Demistyfikacja rekordu DMARC

Standard DMARC (Domain-based Message Authentication, Reporting & Conformance) jest najlepszym narzędziem, jakie marki mają do zwalczania ataków phishingowych, których celem są klienci poprzez fałszowanie ich posiadanych domen. Ale wdrożenie DMARC może bardzo szybko stać się mylące.

W tym poście usuniemy tajemnicę rekordu DMARC, definiując tagi DMARC, które go tworzą. Omówimy zarówno wymagane, jak i opcjonalne tagi, a także omówimy niektóre strategie i przypadki użycia, w których mniej znane tagi DMARC mogą zapewnić Twojej organizacji wyższy poziom bezpieczeństwa poczty e-mail.

Co to są tagi DMARC?
Tagi DMARC to język standardu DMARC. Mówią odbiorcy wiadomości e-mail, aby (1) sprawdził DMARC i (2) co zrobić z wiadomościami, które nie przejdą uwierzytelnienia DMARC.

Wymagane tagi DMARC
Są tylko dwa wymagane tagi DMARC: „v:” i „p:”

v: Wersja . Ten tag służy do identyfikowania rekordu TXT jako rekordu DMARC, dzięki czemu odbiorcy poczty e-mail mogą go odróżnić od innych rekordów TXT. Tag v: musi mieć wartość „DMARC1” i musi być wymieniony jako pierwszy tag w całym rekordzie DMARC. Jeśli wartość nie pasuje dokładnie do „DMARC1” lub tag v: nie jest wymieniony jako pierwszy, cały rekord DMARC zostanie zignorowany przez odbiorcę.

Przykład: v=DMARC1

p: Żądana polityka odbiorcy poczty. Ten tag wskazuje zasady, które mają zostać wprowadzone przez odbiorcę w przypadku wiadomości, które nie przejdą weryfikacji uwierzytelniania i wyrównania DMARC, zgodnie z określeniem właściciela domeny. Ta zasada będzie miała zastosowanie do badanej domeny i do wszystkich subdomen, chyba że zostanie wyraźnie opisana osobna zasada dotycząca subdomen (omówimy to w dalszej części posta). Istnieją trzy możliwe wartości dla p: tag

1. p=brak: właściciel domeny nie prosi o podjęcie konkretnych działań w przypadku poczty, która nie przeszła uwierzytelnienia i wyrównania DMARC.
2. p=kwarantanna: Właściciel domeny życzy sobie, aby poczta, która nie przejdzie weryfikacji uwierzytelniania i wyrównania DMARC, była traktowana jako podejrzana przez odbiorców poczty. Może to oznaczać, że odbiorcy umieszczają wiadomość e-mail w folderze spamu/śmieci, oznaczają ją jako podejrzaną lub sprawdzają tę wiadomość z większą intensywnością.
3. p=reject: Właściciel domeny żąda, aby odbiorcy poczty odrzucili wiadomość e-mail, która nie przejdzie testów uwierzytelniania i wyrównania DMARC. Odrzucenie powinno nastąpić podczas transakcji SMTP. Jest to najbardziej rygorystyczna polityka i zapewnia najwyższy poziom ochrony.

Biorąc pod uwagę powyższe informacje, najbardziej podstawowym przykładem rekordu DMARC może być: v=DMARC1; p=brak.

Opcjonalne tagi DMARC
Opcjonalne tagi DMARC poniżej umożliwiają nadawcom e-maili przekazywanie bardziej szczegółowych instrukcji dotyczących tego, co zrobić z pocztą, która nie jest uwierzytelniana, co eliminuje zgadywanie odbiorców.

• rua: wskazuje, dokąd należy wysyłać zbiorcze raporty DMARC. Nadawcy określają adres docelowy w następującym formacie: rua=mailto:[email protected]
• ruf: wskazuje, dokąd należy wysyłać raporty sądowe DMARC. Nadawcy wyznaczają adres docelowy w następującym formacie: ruf=mailto:[email protected]

Następujące opcjonalne tagi mają wartość domyślną, która zostanie przyjęta, jeśli tag zostanie wykluczony. Lista tagów z założoną wartością domyślną to:

