DMARCbis - что меняется и как подготовиться
Последнее обновление:
4 Время чтения: 4 минуты
Аутентификация, отчетность и соответствие сообщений на основе домена (Domain-based Message Authentication, Reporting, and Conformance) (DMARC) подвергся значительному обновлению с момента его первоначальной публикации. Известная как DMARCbis, переработанная спецификация, которая все еще находится в черновом варианте, призвана решить давние проблемы аутентификации электронной почты. Вот все, что вам нужно знать об изменениях и о том, как к ним подготовиться.
Текущий статус: Интернет-черновик
Фаза: Последний звонок
Ожидаемая дата публикации: Не указано
Утрачивает силу: RFC 7489 и 9091 (если будут одобрены)
Источник: Проект DMARCbis
Ключевые выводы
- DMARCbis - это обновленный преемник оригинального протокола DMARC, направленный на улучшение ясности и согласованности.
- Он переопределяет список публичных суффиксов (PSL) с помощью более надежного DNS Tree Walk для идентификации организационного домена.
- Такие теги, как pct, rf и ri, устаревают, чтобы упростить реализацию и уменьшить путаницу.
- Несколько новых тегов, таких как psd, np и t, вводятся для четкого определения общедоступных суффиксных доменов и управления наследованием политики.
- Версия записи DMARC остается прежней (v=DMARC1) для обратной совместимости.
- Существующие настройки DMARC с действительными записями базового домена будут продолжать работать без немедленных изменений.
- PowerDMARC может упростить ваш переход, автоматизируя управление записями, предлагая экспертные рекомендации и обеспечивая видимость во всех ваших доменах.
Что такое DMARCbis?
DMARCbis - это обновленная версия оригинальной спецификации DMARC, разработанной IETF (Internet Engineering Task Force). Она опирается на основы RFC 7489 и RFC 9091 и, в случае одобрения, отменяет их, внося изменения, проясняющие двусмысленности в протоколе. Хотя его предшественник был Информационный RFCDMARCbis находится на пути к публикации в качестве Предлагаемый стандартЭто свидетельствует о широком консенсусе и готовности отрасли.
DMARCbis будет в первую очередь нацелен на ясность, безопасность и лучшее согласование доменов. Несмотря на изменение определения, тег тег v=DMARC1 остается неизменным чтобы сохранить обратную совместимость.
Ключевые изменения в DMARCbis
| Характеристика | Оригинальный DMARC | DMARCbis (новые изменения) |
|---|---|---|
| Метод поиска домена | Использует публичный список суффиксов (PSL) | Переопределяется с помощью DNS Tree Walk (обход по иерархии доменов, остановка на psd=y или psd=n). Максимум 8 уровней. |
| Теги | Поддержка pct, rf, ri | Удаляет pct , ri и rf (упрощает протокол). |
| Новая метка | Нет | Добавляет теги psd (явно отмечает публичные суффиксные домены), np и t. |
| Ясность политики | Нет руководства по наследованию политики | Четкие правила для владельцев доменов, позволяющие контролировать наследование через psd. |
| Технические характеристики | Сложные, менее структурированные | Упрощенная документация, лучшие примеры и терминология. |
| Совместимость | v=DMARC1 записи | Никаких изменений - старые записи по-прежнему работают. |
1. DNS Tree Walk переопределяет публичный список суффиксов
Список публичных суффиксов (PSL) переопределяется с помощью метода "Прогулка по дереву", характерного для DNS, для определения организационного домена.
Алгоритм DNS Tree Walk обходит иерархию доменов, чтобы найти действительную запись DMARC. Это позволяет определять границы доменов в DNS и устраняет необходимость в сторонних списках суффиксов. Поиск останавливается, когда обнаруживается действительная запись политики DMARC, содержащая тег psd=y (суффиксный домен общего пользования) или psd=n (организационный домен). Это указывает системе, где находится организационный домен.
Если такая политика не найдена, поиск продолжается до 8 уровней.
