Inlägg

Om dina meddelanden misslyckas med DMARC är det ett bekymmer om du är en organisation som är starkt beroende av e-post för både extern och intern kommunikation. Det finns metoder och verktyg som du kan använda online (gratis) för att stoppa DMARC-fel för din e-post.

I den här artikeln ska vi noggrant debunka de sex främsta orsakerna till DMARC-fel och hur du kan minska dem för att förbättra leveransförmågan.

Innan vi går över till varför DMARC inte fungerar, ska vi se vad det är och hur det hjälper dig:

DMARC är en viktig aktivitet i din policy för autentisering av e-post för att förhindra att förfalskad "spoofed" e-post passerar transaktionsfilter för skräppost. Men det är bara en pelare i ett övergripande antispamprogram och alla DMARC-rapporter är inte lika bra. En del av dem talar om exakt vad e-postmottagarna gjorde med varje meddelande, medan andra bara talar om huruvida ett meddelande var framgångsrikt eller inte. Att förstå varför ett meddelande misslyckades är lika viktigt som att veta om det lyckades.

Vanliga orsaker som kan leda till att DMARC misslyckas

Det kan vara komplicerat att fastställa varför DMARC inte fungerar. Jag kommer dock att gå igenom några typiska orsaker och de faktorer som bidrar till dem, så att du som domänägare kan arbeta för att åtgärda problemet snabbare.

DMARC-justeringsfel

DMARC använder sig av domänanpassning för att autentisera din e-post. Det innebär att DMARC kontrollerar om den domän som nämns i From-adressen (i den synliga rubriken) är autentisk genom att jämföra den med den domän som nämns i den dolda Return-path-rubriken (för SPF) och DKIM-signaturrubriken (för DKIM). Om någon av dem stämmer överens klarar e-postmeddelandet DMARC, annars misslyckas DMARC.

Därför, om dina e-postmeddelanden misslyckas DMARC kan det vara ett fall av domän feljustering. Det är varken SPF- eller DKIM-identifierare som justeras och e-postmeddelandet verkar skickas från en obehörig källa. Detta är dock bara en av anledningarna till att DMARC misslyckas.

DMARC-justeringsläge 

Ditt protokolljusteringsläge spelar också en stor roll i dina meddelanden som passerar eller misslyckas DMARC. Du kan välja mellan följande justeringslägen för SPF-autentisering:

  • Avslappnad: Detta innebär att om domänen i Return-path-huvudet och domänen i From-huvudet helt enkelt är en organisatorisk matchning kommer SPF att godkännas även då.
  • Strikt: Detta innebär att SPF endast godkänns om domänen i Return-path-huvudet och domänen i From-huvudet stämmer exakt överens.

Du kan välja mellan följande justeringslägen för DKIM-autentisering:

  • Avslappnad: Detta innebär att om domänen i DKIM-signaturen och domänen i From-huvudet helt enkelt är en organisatorisk matchning kommer DKIM att godkännas även då.
  • Strikt: Detta innebär att DKIM endast godkänns om domänen i DKIM-signaturen och domänen i From-huvudet stämmer exakt överens.

Observera att för att e-postmeddelanden ska passera DMARC-autentisering måste antingen SPF eller DKIM anpassas.  

Konfigurera inte din DKIM-signatur 

Ett mycket vanligt fall där DMARC kan misslyckas är att du inte har angett en DKIM-signatur för din domän. I sådana fall tilldelar din leverantör av e-postutbytestjänster en standard-DKIM-signatur till utgående e-post som inte överensstämmer med domänen i din From-huvudrubrik. Den mottagande MTA:n misslyckas med att anpassa de två domänerna och därför misslyckas DKIM och DMARC för ditt meddelande (om dina meddelanden anpassas till både SPF och DKIM).

Lägger inte till sändningskällor i dns 

Det är viktigt att notera att när du konfigurerar DMARC för din domän utför mottagande MTA:er DNS-förfrågningar för att godkänna dina sändningskällor. Om du inte har listat alla dina godkända sändningskällor i domänens DNS kommer din e-post att misslyckas med DMARC för de källor som inte är listade, eftersom mottagaren inte kan hitta dem i din DNS. För att se till att dina legitima e-postmeddelanden alltid levereras bör du därför se till att alla dina auktoriserade tredjepartsleverantörer av e-postmeddelanden som har tillstånd att skicka e-postmeddelanden för din domäns räkning registreras i din DNS.

