Stanowiska

Jako właściciel domeny zawsze musisz uważać na aktorów stanowiących zagrożenie, którzy przeprowadzają ataki typu domain spoofing i phishing, aby wykorzystać Twoją domenę lub nazwę marki do prowadzenia szkodliwych działań. Bez względu na to, z jakiego rozwiązania do wymiany wiadomości e-mail korzystasz, ochrona domeny przed spoofingiem i podszywaniem się jest niezbędna, aby zapewnić wiarygodność marki i utrzymać zaufanie wśród cenionej bazy klientów. Ten blog przeprowadzi Cię przez proces ustawiania rekordu DMARC dla użytkowników Office 365.

W ostatnich czasach większość firm przestawiła się na korzystanie z efektywnych i solidnych platform opartych na chmurze i hostowanych rozwiązań wymiany poczty elektronicznej, takich jak Office 365. W związku z tym cyberprzestępcy również udoskonalili swoje złośliwe techniki przeprowadzania oszustw e-mailowych, przechwytując rozwiązania bezpieczeństwa zintegrowane z platformą. Z tego powodu Microsoft rozszerzył wsparcie dla protokołów uwierzytelniania poczty elektronicznej, takich jak DMARC, na wszystkie swoje platformy poczty elektronicznej. Należy jednak wiedzieć, jak prawidłowo wdrożyć DMARC dla Office 365, aby w pełni wykorzystać jego zalety.

Dlaczego DMARC?

Pierwsze pytanie, które może się pojawić, jest takie, że mając rozwiązania antyspamowe i bramy bezpieczeństwa poczty elektronicznej już zintegrowane z pakietem Office 365 w celu blokowania fałszywych wiadomości e-mail, dlaczego wymagasz DMARC do uwierzytelniania? Dzieje się tak dlatego, że podczas gdy te rozwiązania chronią przed przychodzącymi e-mailami phishingowymi wysyłanymi do Twojej domeny, protokół uwierzytelniania DMARC daje właścicielom domen możliwość określenia serwerom odbierającym pocztę e-mail, jak reagować na e-maile wysyłane z Twojej domeny, które nie przeszły pomyślnie testów uwierzytelniania.

DMARC wykorzystuje dwie standardowe praktyki uwierzytelniania, a mianowicie SPF i DKIM do sprawdzania autentyczności wiadomości e-mail. Z polityką ustawioną na egzekwowanie, DMARC może zaoferować wysoki poziom ochrony przed atakami podszywania się i spoofingiem bezpośredniej domeny.

Czy naprawdę potrzebujesz DMARC podczas korzystania z Office 365?

Wśród firm panuje powszechne błędne przekonanie, że posiadanie rozwiązania Office 365 zapewnia bezpieczeństwo przed spamem i atakami phishingowymi. Jednak w maju 2020 r. seria ataków phishingowych na kilka bliskowschodnich firm ubezpieczeniowych korzystających z Office 365 spowodowała znaczną utratę danych i bezprecedensową ilość naruszeń bezpieczeństwa. Dlatego właśnie proste poleganie na zintegrowanych rozwiązaniach bezpieczeństwa Microsoftu i niewdrażanie zewnętrznych działań na rzecz ochrony domeny może być ogromnym błędem!

Chociaż zintegrowane rozwiązania bezpieczeństwa w usłudze Office 365 mogą zapewnić ochronę przed przychodzącymi zagrożeniami bezpieczeństwa i próbami wyłudzania informacji, nadal musisz zapewnić, że wiadomości wychodzące wysyłane z Twojej własnej domeny są skutecznie uwierzytelniane, zanim trafią do skrzynek odbiorczych Twoich klientów i partnerów. Tu właśnie wkracza DMARC.

Zabezpieczanie Office 365 przed spoofingiem i podszywaniem się za pomocą DMARC

Rozwiązania zabezpieczające dostarczane z pakietem Office 365 działają jak filtry antyspamowe, które nie są w stanie zabezpieczyć Twojej domeny przed podszywaniem się, co podkreśla potrzebę stosowania DMARC. DMARC istnieje jako rekord DNS TXT w DNS Twojej domeny. Aby skonfigurować DMARC dla swojej domeny, musisz:

Krok 1: Zidentyfikuj prawidłowe źródła wiadomości e-mail dla swojej domeny
Krok 2: Skonfiguruj SPF dla swojej domeny
Krok 3: Skonfiguruj DKIM dla domeny
Krok 4: Opublikuj rekord TXT DMARC w DNS domeny.

