas zmieniać swoich partnerów lub zewnętrznych dostawców, co oznacza, że ich adresy IP mogą stać się autoryzowane do wysyłania emaili w Twoim imieniu. Czy to nowe źródło wysyłania to tylko jeden z nowych dostawców, czy może ktoś próbuje podszyć się pod Twoją markę? Jeśli będziesz regularnie analizował swoje raporty, będziesz miał na to jednoznaczną odpowiedź.

PowerDMARC pozwala na przeglądanie raportów DMARC według każdego źródła wysyłania dla Twojej domeny.

Zrozumienie nowych trendów w nadużywaniu domen
Jak wspomniałem wcześniej, atakujący ciągle znajdują nowe sposoby na podszywanie się pod marki i oszukiwanie ludzi, aby przekazywali im dane i pieniądze. Ale jeśli zaglądasz do raportów DMARC tylko raz na kilka miesięcy, nie zauważysz żadnych wyraźnych oznak spoofingu. Jeśli nie będziesz regularnie monitorował ruchu email w swojej domenie, nie zauważysz trendów ani wzorców w podejrzanej aktywności, a kiedy zostaniesz trafiony atakiem spoofingowym, będziesz tak samo niezorientowany jak ludzie, do których kierowane są wiadomości. A uwierz mi, to nigdy nie jest dobry wygląd dla Twojej marki.

Znajdź i umieść na czarnej liście złośliwe adresy IP
Nie wystarczy tylko znaleźć, kto dokładnie próbuje nadużywać Twojej domeny, trzeba zamknąć je ASAP. Kiedy jesteś świadomy źródeł wysyłania, znacznie łatwiej jest wskazać obraźliwe IP, a kiedy już je znajdziesz, możesz zgłosić to IP do ich dostawcy usług hostingowych i umieścić je na czarnej liście. W ten sposób trwale wyeliminujesz to konkretne zagrożenie i unikniesz ataku typu spoofing.

Z Power Take Down, można znaleźć lokalizację złośliwego IP, ich historii nadużyć i mieć je usunięte.

Kontrola nad dostarczalnością
Nawet jeśli udało Ci się doprowadzić DMARC do poziomu 100% bez wpływu na wskaźniki dostarczalności, ważne jest, aby stale dbać o wysoką dostarczalność. W końcu jaki jest pożytek z tych wszystkich zabezpieczeń, jeśli żaden z emaili nie dociera do adresata? Dzięki monitorowaniu raportów emaili, możesz sprawdzić, które z nich przeszły, nie przeszły lub nie są zgodne z DMARC, a także odkryć źródło problemu. Bez monitorowania, nie byłoby możliwe, aby wiedzieć, czy Twoje e-maile są dostarczane, nie mówiąc już o usunięciu problemu.

PowerDMARC daje Ci możliwość przeglądania raportów w oparciu o status DMARC, dzięki czemu możesz natychmiast zidentyfikować, które z nich nie przeszły.

 

Nasza najnowocześniejsza platforma oferuje całodobowe monitorowanie domeny, a nawet zapewnia dedykowany zespół reagowania na naruszenia bezpieczeństwa, który może zarządzać naruszeniem bezpieczeństwa w Twoim imieniu. Dowiedz się więcej o rozszerzonym wsparciu technicznym PowerDMARC.

Na pierwszy rzut oka pakiet Office 365 firmy Microsoft wydaje się być całkiem... słodki, prawda? Nie tylko otrzymujesz całą masę aplikacji zwiększających produktywność, pamięć masową w chmurze i usługę poczty elektronicznej, ale także jesteś chroniony przed spamem dzięki własnym rozwiązaniom bezpieczeństwa poczty elektronicznej firmy Microsoft. Nic dziwnego, że jest to najszerzej rozpowszechnione rozwiązanie poczty elektronicznej dla przedsiębiorstw, z 54% udziałem w rynku i ponad 155 milionami aktywnych użytkowników. Prawdopodobnie Ty też jesteś jednym z nich.

