W tym poście opowiemy Ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony swojej reputacji e-mailowej oraz podpowiemy, jak skonfigurować go dla swoich domen.
An Effective Tool to Fight Fraudulent Mail
Często wspominany w tym samym kontekście co protokoły uwierzytelniania e-mail SPF i DKIM, DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance, nie jest sam w sobie protokołem uwierzytelniania. Zamiast tego, celem DMARC jest umożliwienie nam, właścicielom domen, ochrony naszej reputacji e-mail przy pomocy:
Ogłaszania praktyk uwierzytelniania e-mail,
Żądania traktowania poczty, która nie przechodzi testów uwierzytelniania, oraz
Zbieranie raportów o poczcie twierdzącej, że pochodzi z naszej domeny.
DMARC może być skutecznym narzędziem w naszej walce przeciwko fałszywej poczcie, która celuje w nazwę naszej domeny (np. phishing i spoofing) i która może zwiększać zaufanie wśród naszych odbiorców do naszej poczty. Dla organizacji wymagających pełnego szyfrowania od końca do końca poza uwierzytelnianiem, implementacja S/MIME z efektywnymi metodami zbierania kluczy publicznych odbiorców zapewnia dodatkowe warstwy bezpieczeństwa. To większe zaufanie powinno z kolei prowadzić do większego zaangażowania w naszą pocztę, a poczta otwierana i generująca kliknięcia napędza sprzedaż i wyższy ROI dla naszych kampanii e-mail.
Oprócz ochrony naszej domeny, przewidujemy, że wprowadzenie DMARC teraz będzie doskonałym sposobem na „przyszłościowe zabezpieczenie” naszej domeny. Tutaj w Bird, wierzymy, że gdy branża przejdzie na IPv6, prawie na pewno przejdzie z modelu reputacji opartego na IP na model reputacji oparty na domenie. Reputacja oparta na domenie będzie wymagała uwierzytelniania opartego na domenie, a DMARC, współpracując z DKIM i SPF, pomoże domenom ustanowić reputację opartą na domenie na długo przed tym, jak może to być absolutnie konieczne.
W tym poście powiemy Ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony reputacji e-mail i damy Ci wskazówki, jak go skonfigurować dla Twoich domen.
Warunki do poznania
Jak DMARC działa, aby chronić Twoją reputację e-mailową
Kiedy mówimy o dostawcy skrzynek pocztowych lub innej domenie „sprawdzającej DMARC”, „weryfikującej DMARC” lub „stosującej politykę DMARC”, mamy na myśli to, że domena odbierająca wiadomość wykonuje następujące kroki:
Określenie domeny RFC5322.From wiadomości
Wyszukanie polityki DMARC tej domeny w DNS
Wykonanie walidacji podpisu DKIM
Wykonanie walidacji SPF
Sprawdzenie zgodności domen
Zastosowanie polityki DMARC
Aby wiadomość przeszła weryfikację DMARC, musi przejść tylko jeden z dwóch testów uwierzytelniających i sprawdzających zgodność. Więc wiadomość przejdzie weryfikację DMARC, jeśli spełniony jest którykolwiek z następujących warunków:
Wiadomość przechodzi testy SPF, a domena RFC5322.From i domena Return-Path są zgodne, lub
Wiadomość przechodzi weryfikację DKIM, a domena RFC5322.From i domena DKIM d= są zgodne, lub
Oba powyższe warunki są spełnione
Jak sprawić, by DMARC działał dla Twojej domeny
Teraz, gdy wyjaśniliśmy mechanikę DMARC, porozmawiajmy o tym, jak sprawić, by DMARC działał dla nas, co obejmuje następujące trzy kroki:
Przygotowania do otrzymywania raportów DMARC
Decyzja, jaką politykę DMARC zastosować dla swojej domeny
Publikowanie swojego rekordu DMARC
Omówimy każdy z tych kroków szczegółowo poniżej, ale od razu powiemy, że krok 1 powyżej pochłonie około 95% czasu na przygotowanie.
Przygotowanie do odbierania raportów DMARC
Każda domena, która publikuje politykę DMARC, powinna najpierw przygotować się do otrzymywania raportów dotyczących swojej domeny. Raporty te będą generowane przez każdą domenę, która przeprowadza walidację DMARC i widzi pocztę, która wydaje się być z naszej domeny, i będą wysyłane do nas co najmniej na codziennie. Raporty będą dostarczane w dwóch formatach:
Raporty zbiorcze, które są dokumentami XML pokazującymi dane statystyczne dotyczące ilości poczty widzianej przez zgłaszającego z każdego źródła, jakie były wyniki uwierzytelnienia i jak wiadomości były traktowane przez zgłaszającego. Raporty zbiorcze są zaprojektowane do parsowania przez maszyny, gdzie ich dane są przechowywane gdzieś, aby umożliwić ogólną analizę ruchu, audyt strumieni wiadomości naszej domeny, a być może identyfikację trendów w źródłach nieuwierzytelnionej, potencjalnie oszukańczej, poczty.
Raporty kryminalistyczne, które są indywidualnymi kopiami wiadomości, które nie przeszły uwierzytelnienia, każda zamknięta w pełnej wiadomości e-mail używając formatu zwanego AFRF. Raporty kryminalistyczne powinny zawierać pełne nagłówki i treści wiadomości, ale wielu zgłaszających usuwa lub zaciemnia część informacji ze względu na kwestie prywatności. Niemniej jednak raport kryminalistyczny może nadal być użyteczny zarówno do rozwiązywania problemów z uwierzytelnieniem naszej domeny, jak i identyfikacji, z URIs w treściach wiadomości, złośliwych domen i stron internetowych używanych do oszukiwania klientów właściciela naszej domeny.
