DMARC Kaydının Gizemini Çözme

DMARC (Domain tabanlı Mesaj Doğrulama, Raporlama ve Uygunluk) standart iyi araç markalar ait alan adlarını aldatıp hedef müşterileri olduğunu saldırıları phishing mücadele etmek zorunda olduğunu. Ancak DMARC'yi uygulamak çok hızlı bir şekilde kafa karıştırıcı olabilir.

Bu gönderide, onu oluşturan DMARC etiketlerini tanımlayarak DMARC kaydının gizemini açığa çıkaracağız. Hem gerekli hem de isteğe bağlı etiketleri ele alacağız, ayrıca bazı stratejileri tartışacağız ve daha az bilinen DMARC etiketlerinin kuruluşunuza daha yüksek düzeyde e-posta güvenliği sağlayabileceği durumları kullanacağız.

DMARC etiketleri nelerdir?
DMARC etiketleri, DMARC standardının dilidir. E-posta alıcısına (1) DMARC'yi kontrol etmesini ve (2) DMARC kimlik doğrulamasında başarısız olan mesajlarla ne yapacağını söylerler.

Gerekli DMARC etiketleri
Yalnızca iki gerekli DMARC etiketi vardır: "v:" ve "p:"

v: Sürüm . Bu etiket, TXT kaydını bir DMARC kaydı olarak tanımlamak için kullanılır, böylece e-posta alıcıları onu diğer TXT kayıtlarından ayırt edebilir. v: etiketi, "DMARC1" değerine sahip olmalı ve tüm DMARC kaydında ilk etiket olarak listelenmelidir. Değer "DMARC1" ile tam olarak eşleşmezse veya v: etiketi ilk olarak listelenmezse, tüm DMARC kaydı alıcı tarafından yok sayılır.

Örnek: v=DMARC1

p: İstenen Posta Alıcı Politikası. Bu etiket, alan sahibi tarafından belirtildiği şekilde, DMARC kimlik doğrulaması ve hizalama kontrollerinde başarısız olan iletiler için alıcı tarafından uygulanacak politikayı belirtir. Bu politika, ayrı bir alt alan politikası açıkça tanımlanmadıkça sorgulanan alan adı ve tüm alt alan adları için geçerli olacaktır (bunu daha sonra yayında ele alacağız). p: etiketi için üç olası değer vardır.

1. p=none: Etki alanı sahibi, DMARC kimlik doğrulamasında ve hizalamasında başarısız olan postalar üzerinde belirli bir işlem yapılmasını istemez.
2. p=karantina: Alan sahibi, DMARC kimlik doğrulaması ve hizalama kontrollerinde başarısız olan postanın, posta alıcıları tarafından şüpheli olarak değerlendirilmesini ister. Bu, alıcıların e-postayı istenmeyen/önemsiz klasörüne yerleştirdiği, şüpheli olarak işaretlediği veya bu postayı ekstra yoğunlukla incelediği anlamına gelebilir.
3. p=reject: Etki alanı sahibi, posta alıcılarının DMARC kimlik doğrulama ve hizalama kontrollerini geçemeyen e-postayı reddetmesini ister. Reddetme, SMTP işlemi sırasında gerçekleşmelidir. Bu en katı politikadır ve en yüksek düzeyde koruma sağlar.

Yukarıdaki bilgiler göz önüne alındığında, en temel DMARC kaydı örneği şöyle olabilir: v=DMARC1; p=yok.

İsteğe bağlı DMARC etiketleri
Aşağıdaki isteğe bağlı DMARC etiketleri, e-posta gönderenlerin, kimlik doğrulaması yapılmayan postalarla ne yapılacağı konusunda daha spesifik talimatlar vermelerine olanak vererek, alıcılar için tahminde bulunmayı ortadan kaldırır.

• rua: Toplu DMARC raporlarının nereye gönderileceğini belirtir. Gönderenler, hedef adresi şu biçimde belirler: rua=mailto:[email protected]
• ruf: Adli DMARC raporlarının nereye gönderileceğini belirtir. Gönderenler, hedef adresi şu biçimde belirler: ruf=mailto:[email protected]

Aşağıdaki isteğe bağlı etiketlerin, etiket hariç tutulduğunda varsayılacak varsayılan bir değeri vardır. Varsayılan bir varsayılan değere sahip etiketlerin listesi şunlardır:

