
W tym poście opowiemy Ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony swojej reputacji e-mailowej oraz podpowiemy, jak skonfigurować go dla swoich domen.
An Effective Tool to Fight Fraudulent Mail
DMARC, często wspominany w jednym tchu razem z protokołami uwierzytelniania e-mail SPF i DKIM, czyli Domain-based Message Authentication, Reporting, and Conformance, sam w sobie nie jest protokołem uwierzytelniania. Zamiast tego, celem DMARC jest umożliwienie nam, właścicielom domen, ochrony naszej reputacji e-mail poprzez:
Ogłaszanie praktyk uwierzytelniania e-maili,
Żądanie traktowania poczty, która nie przechodzi kontroli uwierzytelniania, oraz
Solicitowanie raportów na temat poczty twierdzącej, że pochodzi z naszej domeny.
DMARC może być skutecznym narzędziem w naszej walce przeciwko fałszywej poczcie, która celuje w naszą nazwę domeny (np. phishing i spoofing), i która może promować większe zaufanie wśród naszych odbiorców do naszej poczty. Dla organizacji wymagających end-to-end szyfrowania poza uwierzytelnianiem, wdrożenie S/MIME z wydajnymi metodami zbierania publicznych kluczy odbiorcy zapewnia dodatkowe warstwy zabezpieczeń. To większe zaufanie powinno, z kolei, prowadzić do większego zaangażowania w naszą pocztę, a otwierana i generująca kliknięcia poczta napędza sprzedaż i wyższy ROI dla naszych kampanii e-mail.
Oprócz ochrony naszej domeny, przewidujemy, że wdrożenie DMARC już teraz będzie doskonałym sposobem na „zabezpieczenie przyszłościowe” naszej domeny. Tutaj, w Bird, wierzymy, że w miarę jak branża przechodzi na IPv6, niemal pewnym jest, iż przejdzie z modelu reputacji opartego na IP do modelu reputacji opartego na domenie. Reputacja oparta na domenie będzie wymagała uwierzytelniania opartego na domenie, a DMARC, w połączeniu z DKIM i SPF, pomoże domenom ustanowić reputację opartą na domenie na długo przed tym, jak stanie się ona absolutnie niezbędna.
W tym poście powiemy ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony twojej reputacji e-mail i damy ci wskazówki, jak go skonfigurować dla twoich domen.
Warunki do poznania
Jak DMARC działa, aby chronić Twoją reputację e-mailową
Kiedy mówimy o dostawcy skrzynek pocztowych lub innej domenie „sprawdzającej DMARC”, „weryfikującej DMARC” lub „stosującej politykę DMARC”, mamy na myśli to, że domena odbierająca wiadomość wykonuje następujące kroki:
Określenie domeny RFC5322.From wiadomości
Wyszukanie polityki DMARC tej domeny w DNS
Wykonanie walidacji podpisu DKIM
Wykonanie walidacji SPF
Sprawdzenie zgodności domen
Zastosowanie polityki DMARC
Aby wiadomość przeszła weryfikację DMARC, musi przejść tylko jeden z dwóch testów uwierzytelniających i sprawdzających zgodność. Więc wiadomość przejdzie weryfikację DMARC, jeśli spełniony jest którykolwiek z następujących warunków:
Wiadomość przechodzi testy SPF, a domena RFC5322.From i domena Return-Path są zgodne, lub
Wiadomość przechodzi weryfikację DKIM, a domena RFC5322.From i domena DKIM d= są zgodne, lub
Oba powyższe warunki są spełnione
Jak sprawić, by DMARC działał dla Twojej domeny
Teraz, gdy wyjaśniliśmy mechanikę DMARC, porozmawiajmy o tym, jak sprawić, by DMARC działał dla nas, co obejmuje następujące trzy kroki:
Przygotowania do otrzymywania raportów DMARC
Decyzja, jaką politykę DMARC zastosować dla swojej domeny
Publikowanie swojego rekordu DMARC
Omówimy każdy z tych kroków szczegółowo poniżej, ale od razu powiemy, że krok 1 powyżej pochłonie około 95% czasu na przygotowanie.
Przygotowanie do odbierania raportów DMARC
Każda domena, która publikuje politykę DMARC, powinna najpierw przygotować się na otrzymywanie raportów dotyczących swojej domeny. Raporty będą generowane przez każdą domenę, która dokonuje walidacji DMARC i widzi pocztę, która udaje, że jest z naszej domeny, i będą wysyłane do nas co najmniej raz dziennie. Raporty będą występować w dwóch formatach:
Raporty zbiorcze, czyli dokumenty XML pokazujące dane statystyczne dotyczące ilości poczty widzianej przez raportującego z każdego źródła, jakie były wyniki uwierzytelniania i jak raportujący traktował wiadomości. Raporty zbiorcze są zaprojektowane tak, aby mogły być przetwarzane maszynowo, a ich dane były przechowywane w celu analizy ogólnego ruchu, audytu strumieni wiadomości w naszej domenie, a być może także identyfikacji trendów w źródłach nieautoryzowanych, potencjalnie oszukańczych emaili.
Raporty kryminalistyczne, które są pojedynczymi kopiami wiadomości, które nie przeszły uwierzytelnienia, każda zamknięta w pełnej wiadomości email w formacie nazywanym AFRF. Raporty kryminalistyczne powinny zawierać pełne nagłówki i treści wiadomości, ale wielu raportujących usuwa lub zamazuje pewne informacje ze względu na obawy dotyczące prywatności. Niemniej jednak raporty kryminalistyczne mogą być nadal użyteczne zarówno do rozwiązywania problemów z uwierzytelnianiem własnym w naszej domenie, jak i do identyfikacji, za pomocą URIs w treściach wiadomości, złośliwych domen i stron internetowych wykorzystywanych do oszukiwania klientów właściciela naszej domeny.