Vid vidarebefordran av e-post

Vid vidarebefordran av e-post passerar e-postmeddelandet genom en mellanliggande server innan det slutligen levereras till den mottagande servern. Vid vidarebefordran av e-post misslyckas SPF-kontrollen eftersom IP-adressen på den mellanliggande servern inte stämmer överens med den avsändande serverns IP-adress, och denna nya IP-adress ingår vanligtvis inte i den ursprungliga serverns SPF-post. Tvärtom påverkar vidarebefordran av e-post vanligtvis inte DKIM-autentisering av e-post, såvida inte den förmedlande servern eller den vidarebefordrande enheten gör vissa ändringar i meddelandets innehåll.

Eftersom vi vet att SPF oundvikligen misslyckas under vidarebefordran av e-post, om den sändande källan är DKIM-neutral och enbart förlitar sig på SPF för validering, kommer den vidarebefordrade e-postmeddelandet att göras olagligt under DMARC-autentisering. För att lösa problemet bör du omedelbart välja fullständig DMARC-efterlevnad i din organisation genom att justera och autentisera alla utgående meddelanden mot både SPF och DKIM, eftersom e-postmeddelandet för att skicka DMARC-autentisering skulle krävas för att skicka antingen SPF- eller DKIM-autentisering och justering.

Din domän förfalskas

Om du har konfigurerat dina DMARC-, SPF- och DKIM-protokoll korrekt för din domän, med dina policyer för verkställighet och giltiga felfria poster, och problemet inte är något av de ovan nämnda fallen, är den mest sannolika orsaken till att din e-post inte klarar DMARC att din domän förfalskas eller förfalskas. Detta är när bedragare och hotbildare försöker skicka e-postmeddelanden som ser ut att komma från din domän med hjälp av en illasinnad IP-adress.

Ny statistik över e-postbedrägerier visar att antalet fall av e-postförfalskningar har ökat på senare tid och att de utgör ett mycket stort hot mot din organisations rykte. Om du har DMARC implementerat i en avvisningspolicy kommer den i sådana fall att misslyckas och det förfalskade e-postmeddelandet kommer inte att levereras till mottagarens inkorg. Domänspoofing kan därför vara svaret på varför DMARC misslyckas i de flesta fall.

Varför misslyckas DMARC för tredjepartsleverantörer av brevlådor? (Gmail, Mailchimp, Sendgrid osv.)

Om du använder externa brevlådeleverantörer för att skicka e-post för din räkning måste du aktivera DMARC, SPF och/eller DKIM för dem. Du kan göra det antingen genom att kontakta dem och be dem sköta implementeringen åt dig, eller så kan du ta saken i egna händer och manuellt aktivera protokollen. För att göra detta måste du ha tillgång till din kontoportal som finns på var och en av dessa plattformar (som administratör).

Om dina Gmail-meddelanden misslyckas med DMARC, gå till domänens SPF-post och kontrollera om du har inkluderat _spf.google.com i den. Om inte kan detta vara en orsak till att mottagande servrar inte lyckas identifiera Gmail som din auktoriserade sändningskälla. Samma sak gäller för dina e-postmeddelanden som skickas från Mailchimp, Sendgrid och andra.

Hur åtgärdar man DMARC-fel?

För att åtgärda DMARC-fel rekommenderar vi att du registrerar dig för vår kostnadsfria DMARC Analyzer och börjar din resa med DMARC-rapportering och övervakning.

#Steg 1: Med en policy för ingen kan du börja med att övervaka din domän med DMARC (RUA) Aggregate Reports och hålla ett vakande öga på din inkommande och utgående e-post, så att du kan reagera på eventuella oönskade leveransproblem.

#Steg 2: Därefter hjälper vi dig att byta till en policy som i slutändan hjälper dig att få immunitet mot domänförfalskning och phishing-attacker.

#Steg 3: Ta bort skadliga IP-adresser och rapportera dem direkt från PowerDMARC-plattformen för att undvika framtida personifieringsattacker med hjälp av vår Threat Intelligence-motor.