Przygotowanie do otrzymania tych raportów polega na stworzeniu dwóch skrzynek pocztowych w naszej domenie do obsługi tych raportów, takich jak agg_reports@ourdomain.com i afrf_reports@ourdomain.com. Zauważ, że nazwy tych skrzynek pocztowych są całkowicie arbitralne i nie ma wymogów dotyczących nazewnictwa lokalnej części skrzynki pocztowej; mamy swobodę wyboru dowolnych nazw, które chcemy, ale należy utrzymać je oddzielnie dla łatwiejszego przetwarzania.
Po wybraniu i utworzeniu nazw skrzynek pocztowych w naszej domenie, kolejną rzeczą do zrobienia tutaj jest wdrożenie narzędzi do odczytywania tych skrzynek pocztowych i wykorzystania danych, zwłaszcza raportów danych zbiorczych, które znowu są przeznaczone do automatycznego parsowania, a nie do czytania przez człowieka. Raporty kryminalistyczne, z drugiej strony, mogą być zarządzane po prostu przez ich samodzielne czytanie, ale nasze możliwości zrobienia tego będą zależały zarówno od zrozumienia przez naszego klienta poczty sposobu wyświetlania wiadomości w formacie AFRF, jak i od ilości otrzymywanych raportów.
Chociaż możliwe jest dla nas napisanie własnych narzędzi do przetwarzania raportów DMARC, dopóki Bird nie zapewni takich usług dla klientów bird.com (co rozważamy, ale na razie nie obiecujemy), zalecamy korzystanie z narzędzi, które są już dostępne do tego zadania.
Którą DMARC Policy użyć
Specyfikacja DMARC zapewnia trzy opcje dla właścicieli domen do określenia preferowanego traktowania wiadomości, które nie przechodzą weryfikacji DMARC. Są to:
none, czyli traktowanie wiadomości tak samo, jakby były niezależne od weryfikacji DMARC
quarantine, czyli zaakceptowanie wiadomości, ale umieszczenie jej w innym miejscu niż Skrzynka odbiorcza odbiorcy (zazwyczaj folder spam)
reject, czyli całkowite odrzucenie wiadomości
Ważne jest, aby pamiętać, że właściciel domeny może jedynie zażądać takiego traktowania w swoim rekordzie DMARC; to odbiorca wiadomości decyduje, czy zaakceptować żądaną politykę. Niektórzy zrobią to, podczas gdy inni mogą być bardziej elastyczni w stosowaniu polityki, na przykład umieszczając wiadomości w folderze spam tylko wtedy, gdy polityka domeny to reject.
Zalecamy wszystkim naszym klientom rozpoczęcie od polityki none, po prostu dla bezpieczeństwa. Chociaż jesteśmy pewni naszej zdolności do prawidłowego uwierzytelniania Twojej poczty poprzez DKIM signing, nadal najlepiej jest poświęcić trochę czasu na zbadanie raportów dotyczących Twojej domeny przed bardziej agresywnym podejściem do polityki DMARC.
Publikowanie Your DMARC Policy
Polityka DMARC domeny jest ogłaszana poprzez opublikowanie rekordu DNS TXT w określonym miejscu w przestrzeni nazw DNS, mianowicie „_dmarc.domainname.tld” (zwróć uwagę na początkowy podkreślnik). Podstawowy rekord polityki DMARC dla naszej przykładowej domeny z wcześniejszego, joesbaitshop.com, może wyglądać następująco:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Analizując ten rekord, mamy:
v=DMARC1 określa wersję DMARC (1 to jedyna opcja obecnie)
p=none określa preferowane traktowanie lub politykę DMARC
rua=mailto:agg_reports@joesbait.com to skrzynka pocztowa, do której powinny być wysyłane raporty zbiorcze
ruf=mailto:afrf_reports@joesbait.com to skrzynka pocztowa, do której powinny być wysyłane raporty szczegółowe
pct=100 to procent wiadomości, do których właściciel domeny chciałby, aby jego polityka była stosowana. Domeny dopiero rozpoczynające korzystanie z DMARC, zwłaszcza te, które mogą generować dużą liczbę raportów, mogą chcieć zacząć od znacznie niższej liczby, aby zobaczyć, jak ich procesy obsługi raportów radzą sobie z obciążeniem.
Istnieją również inne opcje konfiguracji dostępne dla właściciela domeny do wykorzystania w jego rekordzie polityki DMARC, ale wskazówki, które dostarczyliśmy, powinny być dobrym początkiem.
Podsumowanie
Jest wiele do rozpakowania w powyższych informacjach! Mamy nadzieję, że znajdziesz pomocne wskazówki dotyczące tworzenia rekordu polityki DMARC. Mamy również nadzieję, że nasze wyjaśnienie, dlaczego DMARC ma znaczenie, pomoże wyjaśnić, dlaczego powinieneś zacząć używać tego ważnego narzędzia do ochrony reputacji e-mailowej.
Oczywiście, to nie jest kompletne ani autorytatywne opracowanie na ten temat. Jeśli chcesz zgłębić temat bardziej lub potrzebujesz dodatkowej pomocy, doskonałym miejscem na rozpoczęcie jest oficjalne FAQ DMARC. I, co oczywiste, zespół wsparcia Bird jest gotowy pomóc Ci w skonfigurowaniu konta Bird dla DMARC również.
Dziękujemy za przeczytanie — i zacznij chronić swoje domeny z DMARC już dziś!
