Een Effectieve Tool om Frauduleuze E-mails te Bestrijden

Vaak genoemd in één adem met de e-mailauthenticatieprotocollen SPF en DKIM, is DMARC, of Domeingebaseerde Berichtauthenticatie, Rapportage en Conformiteit, niet op zichzelf een authenticatieprotocol. In plaats daarvan is het doel van DMARC om ons, de domeineigenaren, in staat te stellen onze e-mailreputatie te beschermen door:

• Aan te geven wat onze e-mailauthenticatiepraktijken zijn,

• Aan te vragen hoe om te gaan met e-mails die de authenticatiecontroles niet doorstaan, en

• Verzoeken om rapporten over e-mails die beweren van ons domein te zijn.

DMARC kan een effectieve tool zijn die we kunnen gebruiken in onze strijd tegen frauduleuze e-mails die zich richten op onze domeinnaam (bijv. phishing en spoofing), en kan leiden tot meer vertrouwen bij onze ontvangers voor onze e-mails. Dit verhoogde vertrouwen zou op zijn beurt moeten leiden tot meer betrokkenheid bij onze e-mails, en e-mails die worden geopend en waarop wordt geklikt, zorgen voor verkoop en een hogere ROI voor onze e-mailcampagnes.

Naast het beschermen van ons domein, voorspellen we dat het implementeren van DMARC nu een uitstekende manier zal zijn om ons domein 'toekomstbestendig' te maken. Hier bij Bird geloven we dat naarmate de industrie naar IPv6 beweegt, het bijna zeker ook zal verschuiven van een IP-gebaseerd reputatiemodel naar een domeingebaseerd reputatiemodel. Domeingebaseerde reputatie zal domeingebaseerde authenticatie vereisen, en DMARC, in samenwerking met DKIM en SPF, zal domeinen helpen een domeingebaseerde reputatie op te bouwen lang voordat dit absoluut noodzakelijk wordt.

In deze post vertellen we je alles wat je moet weten over hoe je DMARC kunt benutten om je e-mailreputatie te beschermen en geven we je aanwijzingen over hoe je het instelt voor jouw domeinen.

Begrippen die je moet kennen

Voordat we DMARC voor jouw domein instellen, willen we ervoor zorgen dat we dezelfde taal spreken. Laten we beginnen met het definiëren van enkele termen die we door de rest van dit document zullen gebruiken.

RFC5322.From Domain

De RFC5322.From Domain is het domeingedeelte van het e-mailadres dat meestal wordt gezien door een ontvanger van onze e-mail wanneer deze wordt gelezen. In het volgende voorbeeld is de RFC5322.From domain "joesbaitshop.com"

Van: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM is een authenticatieprotocol dat een domein in staat stelt verantwoordelijkheid te nemen voor een bericht op een manier die door de ontvanger van het bericht kan worden gevalideerd; dit gebeurt door het gebruik van cryptografische handtekeningen die in de headers van het bericht worden ingevoegd wanneer het zijn oorsprong verlaat. Deze handtekeningen zijn feitelijk momentopnames van hoe het bericht er op dat moment uitzag, en de ontvanger kan deze momentopnames gebruiken om te zien of het bericht onveranderd op zijn bestemming is aangekomen. Het proces van het produceren en invoegen van deze momentopnames wordt DKIM-ondertekening genoemd, en het domein dat verantwoordelijkheid voor het bericht neemt door het te ondertekenen, voegt zijn naam in de header in als "d=ondertekenaarsdomein", en daarom wordt het het DKIM d= domein genoemd.

Return-Path Domain

Het Return-Path domain, soms het RFC5321.From Domain of het Mail From domain genoemd, is het domein waarnaar bounces worden gerouteerd; het is ook het domein waarop SPF-controles worden uitgevoerd tijdens de e-mailtransactie. Dit domein wordt meestal niet door de ontvanger gezien, tenzij de ontvanger slim genoeg is om alle headers in een bepaald bericht te bekijken.

Standaard zal alle mail die via bird.com wordt verzonden, birdmail.com als zijn Return-Path domein hebben, zoals in het volgende voorbeeld:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Om DMARC voor jouw domein te laten werken, wil je echter gebruik maken van een aangepast bounce-domein, dat zal eindigen in hetzelfde domein als jouw verzendende domein, bijvoorbeeld bounces.jouwdomein.com wanneer je jouwdomein.com als verzendend domein gebruikt.

Organisatorisch Domein

De term "Organisatorisch Domein" verwijst naar het domein dat bij een registrar is ingediend om de aanwezigheid van het domein op internet te creëren. Voor Bird zijn onze organisatorische domeinen bird.com en birdmail.com.

Domeinuitlijning

De laatste term die je moet begrijpen met betrekking tot DMARC is "Domeinuitlijning", en het komt in twee varianten: "relaxed" en "strikt".

