Skuteczne narzędzie w walce z oszukańczymi wiadomościami

Często wymieniane w tym samym zdaniu co protokoły autoryzacji e-mail SPF i DKIM, DMARC, czyli uwierzytelnienie wiadomości oparte na domenie, raportowanie i zgodność, nie jest samodzielnym protokołem uwierzytelniania. Zamiast tego, celem DMARC jest umożliwienie właścicielom domen ochrony ich reputacji e-mailowej w następujący sposób:

• Ogłaszając praktyki uwierzytelniania e-maili,

• Żądając traktowania wiadomości, które nie przeszły kontroli uwierzytelniania, oraz

• Prosząc o raporty na temat wiadomości, które twierdzą, że pochodzą z jego domeny.

DMARC może być skutecznym narzędziem, którego możemy użyć w walce z oszukańczymi wiadomościami, które celują w naszą nazwę domeny (np. phishing i podszywanie się), a także może promować większe zaufanie wśród naszych odbiorców do naszych wiadomości. Wyższe zaufanie powinno z kolei prowadzić do większego zaangażowania w nasze wiadomości, a otwierane wiadomości generujące kliknięcia zwiększają sprzedaż i wyższy zwrot z inwestycji dla naszych kampanii e-mailowych.

Oprócz ochrony naszej domeny, przewidujemy, że wdrożenie DMARC teraz będzie doskonałym sposobem na "uzbrojenie się na przyszłość" naszej domeny. Tutaj, w Bird, wierzymy, że w miarę jak branża przechodzi na IPv6, prawie na pewno przejdzie z modelu reputacji opartego na adresach IP do modelu reputacji opartego na domenie. Reputacja oparta na domenie będzie wymagać autoryzacji opartej na domenie, a DMARC, w połączeniu z DKIM i SPF, pomoże domenom ustalić reputację opartą na domenie znacznie wcześniej, niż mogłoby to być absolutnie konieczne.

W tym poście opowiemy Ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony swojej reputacji e-mailowej i damy Ci wskazówki, jak go skonfigurować dla swoich domen.

Terminy do zrozumienia

Zanim przejdziemy do konfiguracji DMARC dla Twojej domeny, chcemy upewnić się, że mówimy tym samym językiem. Zacznijmy od zdefiniowania kilku terminów, które będziemy używać przez resztę tego dokumentu.

Domena RFC5322.From

Domena RFC5322.From to część domenowa adresu e-mail, którą zazwyczaj widzi odbiorca naszego e-maila, gdy jest on odczytywany. W poniższym przykładzie domena RFC5322.From to "joesbaitshop.com"

Od: Joe’s Bait and Tackle <sales@joesbaitshop.com>

Domena DKIM d=

DKIM jest protokołem uwierzytelnienia, który pozwala domenie na wzięcie odpowiedzialności za wiadomość w sposób, który może być zweryfikowany przez odbiorcę wiadomości; odbywa się to poprzez wykorzystanie podpisów kryptograficznych wstawianych do nagłówków wiadomości w momencie jej opuszczania miejsca, w którym została zainicjowana. Te podpisy są efektywnie migawkami tego, jak wiadomość wyglądała w danym momencie, a odbiorca może użyć tych migawek, aby sprawdzić, czy wiadomość dotarła do celu w niezmienionym stanie. Proces produkcji i wstawiania tych migawek nazywa się podpisywaniem DKIM, a domena, która bierze odpowiedzialność za wiadomość, wstawiając swój podpis, umieszcza swoją nazwę w nagłówku w tagu klucz-wartość jako "d=signingDomain", i dlatego odnosi się to jako do domeny DKIM d=.

Domena Return-Path

Domena Return-Path, czasami nazywana domeną RFC5321.From lub domeną Mail From, jest domeną, do której są kierowane wiadomości zwrotne; jest również domeną, na której wykonywane są kontrole SPF w trakcie transakcji e-mail. Ta domena zazwyczaj nie jest widoczna dla odbiorcy, chyba że odbiorca jest na tyle zaawansowany, aby spojrzeć na wszystkie nagłówki danej wiadomości.

Domyślnie wszystkie wiadomości wysyłane przez bird.com będą miały birdmail.com jako swoją domenę Return-Path, jak w poniższym przykładzie:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Jednak, aby DMARC działał dla twojej domeny, będziesz chciał wykorzystać niestandardową domenę dla wiadomości zwrotnych, która zakończy się tą samą domeną, co twoja domena wysyłająca, np. bounces.twojadomena.com, kiedy używasz twojadomena.com jako swojej domeny wysyłającej.

Domena Organizacyjna

Termin „Domena Organizacyjna” odnosi się do domeny, która została zgłoszona do rejestratora w celu utworzenia obecności domeny w internecie. Dla Birds nasze organizacyjne domeny to bird.com i birdmail.com.

Zgodność Domenowa

Ostatnim terminem do zrozumienia w odniesieniu do DMARC jest „Zgodność Domenowa”, która występuje w dwóch wariantach: „luźnym” i „ściślejszym”.