Przygotowanie do odbierania tych raportów obejmuje najpierw utworzenie dwóch skrzynek pocztowych w naszej domenie do obsługi tych raportów, takich jak agg_reports@ourdomain.com i afrf_reports@ourdomain.com. Zauważ, że nazwy tych skrzynek pocztowych są zupełnie dowolne i nie ma wymagań dotyczących nazewnictwa części lokalnej skrzynki; mamy pełną swobodę w wyborze dowolnych nazw, ale warto je oddzielić dla łatwiejszego przetwarzania.
Gdy nazwy skrzynek pocztowych są już wybrane i utworzone w naszej domenie, kolejną rzeczą do zrobienia tutaj jest zastosowanie narzędzi do odczytu tych skrzynek i korzystania z danych, zwłaszcza raportów zbiorczych, które są ponownie zaprojektowane do przetwarzania maszynowego, a nie do czytania przez człowieka. Raporty kryminalistyczne mogą być natomiast zarządzane poprzez ich samodzielne czytanie, ale nasza zdolność do tego będzie zależała zarówno od zrozumienia przez naszego klienta poczty, jak wyświetlać wiadomości w formacie AFRF, jak i od ilości raportów, które otrzymujemy.
Chociaż możemy napisać własne narzędzia do przetwarzania raportów DMARC, dopóki Bird nie zapewni takich usług dla klientów bird.com (jest to coś, o czym myślimy, ale jeszcze nie obiecujemy), zalecamy skorzystanie z narzędzi, które są już dostępne do tego zadania.
Którą DMARC Policy użyć
Specyfikacja DMARC zapewnia trzy opcje dla właścicieli domen do określenia preferowanego traktowania wiadomości, które nie przechodzą weryfikacji DMARC. Są to:
none, czyli traktowanie wiadomości tak samo, jakby były niezależne od weryfikacji DMARC
quarantine, czyli zaakceptowanie wiadomości, ale umieszczenie jej w innym miejscu niż Skrzynka odbiorcza odbiorcy (zazwyczaj folder spam)
reject, czyli całkowite odrzucenie wiadomości
Ważne jest, aby pamiętać, że właściciel domeny może jedynie zażądać takiego traktowania w swoim rekordzie DMARC; to odbiorca wiadomości decyduje, czy zaakceptować żądaną politykę. Niektórzy zrobią to, podczas gdy inni mogą być bardziej elastyczni w stosowaniu polityki, na przykład umieszczając wiadomości w folderze spam tylko wtedy, gdy polityka domeny to reject.
Zalecamy wszystkim naszym klientom rozpoczęcie od polityki none, po prostu dla bezpieczeństwa. Chociaż jesteśmy pewni naszej zdolności do prawidłowego uwierzytelniania Twojej poczty poprzez DKIM signing, nadal najlepiej jest poświęcić trochę czasu na zbadanie raportów dotyczących Twojej domeny przed bardziej agresywnym podejściem do polityki DMARC.
Publikowanie Your DMARC Policy
Polityka DMARC domeny jest ogłaszana poprzez opublikowanie rekordu typu DNS TXT w określonym miejscu w przestrzeni nazw DNS, mianowicie „_dmarc.domainname.tld” (zwróć uwagę na prowadzący podkreślnik). Podstawowy rekord polityki DMARC dla naszej przykładowej domeny z wcześniejszego, joesbaitshop.com, może wyglądać następująco:
Analizując ten rekord, mamy:
v=DMARC1 określa wersję DMARC (1 to jedyny wybór na ten moment)
p=none określa preferowane traktowanie, czyli politykę DMARC
rua=mailto:agg_reports@joesbait.com to skrzynka pocztowa, na którą powinny być wysyłane raporty zbiorcze
ruf=mailto:afrf_reports@joesbait.com to skrzynka pocztowa, na którą powinny być wysyłane raporty krytyczne
pct=100 to procent wiadomości, do których właściciel domeny chciałby, aby jego polityka była stosowana. Domeny dopiero zaczynające przygodę z DMARC, zwłaszcza te, które mogą generować dużą liczbę raportów, mogą chcieć zacząć od znacznie niższej liczby tutaj, aby zobaczyć, jak ich procesy obsługi raportów radzą sobie z obciążeniem.
Istnieją również inne opcje konfiguracji dostępne dla właściciela domeny do wykorzystania w swoim rekordzie polityki DMARC, ale wskazówki, które dostarczyliśmy, powinny być dobrym początkiem.
Podsumowanie
Jest dużo do rozpakowania w powyższych informacjach! Mamy nadzieję, że znajdziesz jak-to dla tworzenia rekordu polityki DMARC pomocne. Mamy również nadzieję, że nasze wyjaśnienie, dlaczego DMARC ma znaczenie, pomoże wyjaśnić, dlaczego powinieneś zacząć używać tego ważnego narzędzia do ochrony swojej reputacji e-mailowej.
Oczywiście, to nie jest kompletny ani autorytatywny dokument na ten temat. Jeśli chcesz zagłębić się głębiej lub potrzebujesz więcej pomocy, świetnym miejscem na start jest oficjalne FAQ DMARC. I, rzecz jasna, zespół wsparcia Bird jest gotowy pomóc Ci skonfigurować Twoje konto Bird dla DMARC.
Dziękujemy za przeczytanie — i zacznij chronić swoje domeny z DMARC już dziś!