• adkim: Katı veya gevşek DKIM tanımlayıcı hizalamasını gösterir. Varsayılan, rahattır.
• aspf: Katı veya gevşek SPF tanımlayıcı hizalamasını gösterir. Varsayılan, rahattır.
• rf: Mesaj hatası raporları için biçim. Varsayılan, Kimlik Doğrulama Hatası Raporlama Formatı veya "AFRF"dir.
• ri: Gönderene toplu raporların gönderilmesi arasında geçen saniye sayısı. Varsayılan değer 86.400 saniye veya bir gündür.
• pct: DMARC politikasının uygulanacağı mesajların yüzdesi. Bu parametre, politikanın etkisini aşamalı olarak uygulamak ve test etmek için bir yol sağlar.
• fo : Etki Alanı Sahibine ne tür kimlik doğrulama ve/veya hizalama güvenlik açıklarının geri bildirileceğini belirtir.
• İkincisi için dört değer vardır: tag:
• 0: Tüm temel kimlik doğrulama mekanizmaları hizalanmış bir "geçti" sonucu üretemezse bir DMARC hata raporu oluşturun. (Varsayılan)
• 1: Herhangi bir temel kimlik doğrulama mekanizması, hizalanmış bir "geçti" sonucundan başka bir şey ürettiyse, bir DMARC hata raporu oluşturun.
• d: İleti, hizalaması ne olursa olsun değerlendirmede başarısız olan bir imzaya sahipse bir DKIM hata raporu oluşturun.
• s: Mesaj, hizalamasından bağımsız olarak SPF değerlendirmesinde başarısız olursa bir SPF başarısızlık raporu oluşturun.

Varsayılan "fo=0" iken Dönüş Yolu, müşterilere e-posta kanalına çok daha ayrıntılı bir görünürlük sağlayarak en kapsamlı hata raporlarını oluşturmak için fo:1 kullanmalarını önerir .

Aşağıda örnek bir DMARC kaydı bulunmaktadır. Şimdiye kadar öğrendiklerinize dayanarak, her bir etiketi deşifre etmeyi deneyin:

v=DMARC1; p=reddetme; fo=1; rua=mailto:[e-posta korumalı]; ruf=mailto:[e-posta korumalı]; rf=afrf; pct=100

Peki ya alt alanlar?
Bugün tartışacağımız son DMARC etiketi , postanın DMARC kimlik doğrulama ve hizalama kontrollerinde başarısız olduğu tüm alt alanlar için istenen bir politikayı belirtmek için kullanılan sp: etiketidir. Bu etiket yalnızca üst düzey alan adları (kuruluş düzeyindeki alanlar) için geçerlidir. Bir Etki Alanı Sahibi, üst düzey etki alanı ve tüm alt etki alanları için farklı bir politika belirlemek istediğinde en etkilidir.

Aşağıdaki senaryolar için, kullanım örneklerini göstermek için "domain.com" üst düzey alan adını ve "mail.domain.com" alt alan adını kullanacağız.

1. Etki Alanı Sahibi, "domain.com" için bir reddetme politikası, ancak "mail.domain.com" (ve diğer tüm alt alanlar) için bir karantina politikası uygulamak istiyor. “domain.com” için DMARC kaydı daha sonra “v=DMARC1; p=reddetme; sp=karantina." Kuruluşun üst düzey alan ve tüm alt alanlar için ayrı DMARC politikası sürdürmesi gerekiyorsa bu etkili bir stratejidir.
2. Etki Alanı Sahibi, "mail.domain.com" (ve diğer tüm alt alanlar) için bir reddetme politikası uygulamak istiyor ancak "domain.com" için bir reddetme politikası uygulamıyor. “domain.com” için DMARC kaydı daha sonra “v=DMARC1; p=yok; sp=reddet." Bu, üst düzey alan adının politikayı uygulamaya hazır olmadığı, ancak dolandırıcıların mail.domain.com, abc.domain.com, 123.domain gibi alt alan adlarını taklit ettiği durumlarda sözlük saldırılarıyla mücadele etmek için etkili bir strateji olacaktır. com, xyz.domain.com, vb. sp: etiketinin reddedilecek şekilde ayarlanması, kuruluşu, üst düzey alan adı olan "domain.com"dan gönderilen postaların hiçbirini etkilemeden alt alanları hedefleyen bu sözlük saldırılarından koruyacaktır.

Artık DMARC kaydının DNA'sını anladığınıza göre, E-posta Tehdidi İstihbarat Raporu'nda ne tür saldırıları engellediği ve hangi tür saldırıları engellemediği hakkında daha fazla bilgi edinin .