Inlägg

Inom DMARC finns en karantänspolicy tagg p=quarantine som innebär att e-postmeddelanden märks som skräppost och sedan vidarebefordras till ägaren av domänen för granskning. På så sätt fångas de flesta spoofing-domäner upp i förväg. Den här guiden är utformad för att hjälpa dig att förstå vad DMARC Quarantine är och hur DMARC fungerar med p=quarantine-policyn.

Vad är DMARC-karantän?

DMARC Quarantine är en av de tre DMARC-politikerna. (de andra två är p=none och p=reject). som instruerar den e-postmottagande servern att placera alla e-postmeddelanden som inte klarar DMARC-autentisering i mottagarens skräppost/skräppostmapp.

När du ställer in en DMARC-policyp=quarantineanger du för e-postservrar att om ett e-postmeddelande inte klarar DMARC-autentisering ska servern sätta det i karantän. "Att sätta ett e-postmeddelande i karantän innebär att det fortfarande levereras till mottagarens inkorg, men att det markeras som misstänkt och skickas till mottagarens skräppostmapp (eller skräppost) i stället för till inkorgen.

Så här kan du hitta din skräppostmapp i GMAIL.

En DMARC-post med karantänpolicyn kan se ut så här:

v=DMARC1; p=quarantine; rua=mailto:[email protected];

Hur utförs DMARC-karantänpolicy?

En karantänspolicy innebär att e-postleverantörer som tar emot meddelanden från dig kontrollerar med DMARC för att se om meddelandet har passerat DKIM- eller SPF-autentisering, och de kommer också att kontrollera om domänen i adressen matchar domänerna i antingen SPF- eller DKIM-identifieringsjusteringen. Om kriterierna uppfylls kommer e-postleverantören att leverera ditt meddelande till användarens inkorg. Om kriterierna inte uppfylls kommer e-postleverantören att lägga ditt meddelande i skräppostmappen eller avvisa det helt och hållet.

En steg-för-steg-analys av hur politiken för DMARC-karantän fungerar

1. När ett e-postmeddelande skickas kontrollerar mottagaren om det finns en DMARC-post.

2. Om meddelandet inte klarar SPF eller DKIM bedöms det utifrån domänanpassningsparametrarna i DMARC-posten, som skickas in tillsammans med DMARC-kontrollen. Med domänanpassning avses huruvida domänen i en Från-adress matchar domänen i en SPF-post.

3. De behandlingsalternativ som definieras i en DMARC-policy är baserade på hur nära meddelandet är anpassat till en sändande domän.

4. Om avsändaren klarar autentiseringen levereras det som vanligt.

5. Om den däremot inte är nära överensstämmande utförs den tillämpade DMARC-policyn (som i vårt fall är p=quarantine).

6. Med DMARC-p=quarantine-policyn instrueras den mottagande servern att behandla e-postmeddelanden som inte klarar DMARC-autentisering som misstänkta. De kommer att läggas i en skräppost- eller skräppostmapp eller markeras på något sätt så att användaren vet att e-postmeddelandet inte är autentiskt.

Vikten av DMARC-karantänpolicy

DMARC är ett effektivt verktyg för att förhindra att e-postmeddelanden förfalskas, och karantänpolicyn är ett utmärkt sätt att skydda din inkorg utan att göra stora förändringar i systemet.

Användning av p=quarantän talar om för den mottagande e-postservern att alla e-postmeddelanden som inte har ditt domännamn i fältet "From" (eller något annat inställt kriterium) ska sättas i karantän som standard.

Till exempel:

Om en skräppostare försöker skicka ett e-postmeddelande från "[email protected]" men inte har tillgång till den information som krävs för att signera det med DKIM eller SPF, kommer e-postmeddelandet att placeras i karantän i stället för att levereras. Detta skyddar din inkorg från många oönskade meddelanden.

Karantänpolicyn är också bra eftersom den minskar antalet falska positiva resultat - eftersom du bara säger till den mottagande e-postservern att den ska sätta alla e-postmeddelanden som inte uppfyller ett visst kriterium i karantän behöver du inte oroa dig för att identifiera vilka e-postmeddelanden som är skadliga och vilka som kommer från legitima källor.

DMARC-karantänens betydelse förklaras med ett exempel

Låt oss säga att du är HR-representant på ett företag som heter Akme. En dag skickar din chef ett e-postmeddelande till dig där han ber dig att överföra 1 000 dollar till bankkontot för en leverantör som heter Dynamic Corp.

