
W tym poście opowiemy Ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony swojej reputacji e-mailowej oraz podpowiemy, jak skonfigurować go dla swoich domen.
Business in a box.
Odkryj nasze rozwiązania.
Porozmawiaj z naszym zespołem sprzedaży
An Effective Tool to Fight Fraudulent Mail
Często wspominany w tym samym kontekście co protokoły uwierzytelniania e-mail SPF i DKIM, DMARC, czyli Authentication Domain-based Message, Reporting, and Conformance, sam w sobie nie jest protokołem uwierzytelniania. Zamiast tego celem DMARC jest umożliwienie nam, właścicielom domen, ochrony naszej reputacji e-mail poprzez:
Ogłaszanie praktyk uwierzytelniania e-mail,
Zgłaszanie żądania dotyczącego postępowania z pocztą, która nie przechodzi przez kontrole uwierzytelniania, oraz
Zbieranie raportów o poczcie, która twierdzi, że pochodzi z naszej domeny.
DMARC może być skutecznym narzędziem do wykorzystania w naszej walce z oszukańczą pocztą, która celuje w naszą nazwę domeny (np. phishing i spoofing), i która może promować większe zaufanie wśród odbiorców do naszej poczty. To większe zaufanie powinno z kolei prowadzić do większego zaangażowania w naszą pocztę, a poczta, która jest otwierana i generuje kliknięcia, napędza sprzedaż i wyższy zwrot z inwestycji (ROI) w naszych kampaniach e-mail.
Oprócz ochrony naszej domeny, przewidujemy, że wdrożenie DMARC teraz będzie doskonałym sposobem na "zabezpieczenie" naszej domeny na przyszłość. Tutaj w Bird wierzymy, że przemysł przechodzący na IPv6 jest prawie na pewno w drodze do modelu reputacji opartego na domenie zamiast na adresie IP. Reputacja oparta na domenie będzie wymagała uwierzytelniania opartego na domenie, a DMARC, w zestawie z DKIM i SPF, pomoże domenom ustanowić reputację opartą na domenie dużo wcześniej, zanim stanie się to absolutnie konieczne.
W tym poście powiemy Ci wszystko, co musisz wiedzieć o wykorzystaniu DMARC do ochrony reputacji e-mail i udzielimy wskazówek, jak go skonfigurować dla Twoich domen.
Warunki do poznania
Jak DMARC działa, aby chronić Twoją reputację e-mailową
Kiedy mówimy o dostawcy skrzynki pocztowej lub innej domenie „sprawdzającej DMARC”, „weryfikującej DMARC” lub „stosującej politykę DMARC”, mamy na myśli, że domena odbierająca wiadomość wykonuje następujące kroki:
Określić domenę RFC5322.From wiadomości
Sprawdź politykę DMARC tej domeny w DNS
Przeprowadź walidację DKIM Signature
Przeprowadź walidację SPF
Sprawdź wyrównanie domeny
Zastosuj politykę DMARC
Aby wiadomość przeszła weryfikację DMARC, musi przejść tylko jedno z dwóch sprawdzeń uwierzytelniania i wyrównania. Tak więc wiadomość przejdzie weryfikację DMARC, jeśli którekolwiek z poniższych stwierdzeń jest prawdziwe:
Wiadomość przechodzi kontrolę SPF, a domena RFC5322.From i domena Return-Path są wyrównane, lub
Wiadomość przechodzi weryfikację DKIM, a domena RFC5322.From i domena DKIM d= są wyrównane, lub
Oba powyższe są prawdziwe
Jak sprawić, by DMARC działał dla Twojej domeny
Teraz, gdy wyjaśniliśmy mechanikę DMARC, porozmawiajmy o tym, jak sprawić, by DMARC działał dla nas, co obejmuje następujące trzy kroki:
Przygotowania do otrzymywania raportów DMARC
Decyzja, jaką politykę DMARC zastosować dla swojej domeny
Publikowanie swojego rekordu DMARC
Omówimy każdy z tych kroków szczegółowo poniżej, ale od razu powiemy, że krok 1 powyżej pochłonie około 95% czasu na przygotowanie.
Przygotowanie do odbierania raportów DMARC
Każda domena, która publikuje politykę DMARC, powinna najpierw przygotować się do otrzymywania raportów dotyczących swojej domeny. Raporty te będą generowane przez dowolną domenę, która przeprowadza walidację DMARC i widzi, że poczta pochodzi z naszej domeny, i będą wysyłane do nas co najmniej raz dziennie. Raporty będą dostarczane w dwóch formatach:
Raporty zbiorcze, które są dokumentami XML pokazującymi dane statystyczne dotyczące tego, ile poczty zostało zobaczonych przez raportującego z każdego źródła, jakie były wyniki uwierzytelniania i jak wiadomości zostały potraktowane przez raportującego. Raporty zbiorcze są zaprojektowane tak, aby były analizowane przez maszyny, z ich danymi przechowywanymi gdzieś w celu umożliwienia ogólnej analizy ruchu, audytu strumieni wiadomości z naszej domeny, a być może identyfikacji trendów w źródłach nieautoryzowanej, potencjalnie oszukańczej, poczty.
Raporty kryminalistyczne, które są indywidualnymi kopiami wiadomości, które nie przeszły uwierzytelniania, każda zawarta w pełnej wiadomości e-mail w formacie zwanym AFRF. Raporty kryminalistyczne powinny zawierać pełne nagłówki i treści wiadomości, ale wiele raportujących usuwa lub zaciemnia pewne informacje ze względu na obawy o prywatność. Niemniej jednak, raport kryminalistyczny może nadal być użyteczny zarówno do rozwiązywania problemów z uwierzytelnieniem w naszej domenie, jak i do identyfikacji, na podstawie URI w treściach wiadomości, złośliwych domen i stron internetowych używanych do oszukiwania klientów właściciela naszej domeny.
