Po co komu DMARC i jak go włączyć?

10 września 2019
Kamila Krekora

zabezpieczenia-email-dmarc

DMARC – dlaczego potrzebuje go Twój e-biznes?

Fałszywe e-maile są częstym zjawiskiem, a wśród licznej rzeszy internautów łatwo znaleźć grupę podatną na takie oszustwa. Ze względu na coraz bardziej wyrafinowane działania hakerów, takie próby wyłudzenia danych – zwane phishingiem, bywają trudne do rozpoznania dla zwykłego zjadacza chleba. Oszuści potrafią wysyłać mailing ze sklepu internetowego, banku, urzędu czy instytucji bardzo przypominający „prawdziwe” wiadomości, włącznie z adresem nadawcy, który doskonale udaje ten „oryginalny”. Właśnie ta odmiana phishingu, oparta na przesłaniu informacji z adresu e-mail identycznego jak ten, z którego przychodzą prawdziwe wiadomości, jest najbardziej niebezpieczna.

Jeśli jesteś właścicielem domeny to zapewne wiesz, że to właśnie ona reprezentuje Twoją markę w najlepszy możliwy sposób. Jest doskonale znana Twoim klientom i właśnie z tej domeny klienci spodziewają się komunikacji od Ciebie.

Co jeśli pewnego dnia ktoś wyśle z Twojej domeny treści podobne do tych, które zazwyczaj wysyłasz, tyle że z prośbą o podanie wrażliwych danych lub dokonanie płatności?  Warto zapoznać się z zabezpieczeniem DMARC i wykorzystać je, by uniknąć takich kryzysowych sytuacji. Jak być krok przed oszustami? Wdrożyć protokół DMARC!

Czym jest DMARC?

Domain-based Message Authentication Reporting and Conformance (DMARC) to system pozwalający zweryfikować poprawność wiadomości e-mail, stworzony w celu ochrony domen przed fałszowaniem e-maili, phishingiem i innymi cyberprzestępstwami. Jeszcze do niedawna mówiło się o nim jako o swego rodzaju ciekawostce. Dziś staje się podstawowym protokołem bezpieczeństwa e-maili.  Gdy właściciel domeny skonfiguruje DMARC w swoim rekordzie DNS, zyskuje wgląd w to, kto wysyła wiadomości e-mail w imieniu jego domeny. DMARC wykorzystuje techniki uwierzytelniania e-mail SPF (Sender Policy Framework) i DKIM (Domain Keys Identified Mail) i dodaje ważną funkcję, a mianowicie raportowanie.

Jak działa DMARC?

DMARC opiera się na ustalonych rekordach SPF i DKIM, ale w przeciwieństwie do nich, DMARC może powiedzieć serwerowi, czy powinien lub też nie powinien przyjąć wiadomości. Dzięki temu można uzyskać wgląd w planowane ataki, zadziałać błyskawicznie i poinformować klientów o zagrożeniu z wyprzedzeniem. Już sama świadomość tego, że osoby nieuprawnione do zarządzania naszą domeną zamierzają przeprowadzić atak, daje ogromną przewagę.

Walidacja DMARC krok po kroku

1. Właściciel domeny ustala zasady i wybiera praktyki uwierzytelniania poczty e-mail oraz sposób, w jaki serwery adresatów powinny obsługiwać pocztę naruszającą tę zasadę. Przyjęte zasady stają się częścią rekordów DNS tej domeny.

2. W przypadku gdy serwer poczty przychodzącej otrzymuje wiadomość e-mail, używa DNS do sprawdzenia polityki DMARC dla domeny nadawcy w nagłówku „Od”. Następnie serwer przychodzący ocenia komunikat na podstawie trzech kluczowych czynników:

  • Czy podpis DKIM jest prawidłowy?
  • Czy adres IP nadawcy jest uwzględniony w rekordzie SPF?
  • Czy nagłówki wiadomości wykazują zgodność domen (uwierzytelniona domena musi być zgodna z domeną w polu adresu nagłówka nadawcy)

