Jak skonfigurować DMARC dla poczty? Poznaj korzyści

Protokół DMARC służy uwierzytelnieniu domeny. Pozwala organizacjom chronić domenę przed nieautoryzowanym wykorzystaniem. Jest też wymogiem dla uzyskania certyfikatu VMC. Przeczytaj czym dokładnie jest i jak skonfigurować DMARC dla poczty oraz jakie korzyści wynikają z zastosowania protokołu.

Historia powstania protokołu bezpieczeństwa DMARC

Standard DMARC został po raz pierwszy opublikowany w 2012 roku, aby zapobiec nadużyciom poczty e-mail. Kilku liderów branży współpracowało ze sobą, aby stworzyć specyfikację DMARC. Został on stworzony przez PayPal wraz z Google, Microsoft i Yahoo! Ci liderzy branży zebrali się, aby opracować specyfikację operacyjną, z założeniem, aby była ona w stanie osiągnąć status formalnych standardów. Stworzyli standard DMARC w oparciu o istniejące techniki uwierzytelniania poczty elektronicznej SPF (Sender Policy Framework) i DKIM (Domain Keys Identified Mail).

DMARC został pierwotnie opracowany jako protokół bezpieczeństwa poczty e-mail. Początkowo DMARC został w większości przyjęty przez ekspertów ds. bezpieczeństwa w branży finansowej. Od tego czasu używanie DMARC rośnie i staje się coraz bardziej powszechnym w codziennym używaniu. W tym momencie DMARC jest coraz bardziej rozpoznawany przez e-mail marketerów jako aspekt bezpieczeństwa online i lepszej dostarczalności maili.

Czym dokładnie jest DMARC?

DMARC to protokół uwierzytelniania, zasad i raportowania poczty e-mail, który umożliwia organizacjom ochronę domeny przed nieautoryzowanym użyciem — w tym podszywaniem się i atakami typu phishing.

DMARC to rekord TXT przechowywany w systemie DNS, który daje odbiorcom poczty e-mail możliwość sprawdzenia autentyczności otrzymanej poczty,

Został zaprojektowany tak, aby pasował do istniejącego procesu uwierzytelniania wiadomości przychodzących i pomaga odbiorcom wiadomości e-mail określić, czy wiadomość jest „zgodna” z tym, co odbiorca wie o nadawcy.

Organizacje mają trzy możliwości zasad obsługi wiadomości, która nie przeszła walidacji DMARC

(brak egzekwowania) „p =  none”– nic się nie dzieje wiadomość jest normalnie odebrana

(kwarantanna) „p = quarantine ” – wiadomość przed dostarczeniem na skrzynkę odbiorczą trafia na kwarantannę

(odrzuć) „p = reject ” – wiadomośc jest odrzucona przez serwer i nie trafia na skrzynkę odbiorczą

Konfiguracja SPF oraz DKIM

Aby DMARC działał poprawnie, należy wcześniej skonfigurować protokoły Sender Policy Framework (SPF) i DomainKeysIdentified Mail (DKIM).

Jak ustawić SPF?

1. Zbierz adresy IP używane do wysyłania wiadomości e-mail z Twojej domeny, w tym:

• serwer internetowy

• biurowy serwer pocztowy

• serwer pocztowy ISP

• wszelkie serwery pocztowe innych firm

2. Zrób listę swoich domen wysyłających i niewysyłających.

3. Utwórz rekord SPF w .txt dla każdej domeny za pomocą programu do edycji tekstu (np. Notepad ++, Vim, Nano itp.) Przykład 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all Przykład 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

4. Opublikuj swój SPF w DNS. Jeśli zarządzasz systemem DNS, po prostu dodaj nowy rekord TXT zawierający tekst SPF. Jeśli nie zarządzasz systemem DNS, skontaktuj się z administratorem serwera, aby dodać rekord.

5. Po dodaniu rekordu do DNS sprawdź go za pomocą narzędzia SPF Check Tool.

6. Jeśli posiadasz serwer w Kei.pl i dodajesz do niego domenę obsługiwaną w DNS Kei.pl nie musisz nic więcej robić. Dla dodawanej domeny jest automatycznie tworzony i dodawany do DNS odpowiedni rekord SPF.

Co to jest DKIM?

DKIM to standard uwierzytelniania poczty e-mail, który wykorzystuje kryptografię klucza publicznego/prywatnego do podpisywania wiadomości e-mail.

DKIM służy do sprawdzania, czy e-mail pochodzi z domeny, z którą powiązany jest klucz DKIM, oraz czy e-mail nie został zmodyfikowany podczas przesyłania.

Jak założyć DKIM?

1. Wybierz selektor DKIM.

Powinien to być prosty, zdefiniowany przez użytkownika ciąg tekstowy, który zostanie dołączony do nazwy domeny, aby pomóc zidentyfikować klucz publiczny DKIM (np. „standardowy”).

