3 Typy polityki DMARC: Brak, Kwarantanna i Odrzucenie
Uwierzytelnianie poczty elektronicznej stało się istotną praktyką w cyberbezpieczeństwie ze względu na zwiększone zagrożenie podszywania się pod legalne i dobrze znane organizacje. Polityka DMARC zdefiniowana w DNS nadawcy, włączona do prostego rekordu TXT, może z powodzeniem rozwiązać te obawy i poprawić wskaźniki dostarczania poczty przez nadawcę.
Polityka DMARC domeny zawiera instrukcje dla odbiorców wiadomości e-mail dotyczące sposobu postępowania z wiadomościami, które nie przejdą pomyślnie kontroli uwierzytelniania. Polityka ta może określać trzy możliwe działania:
- DMARC brak
- Kwarantanna DMARC
- Odrzucenie DMARC
Polityka DMARC na poziomie "odrzuć" znacząco minimalizuje ryzyko nadużycia domeny, podszywania się pod markę, phishingu i ataków typu spoofing.
DMARC dla uwierzytelniania poczty e-mail i ochrony przed spoofingiem
DMARC lub Domain-based Message Authentication, Reporting and Conformance, jest protokołem zaprojektowanym do uwierzytelniania wiadomości e-mail za pomocą dwóch innych protokołów, a mianowicie SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail). Właściciele domen mogą skonfigurować DMARC przy użyciu jednego z tych protokołów lub obu, aby zapewnić solidniejszą ochronę przed cyberatakami.
Aby rozpocząć proces konfiguracji, należy wprowadzić kilka zmian w DNS i dołączyć rekordy DNS dla protokołów. Po aktywacji, rekord DMARC Policy sprawdza poprawność każdej wiadomości wysłanej z nazwy domeny pod kątem SPF i DKIM, aby ustalić, czy pochodzi ona z autentycznego źródła i decyduje, co zrobić, jeśli tak nie jest.
Co to jest polityka DMARC?
Polityka DMARC jest instrukcją TXT, oznaczoną znacznikiem "p" w rekordzie DMARC, która określa serwerom odbierającym pocztę działania, jakie powinny podjąć, jeśli wiadomość e-mail nie przejdzie walidacji DMARC. Nadawca może wybrać różne polityki w zależności od tego, jak rygorystycznie chce, aby odbiorcy traktowali niezgodne wiadomości e-mail, na przykład wymuszona polityka DMARC, taka jak p=reject, jest skutecznym sposobem na ograniczenie zagrożeń takich jak phishing, spoofing i podszywanie się pod nazwę domeny, podczas gdy p=none nie będzie miało żadnego efektu.
3 Typy polityki DMARC: p=reject, p=none, p=quarantine
W zależności od poziomu egzekwowania, jaki właściciele domen chcą ustanowić, istnieją 3 podstawowe typy polityki DMARC - brak, kwarantanna i odrzucenie. Główna różnica między tymi opcjami polityki jest określona przez działanie podejmowane przez odbierającego agenta transferu poczty przy przestrzeganiu określonej polityki zdefiniowanej przez nadawcę poczty w jego rekordzie DNS.
. Tutaj p jest parametrem określającym politykę DMARC:
- DMARC Brak: Polityka "tylko monitorowanie", która nie zapewnia żadnej ochrony - dobra na początkowych etapach wdrażania.
- Kwarantanna DMARC: Flaguje lub poddaje kwarantannie nieautoryzowane wiadomości e-mail.
- Odrzucanie DMARC: Blokuje dostęp do skrzynki odbiorczej dla nieautoryzowanych wiadomości e-mail.
1. Polityka braku DMARC
Polityka DMARC none (p=none) jest zrelaksowaną polityką DMARC, która jest wdrażana na początkowych etapach wdrażania DMARC w celu monitorowania aktywności poczty elektronicznej - najlepiej nadaje się dla organizacji, które dopiero rozpoczynają swoją przygodę z uwierzytelnianiem. Nie zapewnia ona żadnego poziomu ochrony przed cyberatakami.