Ale jeśli firma zajmująca się cyberbezpieczeństwem pisze bloga o Office 365, to musi być w tym coś więcej, prawda? No cóż, tak. Jest. Porozmawiajmy więc o tym, na czym dokładnie polega problem z opcjami bezpieczeństwa w usłudze Office 365 i dlaczego naprawdę musisz o tym wiedzieć.

Co jest dobre w zabezpieczeniach Microsoft Office 365

Zanim porozmawiamy o problemach z nim związanych, najpierw szybko usuńmy to z drogi: Microsoft Office 365 Advanced Threat Protection (co za nazwa) jest dość skuteczny w podstawowym zabezpieczeniu poczty elektronicznej. Będzie w stanie powstrzymać spam, złośliwe oprogramowanie i wirusy przed dostaniem się do skrzynki odbiorczej.

Jest to wystarczająco dobre rozwiązanie, jeśli szukasz tylko podstawowej ochrony antyspamowej. Ale na tym polega problem: spam o niskim poziomie zagrożenia, taki jak ten, zwykle nie stanowi największego zagrożenia. Większość dostawców poczty elektronicznej oferuje pewną formę podstawowej ochrony poprzez blokowanie wiadomości pochodzących z podejrzanych źródeł. Prawdziwym zagrożeniem - takim, które może spowodować, że Twoja organizacja straci pieniądze, dane i integralność marki - są wiadomoście-mail starannie zaprojektowane tak, abyś nie zorientował się, że są fałszywe.

W tym momencie wkraczasz na terytorium poważnej cyberprzestępczości.

Przed czym nie uchroni Cię Microsoft Office 365

Rozwiązanie bezpieczeństwa Microsoft Office 365 działa jak filtr antyspamowy, wykorzystując algorytmy do określenia, czy wiadomość e-mail jest podobna do innych wiadomości spamowych lub phishingowych. Ale co się stanie, gdy zostaniesz trafiony znacznie bardziej wyrafinowanym atakiem wykorzystującym inżynierię społeczną lub skierowanym do konkretnego pracownika lub grupy pracowników?

To nie jest zwykły spam rozsyłany do dziesiątek tysięcy osób naraz. Business Email Compromise (BEC) i Vendor Email Compromise (VEC) są przykładami tego, jak atakujący starannie wybierają cel, zdobywają więcej informacji o jego organizacji poprzez szpiegowanie jego poczty elektronicznej, a w strategicznym momencie wysyłają fałszywą fakturę lub prośbę za pośrednictwem poczty elektronicznej, prosząc o przekazanie pieniędzy lub udostępnienie danych.

Ta taktyka, szeroko znana jako spear phishing, sprawia wrażenie, że wiadomości e-mail pochodzą od kogoś z Twojej własnej organizacji, zaufanego partnera lub dostawcy. Nawet po dokładnym sprawdzeniu, wiadomości te mogą wyglądać bardzo realistycznie i są prawie niemożliwe do wykrycia, nawet dla doświadczonych ekspertów ds. bezpieczeństwa cybernetycznego.

Jeśli napastnik podszywa się pod Twojego szefa lub dyrektora generalnego Twojej organizacji i wysyła Ci wiadomość e-mail, jest mało prawdopodobne, że sprawdzisz, czy wiadomość wygląda na autentyczną, czy nie. Właśnie to sprawia, że oszustwa typu BEC i CEO są tak niebezpieczne. Usługa Office 365 nie będzie w stanie ochronić Cię przed tego typu atakami, ponieważ wiadomości te pozornie pochodzą od prawdziwej osoby, a algorytmy nie uznają ich za spam.

Jak można zabezpieczyć Office 365 przed BEC i Spear Phishingiem?

Domain-based Message Authentication, Reporting & Conformance, lub DMARC, jest protokołem bezpieczeństwa poczty elektronicznej, który wykorzystuje informacje dostarczone przez właściciela domeny do ochrony odbiorców przed spoofed email. Kiedy wdrożysz DMARC na domenie Twojej organizacji, serwery odbiorcze będą sprawdzać każdy email przychodzący z Twojej domeny pod kątem opublikowanych przez Ciebie rekordów DNS.

