Wdrożenie silnej polityki DMARC jest niezbędne do ochrony domeny przed spoofingiem i atakami phishingowymi. DMARC lub Domain-based Message Authentication, Reporting and Conformance jest protokołem używanym przez właścicieli domen do uwierzytelniania ich nazw domen i wiadomości e-mail. Znacznik DMARC pct odgrywa kluczową rolę w tym procesie, umożliwiając stopniowe egzekwowanie polityki i ograniczanie ryzyka.
W tym artykule wyjaśniono korzyści, przypadki użycia i najlepsze praktyki dotyczące wdrażania tagu DMARC pct. Zaczynajmy!
Czym jest znacznik pct DMARC?
Znacznik DMARC pct ("procent") jest częścią rekordu DMARC, który określa procent wiadomości e-mail z domeny, które będą podlegać polityce DMARC. Użytkownicy mogą ręcznie dołączyć tag DMARC pct lub go pominąć. W przypadku, gdy nie jest to wyraźnie wspomniane, znacznik DMARC pct przyjmuje domyślną wartość 100, która jest dołączana w celu określenia procentu wiadomości e-mail, do których stosowana jest polityka DM ARC zdefiniowana przez właściciela domeny.
Tagi w rekordzie DMARC są instrukcjami na poziomie DNS dla serwera odbierającego pocztę elektroniczną. Są to podstawowe elementy składające się na format lub składnię rekordu DMARC.
Dlaczego potrzebny jest tag DMARC pct?
Tag pct jest często pomijanym, ale skutecznym sposobem na skonfigurowanie i przetestowanie polityki DMARC dla Twojej domeny. Oto kilka kluczowych powodów, dla których możesz potrzebować tagu DMARC pct:
- Stopniowe wdrażanie: pct pozwala na stopniowe wdrażanie polityki DMARC. Zamiast od razu stosować politykę do 100% wiadomości e-mail, można zacząć od mniejszego odsetka, np. 10%, a następnie zwiększać go w miarę upływu czasu, w miarę zdobywania pewności co do konfiguracji i wpływu na dostarczanie wiadomości e-mail.
- Ograniczanie ryzyka: Stosując politykę do podzbioru wiadomości e-mail, można ograniczyć ryzyko odrzucenia lub oznaczenia jako spam legalnych wiadomości e-mail z powodu nieprawidłowej konfiguracji DMARC.
- Testowanie i dostrajanie: Daje to możliwość przetestowania i dostrojenia konfiguracji uwierzytelniania poczty elektronicznej. Można analizować wpływ na część wiadomości e-mail poprzez monitorowanie raportów DMARC. Następnie można szybko zidentyfikować i rozwiązać problemy, aby upewnić się, że wszystkie legalne wiadomości e-mail są prawidłowo uwierzytelniane przed wprowadzeniem polityki w szerszym zakresie.
Dlatego też znacznik DMARC pct zapewnia bardziej kontrolowane i elastyczne podejście do poprawy bezpieczeństwa domeny i poczty elektronicznej.
Przypadki użycia DMARC pct
Przykład 1: v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];
Wyjaśnienie: W rekordzie DNS DMARC pokazanym powyżej procent wiadomości e-mail, dla których ma zastosowanie polityka odrzucania DMARC, wynosi 100%.
Czas, który jest potrzebny dla domeny, aby przejść od nieużywania DMARC w ogóle, do używania najbardziej restrykcyjnych ustawień jest okresem ramp-up. Ma to na celu dać domenom czas na oswojenie się z nowymi ustawieniami. Dla niektórych firm, może to zająć kilka miesięcy. Jest możliwe dla domen, aby zrobić natychmiastowe uaktualnienie, ale jest to rzadkie z powodu ryzyka większych błędów lub skarg. Znacznik pct został zaprojektowany jako sposób na stopniowe egzekwowanie zasad DMARC, aby skrócić okres wdrażania dla firm internetowych. Zamierzeniem jest możliwość wdrożenia go najpierw dla mniejszej partii emaili przed wdrożeniem go w całości do całego strumienia poczty, tak jak w przypadku pokazanym poniżej:
Przykład 2: v=DMARC1; p=reject; pct=50; rua=mailto:[email protected];
Wyjaśnienie: W tym rekordzie DNS DMARC polityka odrzucania dla DMARC ma zastosowanie tylko do 50% wiadomości e-mail, podczas gdy druga połowa wolumenu podlega polityce kwarantanny dla DMARC, która jest drugą najbardziej rygorystyczną polityką w kolejce.
Co się stanie, jeśli nie umieścisz tagu pct w swoim rekordzie DMARC?
Podczas tworzenia rekordu DMARC przy użyciu Generator rekordów DMARCmożna nie definiować tagu pct i pozostawić to pole pole puste. W tym przypadku, domyślne ustawienie dla pct jest ustawione na 100, co oznacza, że zdefiniowana polityka będzie miała zastosowanie do wszystkich wiadomości e-mail. W związku z tym, jeśli chcesz zdefiniować politykę dla wszystkich wiadomości e-mail, prostszym sposobem byłoby pozostawienie pola pct pole puste, jak w tym przykładzie:
v=DMARC1; p=kwarantanna; rua=mailto:[email protected];
Ostrzeżenie: Jeśli chcesz mieć wymuszoną politykę dla DMARC, nie publikuj rekordu z parametrem pct=0
Logika za tym stoi jest prosta: jeśli chcesz zdefiniować politykę odrzucania lub kwarantanny w swoim rekordzie, zasadniczo chcesz, aby polityka ta była nakładana na wychodzące emaile. Ustawienie pct na 0 niweczy twój wysiłek, ponieważ twoja polityka jest teraz stosowana do zerowej ilości emaili. Jest to tożsame z ustawieniem trybu polityki na p=none.
Uwaga: Aby zapewnić maksymalną ochronę domeny przed atakami typu spoofing i zatrzymać wszelkie szanse na podszycie się pod domenę przez atakujących, idealna polityka powinna być następująca DMARC przy p=reject; pct=100;
Słowa końcowe
Twoja podróż DMARC od początku do końca może być czasochłonna i wymagająca technicznie. Aby ułatwić i usprawnić pracę, organizacje wybierają PowerDMARC! Nasi eksperci pomagają we wszystkich potrzebach związanych z uwierzytelnianiem poczty elektronicznej, zapewniając dostęp do intuicyjnego analizatora DMARC platforma.
Przejdź bezpiecznie na egzekwowanie DMARC, rozpoczynając swoją podróż po DMARC z PowerDMARC. Skorzystaj z bezpłatnej test DMARC już dziś!
- Yahoo Japan wymusza przyjęcie DMARC dla użytkowników w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.