#Steg 4: Aktivera DMARC (RUF) Forensiska rapporter för att få detaljerad information om fall där din e-post har misslyckats med DMARC så att du kan gå till roten av problemet och åtgärda det snabbare.

Hur hanterar man meddelanden som inte klarar DMARC?

Observera att ett e-postmeddelande kan misslyckas med DMARC på grund av vanliga omständigheter, t.ex. ett hot om förfalskning, och misslyckas med anpassningen för a) endast DKIM b) endast SPF c) båda. Om det misslyckas med båda dessa kriterier anses ditt meddelande vara otillåtet. Du kan konfigurera en lämplig DMARC-policy för att instruera mottagarna om hur de ska reagera på dessa e-postmeddelanden.

Vi hoppas att vi kunde ta itu med frågan varför DMARC inte fungerar för din domän och ge en lösning på hur du enkelt kan åtgärda problemet. För att förhindra domänförfalskning och övervaka ditt e-postflöde med PowerDMARC, idag!

Användare av informationssystem i stora organisationer har ofta starka reaktioner på sin erfarenhet av systemet. Behovet av att navigera i en IT-miljö som består av en myriad av punktlösningar kan vara frustrerande för slutanvändarna. Följaktligen utvecklar och förlitar sig många avdelningar på sina egna poänglösningar för att övervinna upplevda begränsningar med en enda organisationsomfattande lösning. Detta markerade ursprunget till Shadow IT. En avdelning som har skugg-IT-resurser har mer smidighet i sina processer. Det undviker också anpassningen mellan avdelningarna, vilket ofta är omöjligt: vilket är den största fördelen det kretsar kring. Shadow IT innebär dock en kolossal samling säkerhetsrisker och utmaningar som helt upphäver dess enda fördel. Dessa säkerhetsrisker kan lösas med DMARC.

Låt oss lära oss mer om vad Shadow IT är och hur DMARC hjälper till att bekämpa Shadow IT-säkerhetsrisker med förbättrad synlighet.

Vad är Shadow IT?

Stora företag har ofta stora centrala IT-avdelningar för att övervaka nätverk, ge stöd och hantera de tjänster som organisationen använder. Det har dock observerats att en trend av skugg-IT har börjat under de senaste åren eftersom anställda ofta kringgår centralmyndigheten och köper sin egen teknik för att uppfylla arbetsrelaterade mål. I en alltmer mobil värld föredrar anställda att ta med sina egna enheter till jobbet eftersom de redan har dem, de är bekanta med dem eller de är inte lika fast av en IT-avdelning som kräver komplicerade inställningar.  I takt med att molnbaserade konsumentapplikationer får dragkraft ökar införandet av skugg-IT. RSA, säkerhetsavdelningen på EMC, rapporterar att 35 procent av de anställda kringgår sitt företags säkerhetspolicyer för att få sitt jobb gjort.

Även om det har uppskattats att en så stor befolkning av anställda som tillhör andra avdelningar skulle använda metoder som inte uppfyller kraven för att göra sitt jobb, måste företagen komma ihåg att okontrollerad användning av Shadow IT kan leda till produktivitets- och säkerhetsförluster.

Skugg-IT-risker och utmaningar för organisationer

Enligt en nyligen genomförd undersökning utförd av Cloud Computing Association kör över 30% av verksamhetens molnprogram som IT inte känner till. Många företag står inför dataöverträdelser och fel på grund av deras användning av molnprogram. Dessa moln program används vanligtvis redan av anställda, men övervakas inte av IT-avdelningen.

Du vet aldrig när en icke-IT-avdelning i ditt företag använder Shadow IT för att kringgå organisationssäkerhet och skicka ut e-postmeddelanden med molnbaserade program och tjänster som inte är auktoriserade att skicka källor för din organisation med hjälp av din identitet. Detta kan bana väg för ofiltrerade skadliga aktiviteter, skräppost och utbyte av bedrägliga meddelanden som potentiellt kan skada ditt företags rykte och trovärdighet. Shadow IT, som det kallas, kan vara sårbart för dataintrång och systemfel om de inte övervakas korrekt. Det är precis här DMARC kliver in för att lösa skugg-IT-riskerna i säkerheten genom att autentisera sändande källor även om de lyckas kringgå integrerade säkerhetsgateways för att nå din klients e-postserver.