Ale jeśli Office 365 ATP nie może zapobiec ukierunkowanym atakom spoofingowym, to w jaki sposób robi to DMARC?

Cóż, DMARC działa zupełnie inaczej niż filtr antyspamowy. Podczas gdy filtry antyspamowe sprawdzają przychodzące wiadomości e-mail przychodzące do Twojej skrzynki odbiorczej, DMARC uwierzytelnia wychodzące wiadomości e-mail wysyłane przez domenę Twojej organizacji. Oznacza to, że jeśli ktoś próbuje podszywać się pod Twoją organizację i wysyłać Ci wiadomości phishingowe, tak długo, jak długo masz DMARC, wiadomości te zostaną wyrzucone do folderu spamu lub całkowicie zablokowane.

Oznacza to również, że jeśli cyberprzestępca wykorzystałby Twoją zaufaną markę do wysyłania wiadomości phishingowych, nawet Twoi klienci nie musieliby mieć z nimi do czynienia. DMARC w rzeczywistości pomaga chronić również Twoją firmę.

Ale to nie wszystko: Office 365 w rzeczywistości nie daje Twojej organizacji żadnej widoczności na temat ataku phishingowego, blokuje jedynie spam. Ale jeśli chcesz odpowiednio zabezpieczyć swoją domenę, musisz dokładnie wiedzieć, kto lub co próbuje podszyć się pod Twoją markę, i podjąć natychmiastowe działania. DMARC dostarcza takich danych, w tym adresów IP nadużywających źródeł nadawczych, jak również liczby wysyłanych przez nie e-maili. PowerDMARC przenosi to na wyższy poziom dzięki zaawansowanej analityce DM ARC bezpośrednio na pulpicie nawigacyjnym.

Dowiedz się więcej o tym, co PowerDMARC może zrobić dla Twojej marki.

 

Podczas gdy organizacje zakładają na całym świecie fundusze charytatywne do walki z Covid-19, inny rodzaj walki toczy się w elektronicznych przewodach Internetu. Podczas pandemii koronawirusa tysiące ludzi na całym świecie padło ofiarą spoofingu i oszustw e-mailowych związanych z Covid-19. Coraz częściej zdarza się, że cyberprzestępcy wykorzystują w swoich e-mailach prawdziwe nazwy domen tych organizacji, aby sprawić wrażenie, że są one legalne.

W najnowszym głośnym oszustwie związanym z koronawirusem, na cały świat rozesłano wiadomość e-mail pochodzącą rzekomo od Światowej Organizacji Zdrowia (WHO) z prośbą o wpłaty na Fundusz Solidarności. Adres nadawcy brzmiał "[email protected]", gdzie "who.int" to prawdziwa nazwa domeny WHO. Potwierdzono, że e-mail był oszustwem phishingowym, ale na pierwszy rzut oka wszystko wskazywało na to, że nadawca jest prawdziwy. W końcu domena należała do prawdziwej WHO. Czytaj więcej.

darowizna fundusz reagowania

Jednak jest to tylko jedno z coraz większej serii oszustw phishingowych, które wykorzystują e-maile związane z koronawirusem do kradzieży pieniędzy i poufnych informacji od ludzi. Ale jeśli nadawca posługuje się prawdziwą nazwą domeny, jak możemy odróżnić prawdziwą wiadomość e-mail od fałszywej? Dlaczego cyberprzestępcom tak łatwo udaje się wykorzystać spoofing domeny e-mail w tak dużej organizacji?

A skąd podmioty takie jak WHO mają wiedzieć, że ktoś używa ich domeny do przeprowadzenia ataku phishingowego?