Luźna Zgodność Domenowa

Każde dwie domeny mają luźną zgodność domenową, gdy ich Organizacyjne Domeny są takie same. Na przykład, a.mail.bird.com i b.foo.bird.com mają luźną zgodność domenową z powodu wspólnej Organizacyjnej Domeny, bird.com.

Ścisła Zgodność Domenowa

O dwóch domenach mówi się, że mają ścisłą zgodność domenową, jeśli i tylko jeśli są identyczne. Tak więc, foo.bird.com i foo.bird.com są w ścisłej zgodności, ponieważ obie domeny są identyczne. Z drugiej strony foo.bird.com i bar.foo.bird.com mają tylko luźną zgodność.

Wymogi Zgodności Domenowej DMARC

Aby kontrole walidacji DMARC mogły być pomyślnie przeprowadzone, DMARC wymaga, aby istniała zgodność domenowa w następujący sposób:

• Dla SPF, domena RFC5322.From oraz domena Return-Path muszą być zgodne

• Dla DKIM, domena RFC5322.From oraz domena DKIM d= muszą być zgodne

Zgodność może być luźna lub ścisła, w zależności od opublikowanej polityki domeny wysyłającej.

Jak DMARC działa, aby chronić Twoją reputację e-mailową

Gdy mówimy o dostawcy skrzynek pocztowych lub innej domenie „sprawdzającej DMARC”, lub „walidującej DMARC”, lub „zastosowanej polityce DMARC”, mamy na myśli, że domena otrzymująca wiadomość wykonuje następujące kroki:

1. Określenie domeny RFC5322.From wiadomości

2. Wyszukiwanie polityki DMARC tej domeny w DNS

3. Wykonywanie walidacji podpisu DKIM

4. Wykonywanie walidacji SPF

5. Sprawdzenie zgodności domenowej

6. Zastosowanie polityki DMARC

Aby wiadomość mogła przejść walidację DMARC, musi przejść tylko jedną z dwóch kontroli uwierzytelniania i zgodności. Tak więc, wiadomość przejdzie walidację DMARC, jeśli którakolwiek z następujących rzeczy jest prawdziwa:

• Wiadomość przechodzi kontrole SPF i domena RFC5322.From oraz domena Return-Path są zgodne, lub

• Wiadomość przechodzi walidację DKIM i domena RFC5322.From oraz domena DKIM d= są zgodne, lub

• Obie powyższe są prawdziwe

  
  

Jak sprawić, by DMARC działało dla Twojej domeny

Teraz, gdy wyjaśniliśmy mechanikę DMARC, porozmawiajmy o tym, jak sprawić, by DMARC działało dla nas, co obejmuje następujące trzy kroki:

1. Przygotowanie do odbierania raportów DMARC

2. Decydowanie o polityce DMARC, którą chcesz zastosować dla swojej domeny

3. Publikacja rekordu DMARC

Omówimy każdy z tych kroków szczegółowo poniżej, ale od razu powiemy, że krok 1 zajmie około 95% Twojego czasu przygotowania.

Przygotowanie do odbierania raportów DMARC

Każda domena, która publikuje politykę DMARC, powinna najpierw przygotować się do odbierania raportów dotyczących swojej domeny. Raporty te będą generowane przez dowolną domenę, która wykonuje walidację DMARC i widzi wiadomości, które twierdzą, że pochodzą z naszej domeny, i będą do nas wysyłane co najmniej codziennie. Raporty te będą w dwóch formatach:

• Raporty zbiorcze, które są dokumentami XML pokazującymi dane statystyczne dotyczące tego, ile wiadomości zostało zauważonych przez raportującego z każdego źródła, jakie były wyniki uwierzytelniania i jak wiadomości były traktowane przez raportującego. Raporty zbiorcze są zaprojektowane do przetwarzania przez maszyny, a ich dane są przechowywane gdzie indziej, aby umożliwić ogólną analizę ruchu, audyt wiadomości naszej domeny, a być może identyfikację trendów w źródłach nieautoryzowanych, potencjalnie oszukańczych e-maili.

• Raporty kryminalistyczne, które są indywidualnymi kopiamy wiadomości, które nie przeszły uwierzytelnienia, każda zamknięta w pełnej wiadomości e-mail w formacie nazywanym AFRF. Raporty kryminalistyczne powinny zawierać pełne nagłówki i treści wiadomości, ale wielu raportujących usuwa lub redaguje niektóre informacje z powodu obaw o prywatność. Niemniej jednak raport kryminalistyczny może być wciąż przydatny zarówno do rozwiązywania problemów z własnymi problemami z uwierzytelnianiem naszej domeny, jak i do identyfikacji, na podstawie URI w treściach wiadomości, złośliwych domen i witryn używanych do oszukiwania klientów właściciela domeny.

Przygotowanie do odbioru tych raportów polega najpierw na utworzeniu dwóch skrzynek pocztowych w naszej domenie do obsługi tych raportów, takich jak agg_reports@ourdomain.com i afrf_reports@ourdomain.com. Zauważ, że te nazwy skrzynek pocztowych są całkowicie arbitralne, a ich nazewnictwo lokalnej części skrzynki pocztowej nie podlega żadnym wymaganiom; mamy pełną swobodę w wyborze dowolnych nazw, ale zachowaj te dwie oddzielne dla łatwiejszego przetwarzania.

