Entmystifizierung des DMARC-Records

Veröffentlicht: 2021-08-18

Der DMARC-Standard (Domain-based Message Authentication, Reporting & Conformance) ist das beste Tool, das Marken zur Bekämpfung von Phishing-Angriffen haben, die auf Kunden durch Spoofing ihrer eigenen Domains abzielen. Aber die Implementierung von DMARC kann sehr schnell verwirrend werden.

In diesem Beitrag werden wir den DMARC-Eintrag entmystifizieren, indem wir die DMARC-Tags definieren, aus denen er besteht. Wir werden sowohl erforderliche als auch optionale Tags behandeln und einige Strategien und Anwendungsfälle besprechen, in denen weniger bekannte DMARC-Tags Ihrem Unternehmen ein höheres Maß an E-Mail-Sicherheit bieten können.

Was sind DMARC-Tags?
DMARC-Tags sind die Sprache des DMARC-Standards. Sie weisen den E-Mail-Empfänger an, (1) nach DMARC zu suchen und (2) was mit Nachrichten zu tun ist, bei denen die DMARC-Authentifizierung fehlschlägt.

Erforderliche DMARC-Tags
Es gibt nur zwei erforderliche DMARC-Tags: „v:“ und „p:“

v: Version . Dieses Tag wird verwendet, um den TXT-Eintrag als DMARC-Eintrag zu identifizieren, damit E-Mail-Empfänger ihn von anderen TXT-Einträgen unterscheiden können. Das v:-Tag muss den Wert „DMARC1“ haben und als erstes Tag im gesamten DMARC-Datensatz aufgeführt werden. Wenn der Wert nicht genau mit „DMARC1“ übereinstimmt oder das v:-Tag nicht zuerst aufgeführt wird, wird der gesamte DMARC-Datensatz vom Empfänger ignoriert.

Beispiel: v=DMARC1

p: Richtlinie für angeforderte E-Mail-Empfänger. Dieses Tag gibt die vom Empfänger anzuwendende Richtlinie für Nachrichten an, die die DMARC-Authentifizierungs- und Ausrichtungsprüfungen nicht bestehen, wie vom Domänenbesitzer angegeben. Diese Richtlinie gilt für die abgefragte Domain und alle Subdomains, es sei denn, es wird ausdrücklich eine separate Subdomain-Richtlinie beschrieben (wir werden dies später im Beitrag behandeln). Es gibt drei mögliche Werte für das p: Tag

  1. p=none: Der Domainbesitzer fordert keine spezifische Aktion für E-Mails an, die die DMARC-Authentifizierung und -Ausrichtung nicht bestehen.
  2. p=quarantine: Der Domaininhaber möchte, dass E-Mails, die die DMARC-Authentifizierungs- und Ausrichtungsprüfungen nicht bestehen, von E-Mail-Empfängern als verdächtig behandelt werden. Dies kann bedeuten, dass Empfänger die E-Mail im Spam-/Junk-Ordner ablegen, als verdächtig kennzeichnen oder diese E-Mail mit besonderer Intensität prüfen.
  3. p=reject: Der Domainbesitzer fordert die E-Mail-Empfänger auf, die E-Mail abzulehnen, die die DMARC-Authentifizierungs- und Ausrichtungsprüfungen nicht besteht. Die Ablehnung sollte während der SMTP-Transaktion erfolgen. Dies ist die strengste Richtlinie und bietet das höchste Schutzniveau.

Angesichts der obigen Informationen könnte das einfachste Beispiel für einen DMARC-Datensatz lauten: v=DMARC1; p=keine.

Optionale DMARC-Tags
 Die optionalen DMARC-Tags unten ermöglichen es E-Mail-Absendern, genauere Anweisungen zu geben, was mit nicht authentifizierten E-Mails zu tun ist, wodurch das Rätselraten für die Empfänger entfällt.

  • rua: Gibt an, wohin aggregierte DMARC-Berichte gesendet werden sollen. Absender geben die Zieladresse im folgenden Format an: rua=mailto:[email protected]
  • ruf: Gibt an, wohin forensische DMARC-Berichte gesendet werden sollen. Absender geben die Zieladresse im folgenden Format an: ruf=mailto:[email protected]

Die folgenden optionalen Tags haben einen Standardwert, der angenommen wird, wenn das Tag ausgeschlossen wird. Die Liste der Tags mit einem angenommenen Standardwert sind:

