DMARC: Hoe bescherm je je e-mailreputatie
·
13 apr 2016
Belangrijkste punten
DMARC helpt uw domein te beschermen tegen phishing, spoofing en ongeoorloofd e-mailgebruik door uw authenticatiepraktijken te publiceren en specifieke behandeling te vragen voor mislukte berichten.
Het werkt samen met SPF en DKIM om domeinafstemming te garanderen en te voorkomen dat frauduleuze mail uw zenderreputatie beschadigt.
Sterke DMARC-beleid ondersteunen hogere vertrouwen, hogere betrokkenheid en maken uw domein toekomstbestendig naarmate het ecosysteem verschuift naar domein-gebaseerde reputatiemodellen.
DMARC-validatiecontroles zijn afhankelijk van domeinafstemming tussen het Van-domein, Return-Path-domein (SPF) en DKIM-ondertekeningsdomein.
Het opzetten van DMARC vereist het ontvangen van rapporten, het begrijpen van aggregaat versus forensische gegevens en het configureren van tools om deze te analyseren.
U begint met een veilige p=none beleid om verkeer te monitoren voordat u doorgaat naar quarantine of reject.
Het publiceren van een DMARC-record houdt in dat u een DNS TXT-invoer maakt op _dmarc.yourdomain.com met beleidsregels, rapportadres en optionele parameters zoals percentage uitrol.
Geschikte rapporteringsmailboxen (aggregate + forensic) en parsingsinstrumenten zijn essentieel voor het monitoren van naleving, het detecteren van spoofing en het garanderen dat de afstemming correct is.
DMARC vereist alleen één van de volgende om te slagen: afgestemde SPF of afgestemde DKIM.
Het implementeren van DMARC versterkt e-mailbeveiliging en speelt een sleutelrol in merkintegriteit, vertrouwen en langetermijn leverbaarheid.
Q&A Hoogtepunten
Wat is DMARC en waarom is het belangrijk?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) is een DNS-gepubliceerd beleid dat uw domein beschermt tegen spoofing en phishing door domeinafwijkingen te handhaven en zichtbaarheid mogelijk te maken via rapportage.
Is DMARC een authenticatieprotocol?
Nee. DMARC is niet zelf authenticatie—het vertrouwt op SPF en DKIM om e-mails te authenticeren en gebruikt beleid + rapportage om te bepalen hoe ontvangende servers omgaan met mislukkingen.
Waar controleert DMARC op?
Het verifieert:
SPF-authenticatie + uitlijning
DKIM-authenticatie + uitlijning
Een afzender heeft maar één van deze nodig om DMARC te laten slagen.
Wat is "domain alignment"?
Het is de vereiste dat het zichtbare Van-domein overeenkomt (strikt) of hetzelfde organisatiedomein deelt (relaxed) met ofwel het SPF Return-Path-domein of het DKIM-ondertekeningsdomein.
Waarom verbetert DMARC de bezorgbaarheid?
Omdat mailboxproviders geverifieerde, uitgelijnde domeinen meer vertrouwen. DMARC voorkomt dat vervalste berichten je reputatie aantasten en verbetert de plaatsing van echte mail in de inbox.
Wat is het verschil tussen verzamel- en forensische DMARC-rapporten?
Geaggregeerde rapporten (RUA): XML-samenvattingen van authenticatieresultaten over al het verkeer.
Forensische rapporten (RUF): Individuele voorbeelden van mislukte berichten voor diepere analyse.
Welke mailboxes heb ik nodig voordat ik DMARC publiceer?
U moet twee adressen maken, zoals:
agg_reports@yourdomain.com (RUA)
afrf_reports@yourdomain.com (RUF)
Dit houdt rapportagestromen gescheiden en gemakkelijker te verwerken.
Met welk DMARC-beleid moet ik beginnen?
Begin altijd met p=none. Het bewaakt authenticatie-activiteit zonder de levering te beïnvloeden, waardoor je uitlijningsproblemen en spoofingpogingen veilig kunt identificeren.
Wat zijn de beschikbare DMARC policies?
geen: alleen monitoren
quarantaine: stuur mislukte berichten naar spam
afwijzen: blokkeer mislukte berichten volledig
Waar publiceer ik een DMARC record?
In uw DNS bij:
Het moet een TXT-record zijn dat uw beleid, versie en rapportage-eindpunten specificeert.
Hoe ziet een basis DMARC record eruit?
Voorbeeld:
Wat gebeurt er als DMARC faalt?
