ทำความเข้าใจบันทึก DMARC

เผยแพร่แล้ว: 2021-08-18

มาตรฐาน DMARC (Domain-based Message Authentication, Reporting & Conformance) เป็นเครื่องมือที่ดีที่สุดที่แบรนด์จะต้องต่อสู้กับการโจมตีแบบฟิชชิ่งที่กำหนดเป้าหมายลูกค้าด้วยการปลอมแปลงโดเมนที่ตนเป็นเจ้าของ แต่การนำ DMARC ไปใช้อาจทำให้สับสนได้อย่างรวดเร็ว

ในโพสต์นี้ เราจะอธิบายระเบียน DMARC ให้กระจ่างโดยกำหนดแท็ก DMARC ที่ประกอบขึ้นเป็นรายการ เราจะครอบคลุมทั้งแท็กที่จำเป็นและแท็กเสริม รวมถึงการหารือเกี่ยวกับกลยุทธ์และกรณีการใช้งานซึ่งแท็ก DMARC ที่ไม่ค่อยมีคนรู้จักสามารถช่วยให้องค์กรของคุณมีระดับการรักษาความปลอดภัยอีเมลที่มากขึ้น

แท็ก DMARC คืออะไร
แท็ก DMARC เป็นภาษาของมาตรฐาน DMARC พวกเขาบอกให้ผู้รับอีเมล (1) ตรวจสอบ DMARC และ (2) จะทำอย่างไรกับข้อความที่ไม่ผ่านการตรวจสอบสิทธิ์ DMARC

แท็ก DMARC ที่จำเป็น
มี แท็ก DMARC ที่จำเป็น เพียงสอง แท็กเท่านั้น: “v:” และ “p:”

วี: เวอร์ชัน . แท็กนี้ใช้เพื่อระบุระเบียน TXT เป็นระเบียน DMARC ดังนั้นผู้รับอีเมลจึงสามารถแยกความแตกต่างจากระเบียน TXT อื่นๆ แท็ก v: ต้องมีค่าเป็น “DMARC1” และต้องแสดงรายการเป็นแท็กแรกภายในระเบียน DMARC ทั้งหมด หากค่าไม่ตรงทุกประการกับ “DMARC1” หรือแท็ก v: ไม่อยู่ในรายการก่อน ผู้รับจะละเว้นระเบียน DMARC ทั้งหมด

ตัวอย่าง: v=DMARC1

p: นโยบายการรับจดหมายที่ร้องขอ แท็กนี้ระบุนโยบายที่จะบังคับใช้โดยผู้รับสำหรับข้อความที่ไม่ผ่านการตรวจสอบสิทธิ์ DMARC และการตรวจสอบการจัดตำแหน่ง ตามที่เจ้าของโดเมนระบุ นโยบายนี้จะใช้กับโดเมนที่สอบถามและโดเมนย่อยทั้งหมด เว้นแต่จะมีการอธิบายนโยบายโดเมนย่อยแยกต่างหากอย่างชัดเจน (เราจะกล่าวถึงเรื่องนี้ในภายหลังในโพสต์) มีค่าที่เป็นไปได้สามค่าสำหรับ p: tag

  1. p=none: เจ้าของโดเมนร้องขอไม่ให้ดำเนินการใดๆ กับเมลที่ไม่ผ่านการตรวจสอบสิทธิ์และการจัดตำแหน่ง DMARC
  2. p=quarantine: เจ้าของโดเมนต้องการให้เมลที่ล้มเหลวในการตรวจสอบสิทธิ์ DMARC และการตรวจสอบการจัดตำแหน่งถูกถือว่าน่าสงสัยโดยผู้รับเมล ซึ่งอาจหมายความว่าผู้รับจะวางอีเมลไว้ในโฟลเดอร์สแปม/ขยะ ตั้งค่าสถานะว่าน่าสงสัยหรือกลั่นกรองอีเมลนี้อย่างละเอียดถี่ถ้วน
  3. p=reject: เจ้าของโดเมนขอให้ผู้รับอีเมลปฏิเสธอีเมลที่ไม่ผ่านการตรวจสอบสิทธิ์ DMARC และการตรวจสอบการจัดตำแหน่ง การปฏิเสธควรเกิดขึ้นระหว่างธุรกรรม SMTP นี่เป็นนโยบายที่เข้มงวดที่สุดและให้การคุ้มครองในระดับสูงสุด