Gdy nazwy skrzynek pocztowych zostaną wybrane i utworzone w naszej domenie, następną rzeczą do zrobienia jest wdrożenie narzędzi do odczytu tych skrzynek pocztowych i wykorzystania danych, szczególnie danych zbiorczych, które znowu są zaprojektowane do przetwarzania przez maszyny, a nie do odczytu przez ludzi. Raporty kryminalistyczne z drugiej strony mogą być zarządzane po prostu przez ich samodzielne czytanie, ale nasza zdolność do tego będzie zależała zarówno od zrozumienia naszego klienta pocztowego, jak i od ilości raportów, które otrzymujemy.

Chociaż możliwe jest napisanie własnych narzędzi do przetwarzania raportów DMARC, do czasu, aż Bird zapewni takie usługi dla klientów bird.com (co rozważamy, ale jeszcze nie obiecujemy), zalecamy wykorzystanie narzędzi, które są już dostępne do tego zadania.

Jaką politykę DMARC zastosować

Specyfikacja DMARC oferuje trzy wybory dla właścicieli domen, aby określić preferowane traktowanie wiadomości, które nie przeszły kontroli walidacji DMARC. Są one:

• brak, co oznacza traktowanie wiadomości tak samo, jak byłyby traktowane niezależnie od kontroli walidacji DMARC

• kwarantanna, co oznacza zaakceptowanie wiadomości, ale umieszczenie jej gdzie indziej niż w Skrzynce odbiorczej odbiorcy (zazwyczaj w folderze spam)

• odrzucenie, co oznacza odrzucenie wiadomości całkowicie

Ważne jest, aby pamiętać, że właściciel domeny może jedynie prosić o takie traktowanie w swoim rekordzie DMARC; to do odbiorcy wiadomości należy decyzja, czy zaakceptować żądaną politykę czy nie. Niektórzy będą to robić, podczas gdy inni mogą być nieco bardziej pobłażliwi przy stosowaniu polityki, na przykład umieszczając wiadomości w folderze spam, gdy polityka domeny mówi „odrzucenie”.

Zalecamy wszystkim naszym klientom rozpoczęcie od polityki „brak”, po prostu dla bezpieczeństwa. Choć jesteśmy pewni naszej zdolności do właściwego uwierzytelniania Twoich wiadomości poprzez podpisywanie DKIM, zawsze lepiej jest poświęcić trochę czasu na zapoznanie się z raportami dotyczącymi Twojej domeny przed podejmowaniem bardziej agresywnych działań w stosunku do polityki DMARC.

Publikowanie polityki DMARC

Polityka DMARC domeny jest ogłaszana poprzez publikację rekordu TXT DNS w określonym miejscu w przestrzeni nazw DNS, mianowicie „_dmarc.nazwadomeny.tld” (zauważ podkreślenie na początku). Podstawowy rekord polityki DMARC dla naszej wcześniejszej przykładowej domeny, joesbaitshop.com, może wyglądać tak:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Rozbijając ten rekord, mamy:

• v=DMARC1 określa wersję DMARC (1 to jedyna obecnie dostępna opcja)

• p=none określa preferowane traktowanie lub politykę DMARC

• rua=mailto:agg_reports@joesbait.com to skrzynka pocztowa, na którą powinny być wysyłane raporty zbiorcze

• ruf=mailto:afrf_reports@joesbait.com to skrzynka pocztowa, na którą powinny być wysyłane raporty kryminalistyczne

• pct=100 to procent wiadomości, do których właściciel domeny chciałby, aby jego polityka była stosowana. Domeny, które dopiero zaczynają przygodę z DMARC, zwłaszcza te, które mogą generować dużą liczbę raportów, mogą chcieć zacząć od znacznie niższego procentu, aby zobaczyć, jak ich procesy obsługi raportów poradzą sobie z obciążeniem.

  
  

Istnieją także inne opcje konfiguracyjne dostępne dla właściciela domeny, które można wykorzystać w jego rekordzie polityki DMARC, ale podane przez nas wskazówki powinny być dobrym punktem wyjścia.

Podsumowanie

Jest dużo do przemyślenia w powyższych informacjach! Mamy nadzieję, że instrukcje dotyczące tworzenia rekordu polityki DMARC będą pomocne. Mamy również nadzieję, że nasze wyjaśnienie, dlaczego DMARC ma znaczenie, pomoże wyjaśnić, dlaczego powinieneś zacząć korzystać z tego ważnego narzędzia do ochrony swojej reputacji e-mailowej.

Oczywiście to nie jest pełny ani autorytatywny dokument w tej kwestii. Jeśli chcesz zgłębić temat lub potrzebujesz dodatkowej pomocy, doskonałym miejscem do rozpoczęcia jest oficjalne FAQ DMARC. I dla pewności, zespół wsparcia Bird jest gotowy pomóc Ci skonfigurować Twoje konto Bird w celu użycia DMARC.

Dziękujemy za lekturę – i zacznij chronić swoje domeny z DMARC już dziś!