Możesz użyć darmowego generatora rekordów DMARC firmy PowerDMARC, aby natychmiast wygenerować rekord z poprawną składnią do opublikowania w DNS i skonfigurować DMARC dla swojej domeny. Należy jednak pamiętać, że tylko polityka odrzucania może skutecznie pomóc w ograniczeniu ataków podszywania się i nadużywania domeny.

Ale czy publikowanie rekordu DMARC jest wystarczające? Odpowiedź brzmi: nie. To prowadzi nas do naszego ostatniego i ostatniego segmentu, którym jest raportowanie i monitorowanie DMARC.

5 powodów, dla których potrzebujesz PowerDMARC podczas korzystania z Microsoft Office365

Microsoft Office 365 zapewnia użytkownikom wiele usług i rozwiązań opartych na chmurze wraz ze zintegrowanymi filtrami antyspamowymi. Jednak pomimo wielu zalet, oto wady, które możesz napotkać podczas korzystania z niego z punktu widzenia bezpieczeństwa:

  • Brak rozwiązania do walidacji wiadomości wychodzących wysyłanych z Twojej domeny
  • Brak mechanizmu raportowania wiadomości e-mail, które nie przeszły pomyślnie testów uwierzytelniania
  • Brak wglądu w ekosystem poczty elektronicznej
  • Brak pulpitu nawigacyjnego do zarządzania i monitorowania przepływu przychodzących i wychodzących wiadomości e-mail
  • Brak mechanizmu zapewniającego, że Twój rekord SPF jest zawsze poniżej limitu 10 odszukań

Raportowanie i monitorowanie DMARC za pomocą PowerDMARC

PowerDMARC bezproblemowo integruje się z Office 365, aby zapewnić właścicielom domen zaawansowane rozwiązania uwierzytelniania, które chronią przed wyrafinowanymi atakami socjotechnicznymi, takimi jak BEC i spoofing bezpośredniej domeny. Podpisując umowę z PowerDMARC, właściciele podpisują umowę na platformę SaaS typu multi-tenant, która nie tylko łączy w sobie wszystkie najlepsze praktyki uwierzytelniania poczty elektronicznej (SPF, DKIM, DMARC, MTA-STS, TLS-RPT i BIMI), ale również zapewnia rozbudowany i dogłębny mechanizm raportowania dmarc, który oferuje pełny wgląd w ekosystem poczty elektronicznej. Raporty DMARC na dashboardzie PowerDMARC są generowane w dwóch formatach:

  • Raporty zbiorcze
  • Raporty kryminalistyczne

Staraliśmy się, aby doświadczenie uwierzytelniania było lepsze dla Ciebie poprzez rozwiązywanie różnych problemów branżowych. Zapewniamy szyfrowanie raportów DMARC Forensic, jak również wyświetlanie raportów zbiorczych w 7 różnych widokach dla lepszego doświadczenia użytkownika i przejrzystości. PowerDMARC pomaga monitorować przepływ poczty elektronicznej i błędy uwierzytelniania, a także tworzyć czarne listy złośliwych adresów IP z całego świata. Nasze narzędzie do analizy DM ARC pomaga w prawidłowym skonfigurowaniu DMARC dla Twojej domeny i błyskawicznym przejściu od monitorowania do egzekwowania!

 

Poczta elektroniczna jest często pierwszym wyborem cyberprzestępców, gdy rozpoczynają działania, ponieważ jest tak łatwa do wykorzystania. W przeciwieństwie do ataków typu brute-force, które wymagają dużej mocy obliczeniowej, lub bardziej wyrafinowanych metod, które wymagają wysokich umiejętności, spoofing domeny może być tak prosty, jak napisanie wiadomości e-mail podszywającej się pod kogoś innego. W wielu przypadkach, tym "kimś innym" jest duża platforma oprogramowania, na której ludzie polegają w swojej pracy.

Tak właśnie było między 15 a 30 kwietnia 2020 r., kiedy nasi analitycy bezpieczeństwa z PowerDMARC odkryli nową falę e-maili phishingowych skierowanych do wiodących firm ubezpieczeniowych na Bliskim Wschodzie. Atak ten był tylko jednym z wielu innych w ostatnim wzroście liczby przypadków phishingu i spoofingu w czasie kryzysu Covid-19. Już w lutym 2020 r. inne duże oszustwo phishingowe posunęło się tak daleko, że podszywało się pod Światową Organizację Zdrowia, wysyłając e-maile do tysięcy osób z prośbą o datki na pomoc związaną z koronawirusem.