จากข้อมูลข้างต้น ตัวอย่างระเบียน DMARC พื้นฐานที่สุดอาจเป็น: v=DMARC1; พี=ไม่มี

แท็ก DMARC เสริม
 แท็ก DMARC ที่เป็นตัวเลือกด้านล่างช่วยให้ผู้ส่งอีเมลสามารถให้คำแนะนำที่เจาะจงมากขึ้นเกี่ยวกับสิ่งที่ต้องทำกับอีเมลที่ไม่รับรองความถูกต้อง ลบการคาดเดาสำหรับผู้รับ

  • rua: ระบุว่าควรส่งรายงาน DMARC รวมไปที่ใด ผู้ส่งกำหนดที่อยู่ปลายทางในรูปแบบต่อไปนี้: rua=mailto:[email protected]
  • ruf: ระบุว่าควรส่งรายงาน DMARC ทางนิติเวชไปที่ใด ผู้ส่งกำหนดที่อยู่ปลายทางในรูปแบบต่อไปนี้: ruf=mailto:[email protected]

แท็กทางเลือกต่อไปนี้มีค่าเริ่มต้นที่จะถือว่าถ้าไม่รวมแท็ก รายการแท็กที่มีค่าเริ่มต้นที่สมมติขึ้นคือ:

  • adkim: ระบุการจัดตำแหน่งตัวระบุ DKIM ที่เข้มงวดหรือผ่อนคลาย ค่าเริ่มต้นจะผ่อนคลาย
  • aspf: ระบุการจัดตำแหน่งตัวระบุ SPF ที่เข้มงวดหรือผ่อนคลาย ค่าเริ่มต้นจะผ่อนคลาย
  • rf: รูปแบบสำหรับรายงานความล้มเหลวของข้อความ ค่าเริ่มต้นคือรูปแบบการรายงานความล้มเหลวในการตรวจสอบสิทธิ์หรือ "AFRF"
  • ri: จำนวนวินาทีที่ผ่านไประหว่างการส่งรายงานรวมไปยังผู้ส่ง ค่าเริ่มต้นคือ 86,400 วินาทีหรือหนึ่งวัน
  • pct: เปอร์เซ็นต์ของข้อความที่จะใช้นโยบาย DMARC พารามิเตอร์นี้เป็นวิธีที่จะค่อยๆ นำไปใช้และทดสอบผลกระทบของนโยบาย
  • fo : กำหนดประเภทของการพิสูจน์ตัวตนและ/หรือช่องโหว่ในการจัดตำแหน่งที่รายงานกลับไปยังเจ้าของโดเมน
  • มีสี่ค่าหลังสำหรับ: แท็ก:
  • 0: สร้างรายงานความล้มเหลวของ DMARC หากกลไกการตรวจสอบสิทธิ์พื้นฐานทั้งหมดล้มเหลวในการสร้างผลลัพธ์ "ผ่าน" ที่สอดคล้อง (ค่าเริ่มต้น)
  • 1: สร้างรายงานความล้มเหลวของ DMARC หากกลไกการตรวจสอบสิทธิ์ที่อยู่เบื้องหลังสร้างสิ่งอื่นที่ไม่ใช่ผลลัพธ์ "ผ่าน" ที่สอดคล้อง
  • d: สร้างรายงานความล้มเหลวของ DKIM หากข้อความมีลายเซ็นที่ประเมินล้มเหลว โดยไม่คำนึงถึงการจัดตำแหน่ง
  • s: สร้างรายงานความล้มเหลวของ SPF หากข้อความล้มเหลวในการประเมิน SPF โดยไม่คำนึงถึงการจัดตำแหน่ง

