• Объяснение "DMARC Best Guess Pass": Что это значит и как это исправить

Объяснение "DMARC Best Guess Pass": Что это значит и как это исправить

Блог, DMARC

Вас смущает сообщение "DMARC Best Guess Pass" в ваших отчетах? Узнайте, что это значит, почему это происходит, какие риски существуют и как исправить проблемы DMARC Best Guess Pass, чтобы обезопасить свою электронную почту.

ЮнесТарада

Время чтения: 5 мин
Объяснение "DMARC Best Guess Pass": Что это значит и как это исправить
Оглавление-

Ключевые выводы

  • "Best Guess Pass" это неофициальный термин в отчетах об аутентификации электронной почты, который указывает на то, что сообщения прошли проверку SPF и/или DKIM, но записи DMARC не существует.
  • Он не определен в официальной спецификации DMARC (RFC 7489).
  • Защита Microsoft Exchange Online использует его, чтобы показать соответствие домену отправителя.
  • Gmail и некоторые провайдеры применяют "наилучшее предположение" в основном для SPF, синтезируя отсутствующую запись.
  • Наличие "Best Guess Pass" указывает на то, что отсутствующую запись DMARCсоздавая брешь в безопасности.
  • Публикация Публикация DMARC-записи с четкой политикой (нет, карантин или отклонение) предотвращает эту проблему и усиливает защиту домена.

"Best Guess Pass" не является официальным DMARC и не фигурирует в спецификации DMARC (RFC 7489). Этот термин связан с тем, как некоторые принимающие почтовые серверы, например Microsoft Exchange Online Protection, обрабатывают письма, прошедшие проверки SPF или DKIM, но не имеющие записи DMARC. В таких случаях сервер интерпретирует проверку подлинности как действительную и помечает ее как "best guess pass", что означает, что если бы DMARC был настроен, то письмо прошло бы. Хотя фраза "best guess" чаще всего связана с SPF, ее появление в отчетах DMARC указывает на критическую проблему: отсутствие политики DMARC. Признание этого недостатка необходимо для повышения безопасности электронной почты.

Не перепутайте:

  • Microsoft → маркирует отчеты DMARC с помощью dmarc=bestguesspass.
  • Gmail → синтезирует недостающие записи SPF (не DMARC).

Как DMARC работает в обычных сценариях

Чтобы понять проблему с "наилучшим предположением", давайте быстро вспомним, как должен работать DMARC. DMARC опирается на два других протокола проверки подлинности электронной почты, SPF и DKIM:

  • SPF: Это DNS-запись, в которой перечислены IP-адреса, имеющие право отправлять электронную почту от имени вашего домена. Вы можете использовать бесплатный генератор SPF для создания SPF-записи, если у вас ее нет. Если она у вас есть, но вы не уверены в ее точности, воспользуйтесь программа проверки SPF.
  • DKIM: Этот протокол предоставляет криптографическую подпись, которая проверяет, не было ли сообщение подвергнуто манипуляциям при передаче. A генератор записей DKIM и программа проверки DKIM-записей помогут вам, если у вас возникнут трудности с настройкой DKIM.

Затем DMARC проверяет, чтобы хотя бы один из этих методов (SPF или DKIM) не только прошел, но и соответствовал домену в адресе "From" (т. е. тому, который видит получатель).

По результатам этой проверки DMARC-совместимый получатель выдает один из двух официальных результатов (но детали отчетности могут отличаться):

  • Пройти: Электронное письмо проходит проверку подлинности и выравнивается.
  • Не удалось: Электронное письмо не проверено на подлинность или не выровнено.

Ваш политика DMARC Затем проинструктируйте получателя о том, как поступать с письмами, не прошедшими проверку:

  • p=none: Только мониторинг. Доставить электронное письмо. Обратите внимание, что, пока письма доставляются, начинается агрегированная отчетность, что является главным преимуществом p=none.
  • p=карантин: Отправить письмо в папку "Спам" или "Нежелательная информация".
  • p=reject: Полностью заблокировать письмо.

Что вызывает "пропуск DMARC по лучшему предположению"?

Результат "Best Guess Pass" обычно появляется, когда записи DMARC не существует, а базовые проверки SPF/DKIM проходят.

Вот типичный сценарий:

  1. Вы или другое уполномоченное лицо отправляет электронное письмо с вашего домена.
  2. В вашем домене есть действительные записи SPF и/или DKIM.
  3. Получающий сервер проверяет SPF/DKIM, и они проходят с надлежащим выравниванием.
  4. Затем получатель ищет запись DMARC, чтобы узнать, какую политику применить.
  5. Он не находит ни одной записи DMARC.
  6. Поскольку базовая аутентификация прошла, получатель делает "наилучшее предположение" и пропускает письмо без каких-либо действий DMARC. Он регистрирует это как что-то вроде dmarc=bestguesspass.

Это резервный механизм. Провайдер пытается избежать блокировки потенциально легитимной почты только потому, что запись DMARC отсутствует, но это подчеркивает существенную оплошность в конфигурации.