Poczta elektroniczna jest najpowszechniej używanym narzędziem komunikacji biznesowej na świecie, a mimo to jest protokołem całkowicie otwartym. Sam w sobie, bardzo niewiele pozwala na monitorowanie, kto wysyła jakie wiadomości i z jakiego adresu e-mail. Staje się to ogromnym problemem, gdy atakujący podszywają się pod zaufaną markę lub osobę publiczną, prosząc ludzi o przekazanie im swoich pieniędzy i danych osobowych. W rzeczywistości, ponad 90% wszystkich przypadków naruszenia danych firmowych w ostatnich latach wiązało się z phishingiem e-mailowym w takiej czy innej formie. A spoofing domeny e-mail jest jedną z głównych przyczyn tego zjawiska.

W celu zabezpieczenia poczty elektronicznej opracowano protokoły takie jak Sender Policy Framework (SPF) i Domain Keys Identified Mail (DKIM). SPF sprawdza adres IP nadawcy z zatwierdzoną listą adresów IP, a DKIM używa zaszyfrowanego podpisu cyfrowego do ochrony poczty. Podczas gdy oba te rozwiązania są efektywne, mają też swoje własne wady. DMARC, który został opracowany w 2012 roku, jest protokołem, który wykorzystuje zarówno uwierzytelnianie SPF jak i DKIM do zabezpieczenia poczty elektronicznej i posiada mechanizm, który wysyła właścicielowi domeny raport za każdym razem, gdy wiadomość e-mail nie przejdzie walidacji DMARC.

Oznacza to, że właściciel domeny jest powiadamiany o każdym emailu wysłanym przez nieautoryzowaną stronę trzecią. I co najważniejsze, może on poinformować odbiorcę poczty, jak ma postępować z nieautoryzowaną pocztą: przepuścić ją do skrzynki odbiorczej, poddać kwarantannie lub całkowicie odrzucić. Teoretycznie powinno to powstrzymać złe wiadomości przed zalewaniem skrzynek pocztowych i zmniejszyć liczbę ataków phishingowych, z którymi mamy do czynienia. Dlaczego jednak tak się nie dzieje?

Czy DMARC może zapobiec Domain Spoofing i oszustwom e-mailowym typu Covid-19?

Uwierzytelnianie poczty elektronicznej wymaga, aby domeny nadawców publikowały swoje rekordy SPF, DKIM i DMARC w DNS. Według badań, tylko 44,9% z Alexa top 1 mln domen miało opublikowany ważny rekord SPF w 2018 roku, a zaledwie 5,1% miało ważny rekord DMARC. I to pomimo faktu, że domeny bez uwierzytelnienia DMARC cierpią z powodu spoofingu prawie cztery razy częściej niż domeny, które są zabezpieczone. Brakuje poważnego wdrożenia DMARC w całym krajobrazie biznesowym, a sytuacja nie uległa poprawie na przestrzeni lat. Nawet organizacje takie jak UNICEF nie wdrożyły jeszcze DMARC w swoich domenach, a Biały Dom i Departament Obrony USA mają politykę DMARC p = none, co oznacza, że nie są one egzekwowane.

Badanie przeprowadzone przez ekspertów z Virginia Tech ujawniło niektóre z najpoważniejszych obaw wymienianych przez duże firmy i przedsiębiorstwa, które jeszcze nie używają uwierzytelniania DMARC:

  1. Trudności z wdrożeniem: Rygorystyczne egzekwowanie protokołów bezpieczeństwa często oznacza wysoki poziom koordynacji w dużych instytucjach, na co często nie mają one zasobów. Ponadto, wiele organizacji nie ma zbyt dużej kontroli nad swoim DNS, więc publikowanie rekordów DMARC staje się jeszcze większym wyzwaniem.
  2. Korzyści nie przewyższające kosztów: Uwierzytelnianie DMARC ma zazwyczaj bezpośrednie korzyści dla odbiorcy wiadomości e-mail, a nie dla właściciela domeny. Brak poważnej motywacji do przyjęcia nowego protokołu powstrzymał wiele firm przed włączeniem DMARC do swoich systemów.
  3. Ryzyko złamania istniejącego systemu: Względna nowość DMARC sprawia, że jest on bardziej podatny na niewłaściwe wdrożenie, co podnosi bardzo realne ryzyko, że legalne e-maile nie przejdą. Firmy, które polegają na obiegu poczty elektronicznej nie mogą sobie na to pozwolić, więc nie zawracają sobie głowy przyjmowaniem DMARC w ogóle.