แม้ว่าค่าดีฟอลต์คือ “fo=0,” Return Path แนะนำให้ลูกค้าใช้ fo:1 เพื่อสร้างรายงานความล้มเหลวที่ครอบคลุมมากที่สุด โดยให้การมองเห็นที่ละเอียดยิ่งขึ้นในแชนเนลอีเมล

ด้านล่างนี้คือตัวอย่างระเบียน DMARC จากสิ่งที่คุณได้เรียนรู้ไปแล้ว ให้ลองถอดรหัสแต่ละแท็ก:

v=DMARC1; p=ปฏิเสธ; สำหรับ=1; rua=mailto:[ป้องกันอีเมล]; ruf=mailto:[ป้องกันอีเมล]; rf=afrf; pct=100

แล้วโดเมนย่อยล่ะ?
แท็ก DMARC สุดท้ายที่เราจะพูดถึงในวันนี้คือ แท็ก sp: ซึ่งใช้เพื่อระบุนโยบายที่ร้องขอสำหรับโดเมนย่อยทั้งหมดที่เมลไม่ผ่านการตรวจสอบสิทธิ์ DMARC และการตรวจสอบการจัดตำแหน่ง แท็กนี้ใช้ได้กับโดเมนระดับบนสุดเท่านั้น (โดเมนระดับองค์กร) จะมีประสิทธิภาพสูงสุดเมื่อเจ้าของโดเมนต้องการระบุนโยบายที่แตกต่างกันสำหรับโดเมนระดับบนสุดและโดเมนย่อยทั้งหมด

สำหรับสถานการณ์ต่อไปนี้ เราจะใช้โดเมนระดับบนสุดของ “domain.com” และโดเมนย่อยของ “mail.domain.com” เพื่อแสดงกรณีการใช้งาน

  1. เจ้าของโดเมนต้องการบังคับใช้นโยบายการปฏิเสธสำหรับ “domain.com” แต่เป็นนโยบายกักกันสำหรับ “mail.domain.com” (และโดเมนย่อยอื่นๆ ทั้งหมด) ระเบียน DMARC สำหรับ “domain.com” จะรวม “v=DMARC1; p=ปฏิเสธ; sp=กักกัน” นี่เป็นกลยุทธ์ที่มีประสิทธิภาพหากองค์กรจำเป็นต้องรักษานโยบาย DMARC แยกต่างหากสำหรับโดเมนระดับบนสุดและโดเมนย่อยทั้งหมด
  2. เจ้าของโดเมนต้องการบังคับใช้นโยบายการปฏิเสธสำหรับ “mail.domain.com” (และโดเมนย่อยอื่นๆ ทั้งหมด) แต่ ไม่บังคับใช้นโยบายการปฏิเสธสำหรับ “domain.com” ระเบียน DMARC สำหรับ “domain.com” จะรวม “v=DMARC1; พี=ไม่มี; sp=ปฏิเสธ” นี่อาจเป็นกลยุทธ์ที่มีประสิทธิภาพในการต่อสู้กับการโจมตีจากพจนานุกรมในกรณีที่โดเมนระดับบนสุดไม่พร้อมที่จะบังคับใช้นโยบาย แต่ผู้ฉ้อโกงกำลังปลอมแปลงโดเมนย่อย เช่น mail.domain.com, abc.domain.com, 123.domain com, xyz.domain.com เป็นต้น การตั้งค่าแท็ก sp: เพื่อปฏิเสธจะปกป้ององค์กรจากการโจมตีพจนานุกรมเหล่านี้ที่กำหนดเป้าหมายไปยังโดเมนย่อยโดยไม่ส่งผลกระทบต่ออีเมลที่ส่งจากโดเมนระดับบนสุด "domain.com"

ตอนนี้คุณเข้าใจ DNA ของบันทึก DMARC แล้ว เรียนรู้เพิ่มเติมเกี่ยวกับประเภทของการโจมตีที่ถูกบล็อกและประเภทของการโจมตีที่ไม่อยู่ใน รายงานข่าวกรองภัยคุกคามทางอีเมล