Przykład: v=DMARC1; p=none; rua= mailto:(adres e-mail);
Kluczowe wnioski:
- Głównym celem właścicieli domen, którzy wybrali politykę "brak", powinno być gromadzenie informacji o źródłach wysyłania i monitorowanie ich komunikacji i dostarczalności bez skłonności do ścisłego uwierzytelniania. Może to wynikać z faktu, że nie są oni jeszcze przygotowani do egzekwowania przepisów i nie spieszą się z analizą bieżącej sytuacji.
- Odbierające systemy poczty elektronicznej traktują wiadomości wysyłane z domen skonfigurowanych z tą polityką jako "bez działania", co oznacza, że nawet jeśli te wiadomości nie przejdą DMARC, nie zostaną podjęte żadne działania w celu ich odrzucenia lub poddania kwarantannie. Wiadomości te z powodzeniem dotrą do klientów.
- Raporty DMARC są nadal generowane, gdy ustawiona jest opcja "p=none". Odbiorcy przesyłają zbiorcze raporty do właścicieli domen, dostarczając szczegółowych informacji o stanie uwierzytelniania dla wiadomości, które wydają się pochodzić z ich domeny.
2. Polityka kwarantanny DMARC
p=kwarantanna zapewnia pewien poziom ochrony, ponieważ właściciel domeny może poprosić odbiorcę o wycofanie wiadomości e-mail do folderu spamu w celu późniejszego sprawdzenia w przypadku niepowodzenia DMARC.
Przykład: v=DMARC1; p=kwarantanna; rua=mailto:(adres e-mail);
Zamiast od razu odrzucać nieuwierzytelnione wiadomości e-mail, polityka "kwarantanny" oferuje właścicielom domen możliwość zachowania bezpieczeństwa, zapewniając jednocześnie opcję sprawdzania wiadomości e-mail przed ich zaakceptowaniem, stosując podejście "zweryfikuj, a następnie zaufaj".
Gwarantuje to, że legalne wiadomości, które nie przejdą uwierzytelnienia DMARC, nie zostaną utracone przed ich dokładnym sprawdzeniem. Podejście to można uznać za pośrednie pod względem egzekwowania i ułatwia płynne przejście do p=reject, w którym właściciele domen mogą a) ocenić wpływ DMARC na wiadomości e-mail i b) podjąć świadome decyzje dotyczące tego, czy powinni odrzucić oflagowane wiadomości e-mail.
3. Polityka odrzucania DMARC
Wreszcie, polityka odrzucania DMARC (p=reject) jest polityką egzekwowania, która zapewnia, że wiadomości, które nie przejdą uwierzytelnienia DMARC, zostaną odrzucone przez serwer pocztowy odbiorcy, zapewniając w ten sposób maksymalne egzekwowanie.
Przykład: v=DMARC1; p=reject; rua= mailto:(adres e-mail);
Odrzucanie DMARC może zapobiegać atakom phishingowym, bezpośredniemu spoofingowi domen i innym oszukańczym wiadomościom e-mail, blokując wiadomości, które wydają się podejrzane. Jeśli jesteś wystarczająco pewny siebie, aby nie dawać swobody nieautoryzowanym wiadomościom e-mail poprzez przekierowywanie ich do osobnego folderu w celu sprawdzenia, polityka "odrzucania" jest dla Ciebie odpowiednia.
Należy jednak pamiętać o następujących kwestiach:
- Dokładnie przetestuj i zaplanuj, zanim zdecydujesz się na odrzucenie DMARC
- Upewnij się, że raportowanie jest włączone dla Twojej domeny
- Najlepiej zdecydować się na hostowane rozwiązanie DMARC, aby uzyskać fachową pomoc przy wdrażaniu DMARC i podczas całej podróży związanej z egzekwowaniem przepisów.