De ontvangende server past uw gevraagde beleid toe (geen, quarantaine, afwijzen), hoewel de uiteindelijke behandeling uiteindelijk aan de provider is. Een strikt beleid kan phishingpogingen met uw domein aanzienlijk verminderen.
In dit bericht vertellen we je alles wat je moet weten over het benutten van DMARC om je e-mailreputatie te beschermen en geven we je aanwijzingen hoe je het voor je domeinen instelt.
Een Effectieve Tool om Frauduleuze Mail tegen te gaan
Vaak genoemd in dezelfde adem als de e-mailauthenticatieprotocollen SPF en DKIM, is DMARC, of Domein-gebaseerde Berichtverificatie, Rapportage en Conformance, niet op zichzelf een authenticatieprotocol. In plaats daarvan is het doel van DMARC om ons, de domeineigenaren, in staat te stellen onze e-mailreputatie te beschermen door:
Aankondigen van e-mailauthenticatiepraktijken,
Verzoeken om behandeling van e-mails die falen voor authenticatiecontroles, en
Verzoeken om rapporten over e-mails die beweren van onze domein te komen.
DMARC kan een effectief hulpmiddel voor ons zijn in de strijd tegen frauduleuze e-mails die onze domeinnaam (bijv. phishing en spoofing) gericht aanvallen, en dat kan leiden tot een groter vertrouwen van onze ontvangers in onze e-mails. Voor organisaties die end-to-end encryptie nodig hebben naast authenticatie, biedt implementatie van S/MIME met efficiënte methoden voor het verzamelen van publieke sleutels van ontvangers extra beveiligingslagen. Dit grotere vertrouwen zou op zijn beurt moeten leiden tot een hogere betrokkenheid bij onze e-mails, en e-mails die worden geopend en klikken genereren, verhogen de verkoop en een hogere ROI voor onze e-mailcampagnes.
Naast het beschermen van ons domein, voorspellen we dat het implementeren van DMARC nu een uitstekende manier zal zijn om ons domein "toekomstbestendig" te maken. Hier bij Bird geloven we dat naarmate de industrie overgaat op IPv6, het bijna zeker zal overstappen van een IP-gebaseerd reputatiemodel naar een domein-gebaseerd reputatiemodel. Domein-gebaseerde reputatie zal domein-gebaseerde authenticatie vereisen, en DMARC, in samenwerking met DKIM en SPF, zal domeinen helpen een domein-gebaseerde reputatie op te bouwen, lang voordat het absoluut noodzakelijk zou zijn.
In dit bericht vertellen we je alles wat je moet weten over het benutten van DMARC om je e-mailreputatie te beschermen en geven we je aanwijzingen over hoe je het voor je domeinen kunt instellen.
Terms to Know
Hoe DMARC Werkt om Uw Email Reputatie te Beschermen
Hoe DMARC werkt voor uw domein
Nu we de mechanica van DMARC hebben uitgelegd, laten we eens praten over hoe we DMARC voor ons kunnen laten werken, wat de volgende drie stappen omvat:
Voorbereidingen treffen om DMARC-rapporten te ontvangen
Beslissen welk DMARC-beleid u voor uw domein wilt gebruiken
Uw DMARC-record publiceren
We zullen elk van deze in detail hieronder behandelen, maar we vertellen u meteen dat stap 1 hierboven ongeveer 95% van uw voorbereidingstijd in beslag zal nemen.
Voorbereiding om DMARC Reports te ontvangen
Elke domein dat een DMARC-beleid publiceert, moet zich eerst voorbereiden om rapporten te ontvangen over zijn domein. Deze rapporten worden gegenereerd door elk domein dat DMARC-validatie uitvoert en ziet e-mail die beweert van ons domein te zijn, en zullen ons op zijn minst dagelijks worden toegezonden. De rapporten komen in twee formaten:
Geaggregeerde rapporten, dit zijn XML-documenten die statistische gegevens tonen van hoeveel e-mail door de rapporteur van elke bron is gezien, wat de authenticatieresultaten waren en hoe de berichten door de rapporteur zijn behandeld. Geaggregeerde rapporten zijn ontworpen om door machines te worden geparsed, waarbij hun gegevens ergens worden opgeslagen om algehele verkeersanalyse, auditing van de berichtstromen van ons domein en mogelijk identificatie van trends in bronnen van niet-geauthenticeerde, mogelijk frauduleuze e-mail mogelijk te maken.