Wiedza o tym, dlaczego potrzebujemy DMARC

Chociaż obawy wyrażone przez firmy w ankiecie są oczywiście uzasadnione, nie oznacza to, że wdrożenie DMARC jest mniej istotne dla bezpieczeństwa poczty elektronicznej. Im dłużej firmy funkcjonują bez uwierzytelnionej domeny DMARC, tym bardziej wszyscy narażamy się na bardzo realne niebezpieczeństwo ataków phishingowych. Jak nauczył nas coronavirus, oszustwa polegające na podszywaniu się pod pocztę elektroniczną, nikt nie jest bezpieczny przed byciem celem ataku lub podszywaniem się. Pomyśl o DMARC jak o szczepionce - wraz ze wzrostem liczby osób korzystających z niej, szanse na złapanie infekcji drastycznie maleją.

Istnieją rzeczywiste, realne rozwiązania tego problemu, które mogą przezwyciężyć obawy ludzi związane z przyjęciem DMARC. Oto tylko kilka z nich, które mogą znacznie przyspieszyć wdrożenie:

  1. Zmniejszenie tarć w implementacji: Największą przeszkodą stojącą na drodze do przyjęcia przez firmę DMARC są związane z tym koszty wdrożenia. Gospodarka jest w dołku, a zasoby są ograniczone. Dlatego PowerDMARC wraz z naszymi partnerami przemysłowymi Global Cyber Alliance (GCA) z dumą ogłaszają ograniczoną czasowo ofertę na czas pandemii Covid-19 - 3 miesiące naszego pełnego pakietu aplikacji, wdrożenia DMARC i usług antyspoofingowych, całkowicie za darmo. Skonfiguruj swoje rozwiązanie DMARC w ciągu kilku minut i zacznij monitorować swoje e-maile za pomocą PowerDMARC już teraz.
  2. Poprawa postrzeganej użyteczności: Aby DMARC miał znaczący wpływ na bezpieczeństwo poczty elektronicznej, potrzebuje krytycznej masy użytkowników, którzy opublikują swoje rekordy SPF, DKIM i DMARC. Poprzez nagradzanie domen uwierzytelnionych DMARC ikoną "Zaufany" lub "Zweryfikowany" (podobnie jak w przypadku promocji HTTPS wśród stron internetowych), właściciele domen mogą być zachęcani do uzyskania pozytywnej reputacji dla swojej domeny. Gdy osiągnie ona pewien próg, domeny chronione przez DMARC będą postrzegane bardziej przychylnie niż te, które nie są chronione.
  3. Usprawnione wdrażanie: Dzięki ułatwieniu wdrażania i konfiguracji protokołów antyspoofingowych, więcej domen zgodzi się na uwierzytelnianie DMARC. Jednym ze sposobów, w jaki można to zrobić, jest umożliwienie działania protokołu w "trybie monitorowania", pozwalając administratorom poczty elektronicznej na ocenę wpływu, jaki ma on na ich systemy przed pełnym wdrożeniem.

Każdy nowy wynalazek niesie ze sobą nowe wyzwania. Każde nowe wyzwanie zmusza nas do znalezienia nowego sposobu na jego pokonanie. DMARC istnieje już od kilku lat, ale phishing istnieje o wiele dłużej. W ostatnich tygodniach pandemia Covid-19 sprawiła, że zyskał on tylko nowe oblicze. W PowerDMARC jesteśmy tu po to, aby pomóc Ci stawić czoła temu nowemu wyzwaniu. Zarejestruj się tutaj, aby otrzymać darmowy analizator DMARC, dzięki któremu podczas gdy Ty pozostaniesz w domu bezpieczny przed koronawirusem, Twoja domena będzie bezpieczna przed spoofingiem poczty elektronicznej.