Korzyści z egzekwowania polityki DMARC
Zagłębmy się w zalety skonfigurowania ścisłej polityki DMARC dla swojej domeny:
1. Bezpośrednia ochrona przed phishingiem i BEC
Gdy korzystasz z funkcji odrzucania DMARC, wiadomości e-mail pochodzące z nieuwierzytelnionych źródeł są automatycznie odrzucane, zanim dotrą do skrzynki odbiorczej odbiorcy - oferując bezpośrednią ochronę przed atakami phishingowymi, kompromitacją poczty biznesowej i oszustwami CEO.
2. Pierwsza linia obrony przed ransomware i złośliwym oprogramowaniem
Ransomware i malware są często rozprzestrzeniane za pośrednictwem fałszywych wiadomości e-mail wysyłanych z podszywających się nazw domen i mogą przeniknąć do systemu operacyjnego i całkowicie go przejąć. Polityka DMARC przy odrzucaniu zapewnia, że fałszywe wiadomości e-mail są blokowane poza skrzynką odbiorczą klienta, zanim będzie on miał szansę kliknąć na szkodliwe załączniki i nieświadomie pobrać oprogramowanie ransomware lub malware do swojego systemu - działając w ten sposób jako podstawowa linia obrony przed tymi atakami.
Najlepszy typ polityki DMARC
Odrzucenie DMARC jest najlepszą polityką DMARC, jeśli chcesz zmaksymalizować swoje wysiłki w zakresie bezpieczeństwa poczty elektronicznej . Dzieje się tak dlatego, że gdy p=reject, właściciele domen aktywnie blokują nieautoryzowane wiadomości ze skrzynek odbiorczych swoich klientów. Zapewnia to wysoki stopień ochrony przed spoofingiem domen bezpośrednich, phishingiem i innymi formami zagrożeń związanych z podszywaniem się, co czyni ją skuteczną polityką antyphishingową.
- Aby monitorować kanały e-mail: Jeśli chcesz po prostu monitorować swoje transakcje i źródła wysyłania wiadomości, wystarczy DMARC przy p=none. Nie ochroni to jednak przed cyberatakami.
- Ochrona przed atakami typu phishing i spoofing: Jeśli chcesz chronić swoją domenę przed atakami phishingowymi i spoofingiem bezpośrednim, DMARC p=reject jest niezbędny. Zapewnia on najwyższy poziom egzekwowania DMARC i skutecznie minimalizuje ataki podszywania się.
- Przeglądanie podejrzanych wiadomości e-mail przed ich dostarczeniem: Jeśli nie chcesz od razu blokować nieautoryzowanych wiadomości e-mail, możesz zamiast tego zezwolić odbiorcom na przeglądanie ich w kwarantannie folderze kwarantanny przy użyciu Kwarantanna DMARC jako najlepszego rozwiązania.
Obalanie powszechnych mitów na temat polityki DMARC
Istnieje kilka powszechnych błędnych przekonań na temat polityki DMARC, z których niektóre mogą mieć straszne konsekwencje dla dostarczania poczty. Dowiedzmy się, czym one są i jaka prawda się za nimi kryje:
1. DMARC none może zapobiec spoofingowi: DMARC none jest polityką "no-action" i nie może chronić domeny przed cyberatakami.
Która polityka DMARC zapobiega spoofingowi?
DMARC p=reject jest jedyną polityką DMARC, która jest skuteczna w zapobieganiu atakom spoofingowym. Dzieje się tak dlatego, że DMARC reject blokuje nieautoryzowane wiadomości e-mail przed dotarciem do skrzynki odbiorczej odbiorcy, tym samym powstrzymując go przed akceptowaniem, otwieraniem i czytaniem złych wiadomości e-mail.
2. Nie będziesz otrzymywać raportów DMARC przy p=none: Nawet przy p=none można nadal otrzymywać codzienne raporty DMARC, po prostu określając prawidłowy adres e-mail nadawcy.
3. "Kwarantanna" DMARC nie jest ważna: Często pomijana, polityka kwarantanny w DMARC jest niezwykle przydatna dla właścicieli domen, którzy chcą płynnie przejść od braku działania do maksymalnego egzekwowania.