Przygotowanie do odbierania tych raportów obejmuje najpierw utworzenie dwóch skrzynek pocztowych w naszej domenie do obsługi tych raportów, takich jak agg_reports@ourdomain.com i afrf_reports@ourdomain.com. Należy zauważyć, że te nazwy skrzynek pocztowych są całkowicie arbitralne i nie ma wymagań dotyczących nazewnictwa lokalnej części skrzynki pocztowej; możemy wybrać dowolne nazwy, jakie zechcemy, ale trzymajmy je oddzielnie dla łatwiejszego przetwarzania.
Po wybraniu i utworzeniu nazw skrzynek pocztowych w naszej domenie, kolejną rzeczą do zrobienia jest wprowadzenie narzędzi do czytania tych skrzynek i korzystania z danych, zwłaszcza z raportów zbiorczych danych, które ponownie są zaprojektowane do analizy maszynowej, a nie do czytania przez człowieka. Raporty kryminalistyczne, z drugiej strony, mogą być zarządzalne po prostu przez ich własne czytanie, ale nasza zdolność do tego będzie zależeć zarówno od zrozumienia przez nasz klient poczty, jak wyświetlać wiadomości w formacie AFRF, jak i od liczby otrzymanych raportów.
Podczas gdy jest to możliwe, abyśmy sami pisali narzędzia do przetwarzania raportów DMARC, dopóki Bird nie udostępni takich usług dla klientów bird.com (co obecnie rozważamy, ale jeszcze nie obiecujemy), zalecamy korzystanie z narzędzi, które są już dostępne do tego zadania.
Którą DMARC Policy użyć
Specyfikacja DMARC oferuje trzy opcje dla właścicieli domen, aby określić preferowane traktowanie poczty, która nie przechodzi walidacji DMARC. Są to:
none, czyli traktowanie poczty tak samo, jakby była traktowana niezależnie od walidacji DMARC
quarantine, czyli akceptowanie poczty, ale umieszczenie jej w innym miejscu niż Inbox odbiorcy (zwykle w folderze spam)
reject, czyli odrzucenie wiadomości w całości
Ważne jest, aby pamiętać, że właściciel domeny może jedynie zażądać takiego traktowania w swoim rekordzie DMARC; decyzja, czy spełnić zamierzoną politykę, należy do odbiorcy wiadomości. Niektórzy będą to robić, podczas gdy inni mogą być nieco bardziej pobłażliwi w stosowaniu polityki, na przykład tylko umieszczając pocztę w folderze spam, gdy polityka domeny to reject.
Zalecamy wszystkim naszym klientom rozpoczęcie z polityką none, po prostu dla bezpieczeństwa. Chociaż jesteśmy pewni naszej zdolności do poprawnego uwierzytelniania Waszej poczty przez podpis DKIM, nadal najlepiej jest poświęcić trochę czasu na przeanalizowanie raportów dotyczących Waszej domeny, zanim przejdziecie do bardziej agresywnej polityki DMARC.
Publikowanie Your DMARC Policy
Polityka DMARC domeny jest ogłaszana poprzez publikację rekordu DNS TXT w określonym miejscu w przestrzeni nazw DNS, mianowicie „_dmarc.domainname.tld” (zwróć uwagę na wiodący podkreślnik). Podstawowy rekord polityki DMARC dla naszej przykładowej domeny z wcześniejszego, joesbaitshop.com, może wyglądać mniej więcej tak:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Rozkładając ten rekord na części, mamy:
v=DMARC1 określa wersję DMARC (obecnie dostępna jest tylko wersja 1)
p=none określa preferowane traktowanie lub politykę DMARC
rua=mailto:agg_reports@joesbait.com to skrzynka pocztowa, do której powinny być wysyłane raporty zbiorcze
ruf=mailto:afrf_reports@joesbait.com to skrzynka pocztowa, do której powinny być wysyłane raporty szczegółowe
pct=100 to procent poczty, do której właściciel domeny chciałby, aby zastosowano jego politykę. Domeny dopiero rozpoczynające pracę z DMARC, zwłaszcza te, które prawdopodobnie będą generować dużą ilość raportów, mogą chcieć zacząć od znacznie niższej liczby, aby zobaczyć, jak ich procesy obsługi raportów radzą sobie z obciążeniem.
Dostępne są również inne opcje konfiguracji, które właściciel domeny może użyć w swoim rekordzie polityki DMARC, ale wskazówki, które dostarczyliśmy, powinny być dobrym początkiem.
Podsumowanie
Jest wiele do omówienia w powyższych informacjach! Mamy nadzieję, że znajdziesz pomocne wskazówki dotyczące tworzenia rekordu polityki DMARC. Mamy również nadzieję, że nasze wyjaśnienie, dlaczego DMARC ma znaczenie, pomoże wyjaśnić, dlaczego powinieneś zacząć używać tego ważnego narzędzia do ochrony swojej reputacji w e-mailach.
Oczywiście, to nie jest kompletna ani autorytatywna dokumentacja na ten temat. Jeśli chcesz zgłębić temat lub potrzebujesz więcej pomocy, świetnym miejscem na rozpoczęcie jest oficjalne FAQ DMARC. I, co oczywiste, zespół wsparcia Bird jest gotowy pomóc Ci skonfigurować Twoje konto Bird dla DMARC.
Dziękujemy za przeczytanie — zacznij chronić swoje domeny z DMARC już dziś!