Relaxe Domeinuitlijning

Twee domeinen hebben relaxte domeinuitlijning wanneer hun Organisatorische Domeinen hetzelfde zijn. Bijvoorbeeld, a.mail.bird.com en b.foo.bird.com hebben relaxte domeinuitlijning vanwege hun gemeenschappelijke Organisatorisch Domein, bird.com.

Strikte Domeinuitlijning

Twee domeinen worden alleen als strikt uitgerijnd beschouwd als ze identiek zijn. Dus, foo.bird.com en foo.bird.com zijn strikt uitgewezen, aangezien de twee domeinen identiek zijn. Aan de andere kant hebben foo.bird.com en bar.foo.bird.com alleen relaxte uitlijning.

DMARC Domeinuitlijningsvereisten

Om DMARC-validatiecontroles te laten slagen, vereist DMARC dat er domeinuitlijning is als volgt:

• Voor SPF moeten het RFC5322.From domain en het Return-Path domain in uitlijning zijn

• Voor DKIM moeten het RFC5322.From domain en het DKIM d= domain in uitlijning zijn

De uitlijning kan relaxed of strikt zijn, afhankelijk van het gepubliceerde beleid van het verzendende domein.

Hoe DMARC Werkt om Je E-mailreputatie te Beschermen

Wanneer we het hebben over een mailboxprovider of ander domein dat "DMARC controleert", of "DMARC valideert", of "DMARC-beleid toepast", bedoelen we dat het domein dat een bericht ontvangt de volgende stappen uitvoert:

1. Bepaal het RFC5322.From domain van het bericht

2. Zoek het DMARC-beleid van dat domein op in DNS

3. Voer DKIM-handtekeningvalidatie uit

4. Voer SPF-validatie uit

5. Controleer domeinuitlijning

6. Pas het DMARC-beleid toe

Om DMARC-validatie te laten slagen, moet het bericht alleen één van de twee authenticatie- en uitlijningscontroles doorstaan. Dus een bericht slaagt voor DMARC-validatie als een van de volgende waar is:

• Het bericht slaagt voor SPF-controles en het RFC5322.From domain en Return-Path domain zijn in uitlijning, of

• Het bericht slaagt voor DKIM-validatie en het RFC5322.From domain en DKIM d= domain zijn in uitlijning, of

• Beide bovenstaande zijn waar

  
  

DMARC Werkend Maken voor Jouw Domein

Nu we de mechanica van DMARC hebben uitgelegd, laten we praten over hoe we DMARC voor ons kunnen laten werken, wat de volgende drie stappen omvat:

1. Voorbereidingen treffen om DMARC-rapporten te ontvangen

2. Beslissen welk DMARC-beleid je voor je domein wilt gebruiken

3. Je DMARC-record publiceren

We zullen elk van deze in detail hieronder behandelen, maar we vertellen je direct dat stap 1 hierboven ongeveer 95% van je voorbereidingstijd in beslag zal nemen.

Voorbereiden op het Ontvangen van DMARC-rapporten

Elk domein dat een DMARC-beleid publiceert, moet eerst voorbereid zijn om rapporten te ontvangen over zijn domein. Deze rapporten worden gegenereerd door elk domein dat DMARC-validatie uitvoert en e-mails ziet die beweren van ons domein te zijn, en zullen ons dagelijks worden toegestuurd. De rapporten komen in twee formaten:

• Aggregatierapporten, die XML-documenten zijn die statistische gegevens tonen over hoeveel mails door de rapporteur van elke bron zijn gezien, wat de authenticatieresultaten waren, en hoe de berichten door de rapporteur werden behandeld. Aggregatierapporten zijn ontworpen om machinaal te worden geparsed, waarbij hun gegevens ergens worden opgeslagen om algehele verkeersanalyse mogelijk te maken, auditing van ons domein's berichtenstromen, en mogelijk identificatie van trends in bronnen van niet-geauthenticeerde, potentieel frauduleuze e-mail.

• Forensische rapporten, die individuele kopieën zijn van berichten die de authenticatie niet doorstaan, elk ingesloten in een volledig e-mailbericht met behulp van een formaat genaamd AFRF. De forensische rapporten behoren volledige headers en berichtlichamen te bevatten, maar veel rapporteurs strippen of redigeren enkele informatie vanwege privacyproblemen. Niettemin kunnen de forensische rapporten nog steeds nuttig zijn, zowel voor het oplossen van de authenticatieproblemen van ons domein als voor het identificeren van, van URI's in de berichtlichamen, kwaadaardige domeinen en websites die worden gebruikt om klanten van de domeineigenaar te misleiden.

De voorbereiding om deze rapporten te ontvangen houdt in dat je eerst twee mailboxen in ons domein aanmaakt om deze rapporten af te handelen, zoals agg_reports@onsdomein.com en afrf_reports@onsdomein.com. Merk op dat die mailboxnamen volledig willekeurig zijn, en dat er geen vereisten zijn voor de naamgeving van het lokale deel van de mailbox; we staan vrij om namen naar keuze te kiezen, maar houd de twee gescheiden voor eenvoudigere verwerking.