4. Odrzucenie DMARC wpływa na dostarczalność: Nawet w przypadku odrzucenia DMARC można zapewnić, że wiadomości są dostarczane bez zakłóceń poprzez monitorowanie i analizowanie działań nadawców oraz przeglądanie wyników uwierzytelniania.
Kroki konfiguracji polityki DMARC
Krok 1: Włącz SPF lub DKIM dla swojej domeny poprzez wygenerowanie bezpłatnego rekordu.
Krok 2: Utwórz rekord DMARC za pomocą naszego Generator DMARC narzędzie. Upewnij się, że wypełniłeś parametr DMARC p=, aby zdefiniować swoją politykę DMARC, jak w poniższym przykładzie:
v=DMARC1; pct=100; p=reject; rua=mailto:[email protected];
Krok 3: Opublikowanie tego rekordu w systemie DNS
Rozwiązywanie problemów z błędami polityki DMARC
Błędy składni
Powinieneś uważać na wszelkie błędy składniowe podczas konfigurowania rekordu, aby upewnić się, że protokół działa poprawnie.
Błędy konfiguracji
Błędy podczas konfigurowania polityki DMARC są powszechne i można ich uniknąć używając DMARC checker narzędzie.
Polityka DMARC sp
Jeśli skonfigurujesz politykę odrzucania DMARC, ale skonfigurujesz swoje polityki subdomen na brak, nie będziesz w stanie osiągnąć zgodności ze względu na nadpisanie polityki w wychodzących wiadomościach e-mail.
Błąd "Polityka DMARC nie została włączona"
Jeśli napotkasz ten komunikat o błędzie w swoich raportach, wskazuje to na brakującą politykę domeny DMARC w DNS lub taką, która jest ustawiona na "brak". Edytuj swój rekord, aby zawierał p=reject/quarantine i to powinno naprawić problem.
Bezpieczniejszy sposób aktualizacji, egzekwowania i optymalizacji polityki DMARC
PowerDMARC's Analizator DMARC została zaprojektowana, aby pomóc Ci bez wysiłku skonfigurować protokół DMARC, zapewniając jednocześnie natywny dla chmury interfejs do monitorowania i optymalizacji rekordu za pomocą kilku kliknięć przycisku. Przyjrzyjmy się jej kluczowym zaletom:
Płynne przejście od p=brak do p=odrzucenie
Rozbudowany mechanizm raportowania PowerDMARC oferuje 7 widoków i mechanizmów filtrowania raportów DMARC Aggregate na pulpicie analizatora DMARC, aby skutecznie monitorować przepływy poczty elektronicznej podczas braku DMARC.
Aktualizacja i zmiana trybów polityki DMARC
Nasza hostowana funkcja DMARC umożliwia aktualizację trybów polityki DMARC, zmianę na p=reject i skuteczne monitorowanie protokołu w czasie rzeczywistym bez konieczności wchodzenia do konsoli zarządzania DNS.
Wsparcie w białych rękawiczkach
Nasz całodobowy zespół aktywnego wsparcia pomaga zorganizować płynne przejście od zrelaksowanej do wymuszonej polityki DMARC, aby zmaksymalizować bezpieczeństwo przy jednoczesnym zapewnieniu dostarczalności.
Alerty niestandardowe
Skonfiguruj niestandardowe alerty e-mail, aby wykrywać wszelkie złośliwe działania i szybciej podejmować działania przeciwko zagrożeniom.
Skontaktuj się z nami już dziś, aby wdrożyć politykę DMARC i łatwo monitorować wyniki!
- Bezpieczeństwo w sieci 101 - najlepsze praktyki i rozwiązania - 29 listopada 2023 r.
- Co to jest szyfrowanie wiadomości e-mail i jakie są jego różne typy? - 29 listopada 2023
- Czym jest MTA-STS? Konfiguracja właściwej polityki MTA STS - 25 listopada 2023 r.