• adkim: Wskazuje ścisłe lub złagodzone dopasowanie identyfikatora DKIM. Domyślnie jest zrelaksowany.
• aspf: Wskazuje ścisłe lub złagodzone wyrównanie identyfikatora SPF. Domyślnie jest zrelaksowany.
• rf: Format raportów o błędach wiadomości. Wartość domyślna to format zgłaszania niepowodzenia uwierzytelniania lub „AFRF”.
• ri: Liczba sekund, które upłynęły między wysłaniem raportów zbiorczych do nadawcy. Wartość domyślna to 86 400 sekund lub dzień.
• pct: Procent wiadomości, do których ma zostać zastosowana zasada DMARC. Ten parametr umożliwia stopniowe wdrażanie i testowanie wpływu polityki.
• fo : dyktuje, jaki typ uwierzytelniania i/lub luki w dopasowaniu są zgłaszane właścicielowi domeny.
• Istnieją cztery wartości tego ostatniego dla: tag:
• 0: Generuj raport o niepowodzeniu DMARC, jeśli wszystkie podstawowe mechanizmy uwierzytelniania nie dają wyrównanego wyniku „przejścia”. (Domyślny)
• 1: Generuj raport o niepowodzeniu DMARC, jeśli jakikolwiek podstawowy mechanizm uwierzytelniania wytworzył coś innego niż wyrównany wynik „przejścia”.
• d: Wygeneruj raport o niepowodzeniu DKIM, jeśli wiadomość ma podpis, którego ocena nie powiodła się, niezależnie od jej wyrównania.
• s: Generuj raport o niepowodzeniu SPF, jeśli wiadomość nie przeszła oceny SPF, niezależnie od jej wyrównania.

Podczas gdy wartością domyślną jest „fo=0”, Return Path radzi klientom używać fo:1 do generowania najbardziej kompleksowych raportów o błędach, zapewniając znacznie bardziej szczegółowy wgląd w kanał e-mail.

Poniżej znajduje się przykładowy rekord DMARC. Na podstawie tego, czego się do tej pory nauczyłeś, spróbuj rozszyfrować każdy tag:

v=DMARC1; p=odrzuć; fo=1; rua=mailto:[e-mail chroniony]; ruf=mailto:[e-mail chroniony]; rf=arf; proc=100

A co z subdomenami?
Ostatnim tagiem DMARC, który omówimy dzisiaj, jest tag sp:, który służy do wskazywania żądanej zasady dla wszystkich subdomen, w których poczta nie przeszła weryfikacji uwierzytelniania i wyrównania DMARC. Ten tag ma zastosowanie tylko do domen najwyższego poziomu (domen na poziomie organizacji). Jest to najbardziej efektywne, gdy właściciel domeny chce określić inną politykę dla domeny najwyższego poziomu i wszystkich poddomen.

W poniższych scenariuszach użyjemy domeny najwyższego poziomu „domain.com” i subdomeny „mail.domain.com”, aby zilustrować przypadki użycia.

1. Właściciel domeny chce wymusić zasady odrzucania dla „domena.com”, ale zasady kwarantanny dla „poczta.domena.com” (i wszystkich innych subdomen). Rekord DMARC dla „domena.com” zawierałby wówczas „v=DMARC1; p=odrzuć; sp=kwarantanna”. Jest to skuteczna strategia, jeśli organizacja musi utrzymywać oddzielną politykę DMARC dla domeny najwyższego poziomu i wszystkich subdomen.
2. Właściciel domeny chce wymusić zasady odrzucania dla „poczta.domena.com” (i wszystkich innych subdomen), ale nie chce wymusić zasad odrzucania dla „domena.com”. Rekord DMARC dla „domena.com” zawierałby wówczas „v=DMARC1; p=brak; sp=odrzuć”. Byłaby to skuteczna strategia zwalczania ataków słownikowych w przypadku, gdy domena najwyższego poziomu nie jest gotowa do egzekwowania zasad, ale oszuści fałszują subdomeny, takie jak mail.domain.com, abc.domain.com, 123.domain. com, xyz.domain.com itp. Ustawienie tagu sp: do odrzucenia ochroni organizację przed atakami słownikowymi wymierzonymi w subdomeny bez wpływu na pocztę wysłaną z domeny najwyższego poziomu „domain.com”

Teraz, gdy znasz już DNA rekordu DMARC, dowiedz się więcej o tym, jakie rodzaje ataków blokuje, a jakie rodzaje ataków nie znajdują się w raporcie Analiza zagrożeń e-mail .