3. Po zebraniu informacji serwer może zdecydować, co zrobić z wiadomością zgodnie z przyjętą polityką DMARC.

4. Serwer informuje właściciela domeny o wyniku i o tym, co się stało z wiadomością e-mail.
zabezpieczenie-dmarc

Poszczególne elementy DMARC

Jak wygląda wpis DMARC i co oznacza każdy z jego fragmentów? Omówmy wszystko w oparciu o następujący przykład:

„v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;
ruf=mailto:dmarc@dmarcdomain.com;rf=afrf”
  •  “v=DMARC1” to oznaczenie identyfikatora, którego szuka serwer odbierający; bez tego serwer nie uruchomi testu DMARC
  •  “p=….” informuje serwer odbierający, co zrobić z wiadomościami e-mail, które nie przeszły testu DMARC. Mamy do czynienia z trzema politykami: none, quarantine i reject, o których więcej poniżej.

   -polityka „none” (nic): mówi odbiorcom wiadomości e-mail o wysyłaniu raportów DMARC na adres opublikowany w tagach „rua” lub „ruf” rekordu DMARC; nie instruuje ona jednak odbiorców wiadomości, jak obsługiwać komunikaty e-mail, które nie przejdą kontroli DMARC,

   -polityka „quarantine” (kwarantanna): ta polityka DMARC instruuje odbiorców wiadomości e-mail, aby umieszczali wiadomości e-mail, które nie przeszły kontroli DMARC, w folderze spamu; co więcej wysyłany jest raport DMARC,

   -polityka „reject” (odrzuć): oprócz wysyłania raportów DMARC, ta polityka całkowicie odrzuca wiadomości e-mail, które nie przejdą kontroli DMARC.

  •  “rua=mailto:postmaster@dmarcdomain.com”: ta część informuje serwer, gdzie należy wysłać zbiorcze raporty o awariach DMARC.
  • “ruf=mailto:dmarc@dmarcdomain.com”: dotyczy to raportów szczegółowych związanych z awariami DMARC: istnieje jeden wymóg dotyczący adresu e-mail, a mianowicie: musi pochodzić z domeny, dla której publikowany jest rekord DMARC.
  • “rf=afrf”: po wybraniu adresu e-mail, na który chcemy przesyłać raporty, powinniśmy wybrać rodzaj żądanego raportu. W takim przypadku rf = afrf oznacza zagregowany format raportowania awarii.
  • “pct=100”: ta część rekordu DMARC mówi serwerowi, jaki procent ich poczty powinien być poddany specyfikacjom polityki DMARC. Tłumacząc wpis powyżej, jeśli p = 100, 100% wiadomości, która nie przejdzie DMARC, zostanie odrzucona.

Raporty DMARC: wyróżniamy raporty zbiorcze oraz raporty szczegółowe

Raporty zbiorcze to dokumenty XML pokazujące dane o otrzymanych wiadomościach, które pochodzą z określonej domeny. Z kolei raporty szczegółowe to pojedyncze kopie wiadomości, których uwierzytelnienie nie powiodło się, w specjalnym formacie o nazwie AFRF. W raportach szczegółowych znajdziemy takie informacje, jak: Temat wiadomości, Czas jej otrzymania, Adres IP, Wyniki uwierzytelnienia SPF, DKIM, DMARC, Domena From, Adres From. Message ID i wiele innych.

Czy potrzebuję DMARC?

Prowadzisz firmę wysyłającą wiadomości e-mail, które zawierają dane osobowe (faktury, potwierdzenia zamówienia, aktywacje konta) lub wiadomości e-mail o charakterze marketingowym? Zdecydowanie musisz wdrożyć jedną lub więcej form uwierzytelnienia e-mail, aby zapewnić że e-mail pochodzi od Ciebie i Twojej domeny.

DMARC pomaga serwerom odbierającym ustalić, jak oceniać wiadomości, które  pochodzą od Ciebie, i jest to jeden z najważniejszych kroków, które możesz podjąć, aby poprawić swoją dostarczalność. Nawet jeśli DMARC nie jest obowiązkowy do wysyłania za pomocą EmailLabs, zalecamy skonfigurowanie go, aby uniknąć podszywania się pod Twoją domenę.

Jeśli potrzebujesz naszej pomocy, aby wdrożyć DMARC, napisz na adres bok@emaillabs.pl.

Dołącz do EmailLabs