Du har aldrig hört talas om den här leverantören tidigare. Du tror inte ens att ditt företag arbetar med leverantörer!

Men eftersom meddelandet kommer från din chefs e-postadress och inte från något slumpmässigt konto, antar du att det är legitimt. Så du överför pengarna.

Nästa dag frågar din chef varför du skickade 1 000 dollar till DynamicCorp. Du säger att du trodde att han bad dig om det. Han berättar att det var någon som låtsades vara han som skickade e-postmeddelandet i fråga - och att han aldrig bad dig att göra betalningen!

Med DMARC Quarantine Policy händer detta aldrig. Om Akme har inrättat en DMARC-kvarterspolitik via DMARC-protokollet (genom att publicera en DMARC TXT-post), kommer mottagarens inkorg att flagga meddelandet som skräppost eller skräppost när någon förfalskar Akme-domänen och skickar ett e-postmeddelande som det här som utger sig för att komma från Akme HR, vilket förhindrar problemet innan det ens har börjat.

Rekommenderad procentsats för karantän av meddelanden i DMARC-register

När du konfigurerar din DMARC-post är det viktigt att komma ihåg att karantänsåtgärden kan leda till att du förlorar bra e-postmeddelanden. Det är här som procentvärdet kommer in - det talar om för de mottagande e-postservrarna hur stor andel av e-postmeddelandena som ska behandlas som skräppost. Detta innebär att för varje 100 e-postmeddelanden kommer endast [x] att sättas i karantän.

För små organisationer rekommenderar vi ett värde på 10 %. Det innebär att om någon skickar ett e-postmeddelande till dig som inte klarar DMARC-kontrollen är det bara en chans på 1 av 10 att det hamnar i karantän som skräppost. På så sätt minskar du risken för att förlora legitima meddelanden samtidigt som du fortfarande kan testa din DMARC-inställning på riktig e-post.

Vi rekommenderar en mycket lägre procentsats för stora organisationer - cirka 1 %. För stora organisationer innebär detta att om någon skickar ett e-postmeddelande som inte klarar DMARC-autentisering finns det en chans på 1 på 100 att det hamnar i karantän som skräppost. När du driver en stor organisation kan du behöva lita på vissa avsändare enbart utifrån deras IP-adress eller domännamn - till exempel om din kontorsbyggnad ligger i en delad lokal och har en enda IP-adress för alla hyresgäster.

Ett exempel på DMARC Record med taggen percentage:

 

v=DMARC1; p=quarantine; pct=10%; adkim=r; aspf=r; rua=mailto:[email protected];

pct= är den procentuella andel e-postmeddelanden som du vill att proverna ska tas ut. Om du har en pct-tagg som säger 100 kommer alla e-postmeddelanden att tas med i urvalet. Om du har en pct-tagg som säger 10 kommer 1 av 10 e-postmeddelanden att tas med i urvalet.

p=noll VS p=quarantän VS p=förkastas

  • p=none innebär helt enkelt att dina mottagarservrar kommer att övervaka e-postmeddelanden som kommer från din domän, men att de inte blockerar meddelanden som kan vara falska. Det är ett bra sätt att börja övervaka bedrägerier, men det gör inte så mycket för att förhindra dem. 
  • p=quarantine är ett sätt att tala om för mottagarservrarna att du vill att de ska lägga alla e-postmeddelanden som skickas från din domän och som inte klarar SPF- eller DKIM-kontrollerna i mappen för skräppost i inkorgen i stället för i den vanliga inkorgen. 
  • p=reject går ett steg längre genom att tala om för mottagarservern att faktiskt avvisa alla e-postmeddelanden som skickas från din domän och som inte klarar SPF- eller DKIM-kontrollerna. Detta innebär att dessa e-postmeddelanden aldrig kommer att nå inkorgen (eller ens skräppostmappen) hos den användare som tar emot dem.

Vi hoppas att du förstår vad DMARC-karantän är och hur den fungerar. Om du är intresserad av att lära dig mer om DMARC erbjuder PowerDMARC en rad olika verktyg som hjälper dig med processen. Dessa inkluderar en Analysator för DMARC-rapporter som sammanfattar din nuvarande DMARC-post och upptäcker eventuella problem, samt en SPF-generator så att du kan skapa egna SPF-poster för din domän gratis.