  • adkim: Gibt eine strikte oder gelockerte Ausrichtung der DKIM-Bezeichner an. Die Standardeinstellung ist entspannt.
  • aspf: Gibt die strikte oder gelockerte Ausrichtung der SPF-Bezeichner an. Die Standardeinstellung ist entspannt.
  • rf: Format für Meldungsfehlerberichte. Der Standardwert ist das Berichtsformat für Authentifizierungsfehler oder „AFRF“.
  • ri: Die Anzahl der Sekunden, die zwischen dem Senden von zusammengefassten Berichten an den Absender verstrichen sind. Der Standardwert ist 86.400 Sekunden oder ein Tag.
  • pct: Prozentsatz der Nachrichten, auf die die DMARC-Richtlinie angewendet werden soll. Dieser Parameter bietet eine Möglichkeit, die Auswirkungen der Richtlinie schrittweise zu implementieren und zu testen.
  • fo : Gibt an, welche Art von Authentifizierungs- und/oder Ausrichtungsschwachstellen an den Domänenbesitzer zurückgemeldet werden.
  • Für Letzteres gibt es vier Werte: Tag:
  • 0: Generieren Sie einen DMARC-Fehlerbericht, wenn alle zugrunde liegenden Authentifizierungsmechanismen kein abgestimmtes „Bestanden“-Ergebnis liefern. (Standard)
  • 1: Generieren Sie einen DMARC-Fehlerbericht, wenn ein zugrunde liegender Authentifizierungsmechanismus etwas anderes als ein ausgerichtetes „Bestanden“-Ergebnis erzeugt hat.
  • d: Generieren Sie einen DKIM-Fehlerbericht, wenn die Nachricht unabhängig von ihrer Ausrichtung eine Signatur hatte, die bei der Auswertung fehlgeschlagen ist.
  • s: Generieren Sie einen SPF-Fehlerbericht, wenn die Nachricht die SPF-Auswertung fehlgeschlagen hat, unabhängig von ihrer Ausrichtung.

Während der Standardwert „fo=0“ ist, empfiehlt Return Path den Kunden, fo:1 zu verwenden, um die umfassendsten Fehlerberichte zu erstellen, die eine viel detailliertere Sichtbarkeit des E-Mail-Kanals bieten.

Unten ist ein Beispiel für einen DMARC-Datensatz. Versuchen Sie, basierend auf dem, was Sie bisher gelernt haben, jedes Tag zu entschlüsseln:

v=DMARC1; p = ablehnen; fo=1; rua=mailto:[email protected]; ruf=mailto:[email protected]; rf=afrf; pct=100

Was ist mit Subdomains?
Das letzte DMARC-Tag, das wir heute besprechen werden, ist das sp:-Tag, das verwendet wird, um eine angeforderte Richtlinie für alle Subdomains anzugeben, in denen E-Mails die DMARC-Authentifizierungs- und Ausrichtungsprüfungen nicht bestehen. Dieses Tag gilt nur für Top-Level-Domains (Organizational-Level-Domains). Dies ist am effektivsten, wenn ein Domänenbesitzer unterschiedliche Richtlinien für die Top-Level-Domäne und alle Subdomänen festlegen möchte.

Für die folgenden Szenarien verwenden wir die Top-Level-Domain von „domain.com“ und die Sub-Domain von „mail.domain.com“, um die Anwendungsfälle zu veranschaulichen.

  1. Der Domaininhaber möchte eine Ablehnungsrichtlinie für „domain.com“ erzwingen, aber eine Quarantänerichtlinie für „mail.domain.com“ (und alle anderen Subdomains). Der DMARC-Eintrag für „domain.com“ würde dann „v=DMARC1; p = ablehnen; sp=Quarantäne.“ Dies ist eine effektive Strategie, wenn die Organisation separate DMARC-Richtlinien für die Top-Level-Domain und alle Subdomains pflegen muss.
  2. Der Domaininhaber möchte eine Ablehnungsrichtlinie für „mail.domain.com“ (und alle anderen Subdomains) erzwingen, aber keine Ablehnungsrichtlinie für „domain.com“. Der DMARC-Eintrag für „domain.com“ würde dann „v=DMARC1; p = keine; sp = ablehnen.“ Dies wäre eine effektive Strategie zur Bekämpfung von Wörterbuchangriffen für den Fall, dass die Top-Level-Domain nicht bereit ist, Richtlinien durchzusetzen, die Betrüger jedoch Subdomains wie mail.domain.com, abc.domain.com, 123.domain fälschen. com, xyz.domain.com usw. Wenn das sp:-Tag auf Zurückweisen gesetzt wird, wird das Unternehmen vor diesen Wörterbuchangriffen geschützt, die auf Subdomains abzielen, ohne die von der Top-Level-Domain „domain.com“ gesendeten E-Mails zu beeinträchtigen.

Nachdem Sie nun die DNA des DMARC-Datensatzes verstanden haben, erfahren Sie im Email Threat Intelligence Report mehr darüber, welche Arten von Angriffen er blockiert und welche nicht .