W ostatniej serii incydentów użytkownicy usługi Office 365 firmy Microsoft otrzymywali wiadomości e-mail, które wyglądały jak rutynowe wiadomości aktualizacyjne dotyczące stanu ich kont użytkowników. Wiadomości te pochodziły z domen ich organizacji i zawierały prośbę o zresetowanie haseł lub kliknięcie na linki w celu wyświetlenia oczekujących powiadomień.

Stworzyliśmy listę niektórych z zaobserwowanych przez nas tytułów emaili, które były używane:

  • Nietypowa aktywność logowania na konto Microsoft
  • Masz (3) wiadomości oczekujące na doręczenie na swojej poczcie elektronicznej [email protected]* Portal !
  • [email protected] Masz oczekujące komunikaty Microsoft Office UNSYNC
  • Powiadomienie zbiorcze o ponownej aktywacji dla [email protected]

*dane konta zostały zmienione dla prywatności użytkowników

Możesz również zobaczyć przykładowy nagłówek maila użytego w wiadomości spoofed wysłanej do firmy ubezpieczeniowej:

Odebrano: z [malicious_ip] (helo= złośliwa_domena)

Id 1jK7RC-000uju-6x

dla [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Odebrano: od [xxxx] (port=58502 helo=xxxxx)

przez złośliwa_domena z esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Od: "Zespół ds. kont Microsoft" 

Do: [email protected]

Przedmiot: Powiadomienie Microsoft Office dla [email protected] w dniu 4/1/2020 23:46

Data: 2 kwietnia 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Ten nagłówek został dodany w celu śledzenia nadużyć, prosimy o dołączenie go do każdego zgłoszenia nadużycia

X-AntiAbuse: Primary Hostname - złośliwa_domena

X-AntiAbuse: Original Domain -. domena.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Adres nadawcy Domena - domena.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain of domain.com nie wyznacza złośliwy_ip_adres jako dozwolonego nadawcy) client-ip= złośliwy_ip_adres ; envelope-from=[email protected]; helo=złośliwa_domena;

X-SPF-Result: domena domena.com nie wyznacza złośliwy_ip_adres jako dozwolonego nadawcy

X-Sender-Warning: Reverse DNS lookup failed for złośliwy_ip_adres (failed)

X-DKIM-Status: brak / / domena.com / / /

X-DKIM-Status: pass / / złośliwa_domena / złośliwa_domena / default

 

Nasze Centrum Operacji Bezpieczeństwa prześledziło linki do wiadomości e-mail z phishingowymi adresami URL, które były skierowane do użytkowników Microsoft Office 365. Te adresy URL przekierowywały do zagrożonych witryn w różnych miejscach na świecie.

Patrząc tylko na tytuły tych wiadomości, nie sposób stwierdzić, że zostały one wysłane przez kogoś, kto podszywa się pod domenę Twojej organizacji. Jesteśmy przyzwyczajeni do stałego strumienia wiadomości e-mail związanych z pracą lub kontem, które nakłaniają nas do zalogowania się do różnych usług online, takich jak Office 365. Spofing domen wykorzystuje ten fakt, sprawiając, że fałszywe, złośliwe wiadomości e-mail są nie do odróżnienia od prawdziwych. Praktycznie nie ma sposobu, aby dowiedzieć się, bez dokładnej analizy wiadomości e-mail, czy pochodzi ona z zaufanego źródła. A przy dziesiątkach maili przychodzących do nas codziennie, nikt nie ma czasu na dokładne sprawdzanie każdego z nich. Jedynym rozwiązaniem byłoby zastosowanie mechanizmu uwierzytelniania, który sprawdzałby wszystkie e-maile wysyłane z Twojej domeny i blokował tylko te, które zostały wysłane przez kogoś, kto wysłał je bez autoryzacji.

Ten mechanizm uwierzytelniania nosi nazwę DMARC. Jako jeden z wiodących dostawców rozwiązań w zakresie bezpieczeństwa poczty elektronicznej na świecie, PowerDMARC postawił sobie za cel, abyś zrozumiał, jak ważna jest ochrona domeny Twojej organizacji. Nie tylko dla siebie, ale dla wszystkich, którzy ufają i polegają na Tobie w kwestii dostarczania bezpiecznych, niezawodnych wiadomości e-mail do ich skrzynki odbiorczej, za każdym razem.

O zagrożeniach związanych ze spoofingiem można przeczytać tutaj: https://powerdmarc.com/stop-email-spoofing/

Dowiedz się, jak możesz chronić swoją domenę przed spoofingiem i wzmocnić swoją markę tutaj: https://powerdmarc.com/what-is-dmarc/