2. Утраченные теги
Следующие теги удаляются для упрощения протокола:
- pct (применение политики, основанной на процентах)
- рф (формат отчета)
- ri (интервал между отчетами)
3. Новые и обновленные теги
- Новый тег psd более четко определяет домены с публичными суффиксами, помогая владельцам доменов контролировать наследование политики в древовидных прогулках.
- Сайт тег t это сигнал получателю (валидатору) о том, что владелец домена находится на стадии тестирования и, возможно, не хочет полного применения политики (p, sp, np). Он не изменяет способ формирования отчетов DMARC и не влияет на политики, которые уже установлены на none. Поведение является рекомендательным, так как получатели могут выбирать, действовать им или нет.
- Новый тег np (несуществующая политика) определяет политику DMARC для применения к несуществующим поддоменам (т.е. доменам, которые не разрешаются или не зарегистрированы как активные зоны).
4. Требования к "полному участию"
Новые рекомендации определяют, что значит для владельцев доменов и получателей полная поддержка DMARC, устанавливая более четкие ожидания и улучшая взаимодействие.
5. Улучшенный формат спецификации
Документ был реструктурирован, в него добавлены лучшие примеры, уточнена терминология и более чистый макет, что облегчает его применение для всех заинтересованных сторон.
Что остается неизменным?
- Существующие записи DMARC с использованием v=DMARC1 остаются действительными.
- Основные механизмы DMARC для SPF, DKIM и выравнивания по-прежнему применимы.
- Теги политики (p, sp, rua, ruf) остаются центральными для функциональности DMARC.
Влияние на существующие развертывания DMARC
Обновление DMARCbis имеет обратную совместимость и не влияет на существующие развертывания, совместимые с RFC 7489. Новые теги являются необязательными, поэтому текущие установки остаются незатронутыми. Хотя аудит записей рекомендуется для упрощения аутентификации, если DMARC настроен правильно, никаких немедленных действий не требуется.
Как подготовиться к DMARCbis
Хотя изменения не являются разрушительнымиорганизациям следует начать подготовку, чтобы защитить свою систему безопасности электронной почты в будущем. Вот как это сделать:
- Проверьте свои записи DMARC: Проверьте текущие записи, чтобы убедиться, что из них удалены скоро устаревающие теги, такие как pct или rf. Убедитесь, что базовый (организационный) домен имеет действующую политику DMARC.
- Поймите модель "древовидного пути": Убедитесь, что ваши поддомены будут наследовать политику, как ожидается, в соответствии с новым механизмом, основанным на иерархии. Для сложных настроек смоделируйте логику DNS Tree Walk, чтобы проверить поведение.
- Рассмотрите тег psd: Ознакомьтесь с psd=n или psd=y, чтобы явно определить границы домена, если этого требует ваша доменная структура.
- Обучение сотрудников службы безопасности: Убедитесь, что ваши команды по работе с электронной почтой и безопасности осведомлены о предстоящих изменениях и понимают их последствия для аутентификации и возможности доставки.
Чем может помочь PowerDMARC
PowerDMARC может помочь организациям плавно перейти на DMARCbis благодаря сочетанию автоматизации, наглядности и экспертного руководства.
- Автоматизированная настройка и управление DMARC, SPF и DKIM с помощью централизованной панели аутентификации электронной почты
- Упрощенная отчетность, обеспечивающая полную видимость каналов электронной почты
- Хостируемые решения для беспрепятственного обновления политик и оптимизации записей
- Команда экспертов, которые помогут вам сориентироваться в проблемах и изменениях в режиме реального времени.
Готовы упростить DMARC? Свяжитесь с PowerDMARC чтобы получить бесплатную консультацию 1:1 с одним из наших штатных экспертов уже сегодня!
Заключительные размышления
DMARCbis предлагает большую гибкость, ясность и контроль, особенно если вы хотите управлять политиками DMARC для поддоменов отдельно. Хотя срочные меры не требуются, вы можете сделать необходимые приготовления для более эффективного управления аутентификацией домена.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