Почему "Best Guess Pass" - это проблема?

Почему "Лучший угадай-пройди"-это проблема?

Полагаться на "Best Guess Pass" рискованно и подрывает цель DMARC.

Это создает путаницу

Этот неофициальный статус делает отчеты DMARC более сложными для интерпретации. Вы можете думать, что ваш домен защищен, когда это не так.

Ослабляет видимость безопасности 

Пропуск "Best Guess Pass" ничего не говорит вам о мошеннических сообщениях. Поскольку у вас нет политики DMARC, вы не будете получать отчеты о попытках подмены, что сделает вас слепым к атакам, направленным на ваш домен.

Позволяет фишинговать и подделывать документы

Без p=карантин или p=отклонить у вас нет никакой защиты. Мошенники все равно могут подделать ваш домен, а у принимающих серверов, которые не выполняют эту проверку "наилучшего предположения" (а таких большинство), не будет инструкций для блокировки мошеннических писем.

Как исправить проблемы с "DMARC Best Guess Pass"

Концепция решения проблемы проста: опубликуйте DMARC-запись для вашего домена. Это поможет избежать догадок и точно указать миру, что делать с вашей почтой.

1. Правильная настройка SPF и DKIM

Прежде чем создавать запись DMARC, убедитесь, что ваши записи SPF и DKIM правильно настроены. Они должны включать все легитимные службы отправки.

2. Проверьте выравнивание доменов

Убедитесь, что домен, используемый для SPF (домен обратного пути) и/или домен в подписи DKIM (тег d=), совпадает с доменом адреса "From".

3. Публикация записи DMARC

Начните с политики мониторинга (p=none). Это позволит вам собирать данные без ущерба для доставки электронной почты. Базовая начальная запись выглядит так: v=DMARC1; p=none; rua=mailto:[email protected];

  • Разместите эту TXT-запись по адресу _dmarc.yourdomain.com.

4. Используйте платформу отчетности DMARC

Необработанные отчеты DMARC представляют собой XML-файлыи их довольно сложно читать. A платформа мониторинга превратит эти отчеты в человекочитаемые панели. Она даст вам четкое представление о том, кто отправляет электронные письма с вашего домена.

Лучшие практики для предотвращения ложных результатов прохождения

Best-Practices-to-Prevent-False-Pass-Results

Аудит записей DNS

Всегда проверяйте записи SPF, DKIM и DMARC, чтобы убедиться в их точности и актуальности.

Ежедневно отслеживайте отчеты DMARC

Внимательно следите за своими отчеты DMARC чтобы обнаружить новые источники отправки или потенциальные сбои аутентификации.

Внедрите более строгую политику

Как только вы убедитесь, что все ваши легитимные письма проходят проверку DMARC, вы можете постепенно перейти к более строгой политике, например p=quarantine и, в конце концов, p=reject. Это поможет вам активно блокировать мошеннические письма.

Обучайте команды

Обучите свои ИТ-отделы и службы безопасности, чтобы они знали, как интерпретировать данные DMARC и реагировать на потенциальные угрозы. угрозы.

Подведение итогов

"Best Guess Pass" - это не признак безопасной электронной почты, а предупреждающий знак. Он означает, что защита электронной почты вашего домена неполная и полагается на нестандартное поведение нескольких провайдеров почтовых ящиков. Вы должны выйти за рамки догадок и настроить DMARC, чтобы взять под контроль репутацию и безопасность вашего домена.

Наша команда экспертов PowerDMARC может помочь. Мы позаботимся обо всем, что связано с DMARC, чтобы вы могли общаться с уверенностью, а не с путаницей. Свяжитесь с нами уже сегодня!

Часто задаваемые вопросы

Почему в моих отчетах отображается "Best Guess Pass"? 

Скорее всего, вы видите этот результат в отчетах из Microsoft 365 или Exchange. Это означает, что в домене отправителя настроены SPF/DKIM, но нет записи DMARC. Система отмечает, что письмо прошло бы DMARC, если бы существовала соответствующая политика.

Является ли "Best Guess Pass" угрозой безопасности? 

Да. Это означает, что политика внедрения DMARC (карантин или отклонение) отсутствует. Без принудительного применения (карантин/отклонение) вы не можете проинструктировать получателей блокировать или отводить неавторизованные сообщения электронной почты.

Как запретить отображение "Best Guess Pass" в отчетах?

Владелец домена-отправителя должен опубликовать в своем DNS действительную запись DMARC. Если это ваш домен, выполните действия, описанные в разделе 5.

Означает ли "Best Guess Pass", что моя электронная почта защищена? 

Нет. Это значит, что в вашем домене отсутствует критически важный уровень безопасности. Ваша электронная почта не может быть безопасной, если у вас нет правильно настроенной записи DMARC.

Последние сообщения Юнеса Тарады (см. все)
Отраслевой фишинг: как фишинговые атаки нацелены на различные отраслипромышленность-фишингMigrating-Your-DMARC-ProviderПеренос поставщика DMARC: Действенное руководство с добавленной стоимостью