Hur skyddar DMARC mot risker som införts av Shadow IT

Det största problemet som orsakas av Shadow IT är bristen på synlighet på olika avdelningsaktiviteter och deras kommunikation med externa källor som kunder och partners via tredjeparts e-postutbytestjänster, utan kunskap om IT-avdelningen.  Denna ökade och obehöriga användning av molnbaserade program för utbyte av information och kommunikation orsakar en stor tillströmning av e-postbedrägerier, personifieringsattacker och BEC. DMARC som det mest rekommenderade e-postautentiseringsprotokollet i branschen hjälper organisationer att ligga steget före Shadow IT-aktiviteter.

  • DMARC Aggregate-rapporter ger insyn i att skicka källor och IP-adresserna bakom dem, vilket visar IT-avdelningen det exakta ursprunget för alla obehöriga sändande källor
  • Med DMARC-verkställighet på din organisation avvisas e-postmeddelanden från olagliga källor genom att ta emot MTA innan det landar i din klients inkorg
  • DMARC kriminaltekniska rapporter utarbetar i detalj, alla försök till domänförfalskning, personifiering, BEC och andra bedrägliga aktiviteter
  • Detta hjälper till att sätta stopp för Shadow IT-praxis av icke-IT-avdelningar utan godkännande från IT-avdelningen
  • Detta hjälper också till att få synlighet på alla e-postmeddelanden som skickas till och från din domän av olika avdelningar hela tiden, vad de innebär och statusen för deras autentisering

Registrera dig idag med DMARC-analysatorn och starta din e-postautentiseringsresa för att begränsa Shadow IT-aktiviteter på din organisation och upprätthålla fullständig transparens på alla avdelningar.

Okej, du har just gått igenom hela processen med att ställa in DMARC för din domän. Du publicerade dina SPF-, DKIM- och DMARC-poster, analyserade alla dina rapporter, åtgärdade leveransproblem, stötte upp din verkställighetsnivå från p = ingen till karantän och slutligen att avvisa. Du är officiellt 100% DMARC-verkställd. Grattis! Nu når bara dina e-postmeddelanden människors inkorgar. Ingen kommer att utge sig för att vara ditt varumärke om du kan hjälpa det.

Så det är allt, eller hur? Din domän är säkrad och vi kan alla gå hem glada, med vetskapen om att dina e-postmeddelanden kommer att vara säkra. Höger...?

Inte precis. DMARC är ungefär som motion och kost: du gör det ett tag och förlorar en massa vikt och får några sjuka magmuskler, och allt går bra. Men om du slutar, kommer alla dessa vinster du just gjorde långsamt att minska, och risken för förfalskning börjar smyga sig in igen. Men flippa inte ut! Precis som med kost och motion är det svårast att komma i form (dvs. komma till 100% verkställighet). När du har gjort det behöver du bara behålla det på samma nivå, vilket är mycket lättare.

Okej, nog med analogierna, låt oss komma igång. Om du just har implementerat och framtvingat DMARC på din domän, vad är nästa steg? Hur fortsätter du att hålla din domän och e-postkanaler säkra?

Vad du ska göra efter att ha uppnått DMARC-verkställighet

Den främsta anledningen till att e-postsäkerheten inte slutar när du har uppnått 100 % efterlevnad är att attackmönster, nätfiskebedrägerier och avsändningskällor ständigt förändras. En populär trend inom e-postbedrägerier varar ofta inte ens längre än ett par månader. Tänk på WannaCry-attackerna mot utpressningstrojaner 2018, eller till och med något så nyligen som den WHO Coronavirus nätfiskebedrägerier i början av 2020. Du ser inte mycket av dessa i naturen just nu, eller hur?

Cyberbrottslingar ändrar ständigt sin taktik, och skadliga sändningskällor förändras och multipliceras alltid, och det finns inte mycket du kan göra åt det. Vad du kan göra är att förbereda ditt varumärke för alla möjliga cyberattacker som kan komma mot dig. Och sättet att göra det är genom DMARC-övervakning & synlighet .