Forensische rapporten, dit zijn individuele kopieën van berichten die niet door de authenticatie kwamen, elk ingesloten in een volledige e-mailbericht in een formaat genaamd AFRF. De forensische rapporten behoren volledige headers en berichtinhouden te bevatten, maar veel rapporteurs verwijderen of redigeren bepaalde informatie vanwege privacyoverwegingen. Niettemin kan het forensisch rapport nog steeds nuttig zijn, zowel voor het oplossen van authenticatieproblemen van ons eigen domein als voor het identificeren, via URI's in de berichtinhouden, van kwaadaardige domeinen en websites die worden gebruikt om klanten van de domeineigenaar te bedriegen.
De voorbereiding om deze rapporten te ontvangen, omvat eerst het aanmaken van twee postvakken in ons domein om deze rapporten te behandelen, zoals agg_reports@ourdomain.com en afrf_reports@ourdomain.com. Let op dat die postvaknamen volledig willekeurig zijn, en er zijn geen vereisten voor de naamgeving van het lokale deel van het postvak; we zijn vrij om willekeurige namen te kiezen die we willen, maar houd de twee gescheiden voor gemakkelijker verwerking.
Zodra de postvaknamen zijn geselecteerd en aangemaakt in ons domein, is de volgende stap om hulpmiddelen in te zetten om deze postvakken te lezen en de gegevens te gebruiken, vooral de geaggregeerde gegevensrapporten, die opnieuw zijn ontworpen om door machines te worden geparsed, in plaats van door een mens te worden gelezen. De forensische rapporten kunnen daarentegen mogelijk beheersbaar zijn door ze zelf te lezen, maar ons vermogen om dat te doen zal afhangen van zowel het begrip van onze mailclient over hoe berichten in het AFRF-formaat weer te geven, als van het aantal rapporten dat we ontvangen.
Hoewel het voor ons mogelijk is om onze eigen hulpmiddelen te schrijven om DMARC-rapporten te verwerken, tot Bird dergelijke diensten biedt voor bird.com klanten (iets waar we over nadenken, maar nog niet beloven), raden we aan dat we gebruik maken van hulpmiddelen die al beschikbaar zijn voor de taak.
Welke DMARC Policy te gebruiken
De DMARC-specificatie biedt drie keuzes voor domeineigenaren om hun voorkeursbehandeling van e-mails die falen bij DMARC-validatiecontroles te specificeren. Deze zijn:
geen, wat betekent dat de e-mail op dezelfde manier wordt behandeld als het geval zou zijn zonder DMARC-validatiecontroles
quarantaine, wat betekent de e-mail accepteren, maar deze ergens anders dan de Inbox van de ontvanger plaatsen (meestal de spammap)
weigeren, wat betekent de boodschap volledig afwijzen
Het is belangrijk om te onthouden dat de domeineigenaar alleen een dergelijke behandeling kan verzoeken in zijn DMARC-record; het is aan de ontvanger van het bericht om te beslissen of hij het gevraagde beleid wel of niet zal honoreren. Sommigen zullen dit doen, terwijl anderen misschien wat milder zijn bij het toepassen van beleid, zoals alleen de-mail in de spammap te plaatsen wanneer het beleid van het domein is om te weigeren.
Wij raden al onze klanten aan om te beginnen met een beleid van geen, gewoon voor de zekerheid. Hoewel we vertrouwen hebben in ons vermogen om uw e-mail correct te authenticeren via DKIM-ondertekening, is het toch het beste om enige tijd te nemen om rapporten over uw domein te bekijken voordat u meer agressief wordt met uw DMARC-beleid.
Publiceren van Uw DMARC Policy
Samenvatting
Er is veel te ontdekken in de bovenstaande informatie! We hopen dat u de handleiding voor het maken van een DMARC-beleidsrecord nuttig vindt. We hopen ook dat onze uitleg over waarom DMARC belangrijk is, duidelijk maakt waarom u dit belangrijke hulpmiddel zou moeten gebruiken om uw e-mailreputatie te beschermen.
Natuurlijk is dit geen volledig of gezaghebbend document over het onderwerp. Als u dieper wilt ingaan of meer hulp wilt, is een geweldige plek om te beginnen de officiële DMARC FAQ. En het spreekt voor zich dat het MessageBird ondersteuningsteam klaarstaat om u te helpen uw MessageBird-account ook voor DMARC te configureren.
Bedankt voor het lezen—en begin vandaag nog met het beschermen van uw domeinen met DMARC!
