Demistificarea înregistrării DMARC

Publicat: 2021-08-18

Standardul DMARC (Domain-based Message Authentication, Reporting & Conformance) este cel mai bun instrument pe care îl au mărcile pentru a combate atacurile de phishing care vizează clienții prin falsificarea domeniilor lor deținute. Dar implementarea DMARC poate confunda foarte repede.

În acest post, vom demitiza înregistrarea DMARC definind etichetele DMARC care o compun. Vom acoperi atât etichetele obligatorii, cât și cele opționale, plus vom discuta despre câteva strategii și cazuri de utilizare în care etichetele DMARC mai puțin cunoscute pot oferi organizației dvs. un nivel mai mare de securitate a e-mailurilor.

Ce sunt etichetele DMARC?
Etichetele DMARC sunt limba standardului DMARC. Îi spun receptorului de e-mail să (1) verifice DMARC și (2) ce să facă cu mesajele care nu reușesc autentificarea DMARC.

Etichete DMARC necesare
Există doar două etichete DMARC necesare: „v:” și „p:”

v: Versiune . Această etichetă este utilizată pentru a identifica înregistrarea TXT ca o înregistrare DMARC, astfel încât receptorii de e-mail să o poată distinge de alte înregistrări TXT. Eticheta v: trebuie să aibă valoarea „DMARC1” și trebuie să fie listată ca prima etichetă din întreaga înregistrare DMARC. Dacă valoarea nu corespunde exact „DMARC1” sau eticheta v: nu este listată mai întâi, întreaga înregistrare DMARC va fi ignorată de receptor.

Exemplu: v = DMARC1

p: Politica solicitată pentru destinatarul de e-mail. Această etichetă indică politica care urmează să fie adoptată de către destinatar pentru mesajele care nu reușesc verificarea DMARC de autentificare și aliniere, așa cum este specificat de proprietarul domeniului. Această politică se va aplica domeniului solicitat și tuturor subdomeniilor, cu excepția cazului în care este descrisă în mod explicit o politică separată de subdomeniu (vom aborda acest lucru mai târziu în postare). Există trei valori posibile pentru eticheta p:

  1. p = none: Proprietarul domeniului solicită să nu se ia nicio acțiune specifică asupra e-mailurilor care nu reușesc autentificarea și alinierea DMARC.
  2. p = carantină: Proprietarul domeniului dorește ca e-mailurile care nu verifică autentificarea și alinierea DMARC să fie tratate ca suspecte de către destinatarii de e-mail. Acest lucru poate însemna că destinatarii plasează e-mailul în dosarul spam / junk, semnalează-l ca fiind suspect sau examinează acest e-mail cu o intensitate suplimentară.
  3. p = respinge: Proprietarul domeniului solicită ca destinatarii de e-mail să respingă e-mailul care nu reușește verificarea DMARC de autentificare și aliniere. Respingerea ar trebui să aibă loc în timpul tranzacției SMTP. Aceasta este cea mai strictă politică și oferă cel mai înalt nivel de protecție.

Având în vedere informațiile de mai sus, cel mai de bază exemplu de înregistrare DMARC ar putea fi: v = DMARC1; p = nici unul.

Etichete DMARC opționale
 Etichetele DMARC opționale de mai jos permit expeditorilor de e-mail să ofere instrucțiuni mai specifice cu privire la ce să facă cu e-mailul care nu se autentifică, eliminând ghiciurile destinatarilor.

  • rua: Indică unde trebuie trimise rapoartele DMARC agregate. Expeditorii desemnează adresa de destinație în următorul format: rua = mailto: [email protected]
  • ruf: Indică unde trebuie trimise rapoartele criminalistice DMARC. Expeditorii desemnează adresa de destinație în următorul format: ruf = mailto: [email protected]

Următoarele etichete opționale au o valoare implicită care va fi asumată dacă eticheta este exclusă. Lista etichetelor cu o valoare implicită presupusă sunt:

  • adkim: Indică alinierea strictă sau relaxată a identificatorului DKIM. Valoarea implicită este relaxată.
  • aspf: Indică alinierea strictă sau relaxată a identificatorului SPF. Valoarea implicită este relaxată.
  • rf: Format pentru rapoarte de erori ale mesajelor. Implicit este Format de raportare a erorilor de autentificare sau „AFRF”.
  • ri: numărul de secunde care au trecut între trimiterea rapoartelor agregate către expeditor. Valoarea implicită este de 86.400 de secunde sau o zi.
  • pct: Procentul de mesaje la care urmează să fie aplicată politica DMARC. Acest parametru oferă o modalitate de a implementa și testa treptat impactul politicii.
  • fo : Dictează ce tip de vulnerabilități de autentificare și / sau aliniere sunt raportate proprietarului de domeniu.
  • Există patru valori pentru acesta din urmă pentru: tag:
  • 0: Generați un raport de eșec DMARC dacă toate mecanismele de autentificare subiacente nu reușesc să producă un rezultat „trec” aliniat. (Mod implicit)
  • 1: Generați un raport de eroare DMARC dacă un mecanism de autentificare subiacent a produs altceva decât un rezultat „trecere” aliniat.
  • d: Generați un raport de eroare DKIM dacă mesajul avea o semnătură care a eșuat la evaluare, indiferent de alinierea acestuia.
  • s: Generați un raport de eroare SPF dacă mesajul a eșuat la evaluarea SPF, indiferent de alinierea acestuia.

În timp ce valoarea implicită este „fo = 0”, Return Path recomandă clienților să utilizeze fo: 1 pentru a genera cele mai cuprinzătoare rapoarte de eșec, oferind o vizibilitate mult mai granulară în canalul de e-mail.

Mai jos este un exemplu de înregistrare DMARC. Pe baza a ceea ce ați învățat până acum, încercați să descifrați fiecare etichetă:

v = DMARC1; p = respinge; fo = 1; rua = mailto: [email protected]; ruf = mailto: [email protected]; rf = afrf; pct = 100

Dar subdomeniile?
Eticheta finală DMARC despre care vom discuta astăzi este eticheta sp :, care este utilizată pentru a indica o politică solicitată pentru toate subdomeniile în care e-mailul nu reușește verificările de autentificare și aliniere DMARC. Această etichetă se aplică numai domeniilor de nivel superior (domenii de nivel organizațional). Este cel mai eficient atunci când un proprietar de domeniu dorește să specifice politici diferite pentru domeniul de nivel superior și pentru toate subdomeniile.

Pentru următoarele scenarii, vom folosi domeniul de nivel superior „domain.com” și subdomeniul „mail.domain.com” pentru a ilustra cazurile de utilizare.

  1. Proprietarul de domeniu dorește să aplice o politică de respingere pentru „domain.com”, dar o politică de carantină pentru „mail.domain.com” (și toate celelalte subdomenii). Înregistrarea DMARC pentru „domain.com” ar include apoi „v = DMARC1; p = respinge; sp = carantină. ” Aceasta este o strategie eficientă dacă organizația trebuie să mențină o politică DMARC separată pentru domeniul de nivel superior și pentru toate subdomeniile.
  2. Proprietarul de domeniu dorește să aplice o politică de respingere pentru „mail.domain.com” (și toate celelalte subdomenii), dar să nu aplice o politică de respingere pentru „domain.com”. Înregistrarea DMARC pentru „domain.com” va include apoi „v = DMARC1; p = nici unul; sp = respinge. ” Aceasta ar fi o strategie eficientă pentru a combate atacurile din dicționar în cazul în care domeniul de nivel superior nu este pregătit pentru aplicarea politicii, dar fraudatorii falsifică subdomenii precum mail.domain.com, abc.domain.com, 123.domain. com, xyz.domain.com, etc. Setarea etichetei sp: respinge va proteja organizația de aceste atacuri de dicționar care vizează subdomenii fără a afecta niciunul dintre mesajele trimise din domeniul de nivel superior, „domain.com”

Acum, că înțelegeți ADN-ul înregistrării DMARC, aflați mai multe despre ce tipuri de atacuri blochează și ce fel de atacuri nu este în The Email Threat Intelligence Report .