Även efter att du har drivits måste du fortfarande ha total kontroll över dina e-postkanaler. Det betyder att du måste veta vilka IP-adresser som skickar e-post via din domän, där du har problem med e-postleverans eller autentisering, och identifiera och svara på eventuella förfalskningsförsök eller skadlig server som bär en phishing-kampanj för din räkning. Ju mer du övervakar din domän, desto bättre kommer du att förstå den. Och följaktligen, ju bättre du kommer att kunna säkra dina e-postmeddelanden, dina data och ditt varumärke.

Varför DMARC-övervakning är så viktigt

Identifiera nya e-postkällor
När du övervakar dina e-postkanaler kontrollerar du inte bara om allt går bra. Du kommer också att leta efter nya IPs som skickar e-postmeddelanden från din domän. Din organisation kan ändra sina partners eller tredjepartsleverantörer så ofta, vilket innebär att deras IPs kan bli behöriga att skicka e-postmeddelanden för din räkning. Är den nya sändande källan bara en av dina nya leverantörer, eller är det någon som försöker utge sig för att vara ditt varumärke? Om du analyserar dina rapporter regelbundet har du ett definitivt svar på det.

Med PowerDMARC kan du visa dina DMARC-rapporter enligt varje sändande källa för din domän.

Förstå nya trender för domänmissbruk
Som jag nämnde tidigare hittar angripare alltid nya sätt att utge sig för att vara varumärken och lura människor att ge dem data och pengar. Men om du bara tittar på dina DMARC-rapporter en gång varannan månad, kommer du inte att märka några telltale tecken på förfalskning. Om du inte regelbundet övervakar e-posttrafiken i din domän kommer du inte att märka trender eller mönster i misstänkt aktivitet, och när du drabbas av en falsk attack kommer du att vara lika aningslös som de personer som är riktade mot e-postmeddelandet. Och tro mig, det är aldrig en bra look för ditt varumärke.

Hitta och svartlista skadliga IPs
Det räcker inte bara att hitta vem som exakt försöker missbruka din domän, du måste stänga av dem så fort som möjligt. När du är medveten om dina sändande källor är det mycket lättare att hitta en kränkande IP, och när du har hittat den kan du rapportera den IP till deras webbhotell och få dem svartlistade. På så sätt eliminerar du permanent det specifika hotet och undviker en förfalskningsattack.

Med Power Take Down hittar du platsen för en skadlig IP, deras historia av missbruk och får dem nedtagna.

Kontroll över leveransbarhet
Även om du var noga med att ta upp DMARC till 100% verkställighet utan att påverka dina e-postleveranskostnader, är det viktigt att kontinuerligt säkerställa konsekvent hög leveransbarhet. När allt kommer kommer över, vad är användningen av all e-postsäkerhet om ingen av e-postmeddelandena tar sig till sin destination? Genom att övervaka dina e-postrapporter kan du se vilka som har passerats, misslyckats eller inte anpassats till DMARC och upptäcka källan till problemet. Utan övervakning skulle det vara omöjligt att veta om dina e-postmeddelanden levereras, än mindre lösa problemet.

PowerDMARC ger dig möjlighet att visa rapporter baserat på deras DMARC-status så att du direkt kan identifiera vilka som inte klarade sig igenom.

 

Vår banbrytande plattform erbjuder 24×7 domänövervakning och ger dig till och med ett dedikerat säkerhetsteam som kan hantera en säkerhetsöverträdelse för dig. Läs mer om utökat stöd för PowerDMARC.

Vid första anblicken verkar Microsofts Office 365-paket vara ganska... Sött, eller hur? Du får inte bara en hel mängd produktivitetsappar, molnlagring och en e-posttjänst, utan du är också skyddad från skräppost med Microsofts egna säkerhetslösningar för e-post. Inte undra på att det är den mest antagna företags-e-postlösningen som finns tillgänglig, med en marknadsandel på 54% och över 155 miljoner aktiva användare. Du är nog en av dem också.

Men om ett cybersäkerhetsföretag skriver en blogg om Office 365 måste det vara något mer med det, eller hur? Ja, det gör jag. Det finns det. Så låt oss prata om vad exakt problemet är med Office 365: s säkerhetsalternativ, och varför du verkligen behöver veta om detta.