Zodra de mailboxnamen zijn geselecteerd en aangemaakt in ons domein, is het volgende wat je hier moet doen het installeren van tools om deze mailboxen te lezen en om de gegevens te gebruiken, met name de geaggregeerde gegevensrapporten, die opnieuw ontworpen zijn om machinaal te worden geparsed, in plaats van gelezen door een mens. De forensische rapporten, daarentegen, zijn mogelijk beheersbaar door ze gewoon zelf te lezen, maar ons vermogen om dit te doen hangt zowel af van het begrip van onze mailclient over hoe berichten in het AFRF-formaat moeten worden weergegeven als de hoeveelheid ontvangen rapporten.

Hoewel het mogelijk is eigen tools te schrijven om DMARC-rapporten te verwerken, totdat Bird dergelijke diensten biedt voor bird.com klanten (iets dat we overwegen, maar nog niet beloven), raden we aan dat we gebruik maken van tools die al beschikbaar zijn voor de taak.

Welk DMARC-beleid te Gebruiken

De DMARC-specificatie biedt drie keuzes voor domeineigenaren om aan te geven hoe ze willen dat e-mails die DMARC-validatie niet doorstaan, worden behandeld. Ze zijn:

• none, wat betekent dat e-mails hetzelfde worden behandeld als ze zouden worden behandeld, onafhankelijk van DMARC-validatiecontroles

• quarantine, wat betekent dat de e-mail wordt geaccepteerd, maar ergens anders wordt geplaatst dan de Inbox van de ontvanger (meestal de spammap)

• reject, wat betekent dat het bericht direct wordt afgewezen

Het is belangrijk om te onthouden dat de domeineigenaar alleen dergelijke behandeling kan verzoeken in zijn DMARC-record; het is aan de ontvanger van het bericht om te beslissen of ze het gevraagde beleid naleven. Sommige doen dat, terwijl anderen iets soepeler kunnen zijn in het toepassen van het beleid, zoals alleen het plaatsen van e-mails in de spambox wanneer het beleid van het domein volgens het record reject is.

We raden al onze klanten aan om te starten met een beleid van none, gewoon om veilig te zijn. Hoewel we vertrouwen hebben in ons vermogen om je e-mails correct te authenticeren via DKIM-ondertekening, is het nog steeds het beste om eerst enige tijd te besteden aan het analyseren van rapporten over je domein voordat je een agressiever DMARC-beleid invoert.

Je DMARC-beleid Publiceren

Het DMARC-beleid van een domein wordt aangekondigd door een DNS TXT-record op een specifieke plaats in de DNS-naamruimte te publiceren, namelijk "_dmarc.domeinnaam.tld" (let op de leidende underscore). Een basis DMARC-beleidsrecord voor ons eerder besproken voorbeeld domein, joesbaitshop.com, kan er zo uitzien:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Deze record in detail uit elkaar gehaald, hebben we:

• v=DMARC1 specificeert de DMARC-versie (1 is de enige keuze momenteel)

• p=none specificeert de gewenste behandeling, of DMARC-beleid

• rua=mailto:agg_reports@joesbait.com is het postvak waarnaar aggregatierapporten moeten worden verzonden

• ruf=mailto:afrf_reports@joesbait.com is het postvak waarnaar forensische rapporten moeten worden verzonden

• pct=100 is het percentage e-mails waarop de domeineigenaar wil dat zijn beleid wordt toegepast. Domeinen die net beginnen met DMARC, vooral diegene die waarschijnlijk een hoog volume aan rapporten genereren, willen mogelijk beginnen met een veel lager getal hier om te zien hoe hun rapportverwerkingsprocessen de belasting aankunnen.

  
  

Er zijn ook andere configuratieopties beschikbaar voor een domeineigenaar om te gebruiken in zijn DMARC-beleidsrecord, maar de tips die we hebben gegeven, zouden een goed begin moeten zijn.

Samenvatting

Er is veel om te bevatten in de bovenstaande informatie! We hopen dat je de stapsgewijze gids voor het creëren van een DMARC-beleidsrecord nuttig vindt. We hopen ook dat onze uitleg waarom DMARC ertoe doet duidelijk maakt waarom je deze belangrijke tool zou moeten gebruiken om je e-mailreputatie te beschermen.

Natuurlijk is dit geen volledig of autoritatief document over het onderwerp. Als je dieper wilt duiken of meer hulp wilt, is een geweldige plek om te beginnen de officiële DMARC FAQ. En het spreekt voor zich dat het Bird ondersteuningsteam klaar staat om je te helpen je Bird-account voor DMARC te configureren.

Bedankt voor het lezen—en begin vandaag nog met het beschermen van je domeinen met DMARC!