Vad Microsoft Office 365 Security är bra på

Innan vi pratar om problemen med det, låt oss först snabbt få detta ur vägen: Microsoft Office 365 Advanced Threat Protection (vad en munfull) är ganska effektiv på grundläggande e-postsäkerhet. Det kommer att kunna stoppa skräppost, skadlig programvara och virus från att ta sig in i din inkorg.

Detta är tillräckligt bra om du bara letar efter ett grundläggande skydd mot skräppost. Men det är problemet: skräppost på låg nivå som denna utgör vanligtvis inte det största hotet. De flesta e-postleverantörer erbjuder någon form av grundläggande skydd genom att blockera e-post från misstänkta källor. Det verkliga hotet – den typ som kan få din organisation att förlora pengar, data och varumärkesintegritet –är e-postmeddelanden som är noggrant konstruerade så att du inte inser att de är falska.

Det är då du kommer in på allvarligt cyberbrottsområde.

Vad Microsoft Office 365 inte kan skydda dig från

Microsoft Office 365:s säkerhetslösning fungerar som ett skräppostfilter med hjälp av algoritmer för att avgöra om ett e-postmeddelande liknar andra skräppost- eller phishing-e-postmeddelanden. Men vad händer när du drabbas av en mycket mer sofistikerad attack med hjälp av social ingenjörskonst, eller riktad mot en specifik anställd eller grupp av anställda?

Det här är inte dina vanliga skräppostmeddelanden som skickas ut till tiotusentals människor på en gång. Business Email Compromise (BEC) och Vendor Email Compromise (VEC) är exempel på hur angripare noggrant väljer ett mål, lär sig mer information om sin organisation genom att spionera på sina e-postmeddelanden och vid en strategisk tidpunkt skicka en falsk faktura eller begäran via e-post och be om att pengar ska överföras eller data delas.

Denna taktik, allmänt känd som spear phishing, gör att det verkar som om e-post kommer från någon inom din egen organisation eller en betrodd partner eller leverantör. Även under noggrann inspektion kan dessa e-postmeddelanden se mycket realistiska ut och är nästan omöjliga att upptäcka, även för erfarna cybersäkerhetsexperter.

Om en angripare låtsas vara din chef eller VD för din organisation och skickar dig ett e-postmeddelande är det osannolikt att du kontrollerar om e-postmeddelandet ser äkta ut eller inte. Det är precis det som gör BEC- och VD-bedrägerier så farliga. Office 365 kommer inte att kunna skydda dig mot den här typen av attacker eftersom dessa skenbart kommer från en riktig person, och algoritmerna kommer inte att betrakta det som ett skräppostmeddelande.

Hur skyddar du Office 365 mot BEC och Spear Phishing?

Domänbaserad meddelandeautentisering, rapportering & konformation eller DMARC är ett e-postsäkerhetsprotokoll som använder information från domänägaren för att skydda mottagare från förfalskad e-post. När du implementerar DMARC på organisationens domänkontrollerar mottagande servrar varje e-postmeddelande som kommer från din domän mot de DNS-poster som du publicerade.

Men om Office 365 ATP inte kunde förhindra riktade förfalskningsattacker, hur gör DMARC det?

Tja, DMARC fungerar mycket annorlunda än ett anti-spam filter. Medan skräppostfilter markerar inkommande e-post som kommer in i inkorgen autentiserar DMARC utgående e-post som skickas av organisationens domän. Vad detta innebär är att om någon försöker utge sig för att vara din organisation och skicka phishing-e-postmeddelanden till dig, så länge du är DMARC-verkställd, kommer dessa e-postmeddelanden att dumpas i skräppostmappen eller blockeras helt.

Och få detta - det betyder också att om en cyberbrottstjuv använde ditt betrodda varumärke för att skicka phishing-e-postmeddelanden, skulle inte ens dina kunder behöva ta itu med dem heller. DMARC hjälper faktiskt till att skydda ditt företag också.

Men det finns mer: Office 365 ger faktiskt inte din organisation någon synlighet vid en phishing-attack, det blockerar bara skräppost. Men om du vill skydda din domän ordentligt måste du veta exakt vem eller vad som försöker utge sig för att vara ditt varumärke och vidta omedelbara åtgärder. PowerDMARC tar detta till nästa nivå med avancerad DMARC-analys direkt på instrumentpanelen.

Läs mer om vad PowerDMARC kan göra för ditt varumärke.