Przykład: „standard._domain.example.com” = nazwa hosta

2. Wygeneruj parę kluczy publiczny-prywatny dla swojej domeny.

• Użytkownicy końcowi systemu Windows mogą korzystać z PUTTYGen

• Użytkownicy końcowi systemów Linux i Mac mogą korzystać z ssh-keygen

3. Utwórz i opublikuj nowy rekord TXT

Utwórz nowy rekord za pomocą konsoli zarządzania DNS, używając klucza publicznego z powyższej pary.

Przykład: v=DKIM1; k=Typ Klucza; p=TwójKluczPubliczny

4. Klucz prywatny umieść na serwerze, z którego wysyłana jest poczta dla Twojej domeny.

5. Jeżeli posiadasz serwer w Kei.pl oraz domena obsługiwana jest w DNS Kei.pl wygenerowanie i dodanie klucza jest znacznie prostsze. Wystarczy właściwie jedno kliknięcie !!!

Sprawdź jakie to proste.

Co to jest tryb monitorowania DMARC?

Tryb monitorowania umożliwia właścicielom domen przeglądanie raportów DMARC zawierających ruch e-mail dla danej domeny. Raporty identyfikują potencjalnie niedostarczone wiadomości, które zostaną poddane kwarantannie lub odrzucone, gdy DMARC zostanie ustawione na pełne egzekwowanie. Ponadto raporty DMARC pokazują informacje o wszystkich systemach i usługach wysyłających e-maile z monitorowanej domeny.

UWAGA: Tryb monitorowania nie zapewnia żadnego poziomu egzekwowania. Poczta, której uwierzytelnianie nie powiedzie się, jest dostarczana normalnie, co pozwala uniknąć potencjalnych zakłóceń podczas wdrażania DMARC.

Najczęstsze tagi używane w DMARC.TXT.RECORD

Konfiguracja trybu prac DMARC

1. Upewnij się, że poprawnie skonfigurowałeś SPF i DKIM

2. Utwórz rekord DNS

Rekord DMARC „txt” powinien mieć nazwę podobną do „_dmarc.twoja_domena.com”. Przykład: „v=DMARC1;p=brak; rua=mailto:dmarcreports@twoja_domena.com”

Jeśli zarządzasz DNS dla swojej domeny, utwórz rekord DMARC „p=none” (tryb monitorowania) w taki sam sposób, jak rekordy SPF i DKIM. Jeśli nie zarządzasz DNS, poproś swojego dostawcę DNS o utworzenie dla Ciebie rekordu DMARC.

3. Przetestuj swój rekord DMARC za pomocą narzędzia do sprawdzania DMARC Uwaga: zwykle trzeba czekać 24-48 godzin. do replikacji

Jakie informacje zawiera raport DMARC?

Raport pokazuje właścicielom domen, ile fałszywych wiadomości korzysta z ich domeny, skąd pochodzą i czy zostaną zatrzymani przez zasadę „kwarantanny” lub „odrzucenia” DMARC.

Raport z każdego odbiorcy to plik XML, który zawiera następujące pola:

• Liczba wiadomości z każdego z tych adresów IP

• Co zrobiono z tymi wiadomościami zgodnie z przedstawionymi zasadami DMARC?

• Wyniki SPF dla tych wiadomości

• Wyniki DKIM dla tych wiadomości

Raport XML jest czytelny, ale nie jest wygodny. Właściciele domen mogą chcieć używać procesora raportów DMARC.

Sposoby korzystania z raportu DMARC

1. Zidentyfikuj ruch oznaczony jako nieuzasadniony.

2. Poszukaj legalnych wiadomości e-mail oznaczonych jako nieuzasadnione przez DMARC. Te e-maile, w zależności od zasad, zostaną „odrzucone” lub „poddane kwarantannie” po rozpoczęciu egzekwowania.

3. Skontaktuj się z potencjalnymi właścicielami systemów/aplikacji, aby wyjaśnić, czy e-maile są oznaczane jako nieuzasadnione.

4. W razie potrzeby zaktualizuj rekord SPF, umieszczając na białej liście legalne adresy IP, które nie zostały wcześniej uwzględnione. Analiza raportów DMARC może być czasochłonna. Jeśli jednak właściciele domen przeoczą lub błędnie zidentyfikują nadawców, mogą w efekcie zablokować „dobre” wiadomości e-mail, gdy zasady DMARC są ustawione na egzekwowanie („kwarantanna” lub „odrzucenie”). Oto kilka sugerowanych zadań wewnętrznych przed rozpoczęciem egzekwowania DMARC:

-Inwentaryzacja wszystkich nadawców wiadomości e-mail zidentyfikowanych na podstawie raportu DMARC i wszystkich innych wymienionych przez interesariuszy.

-Zidentyfikuj właścicieli dla każdej usługi/nadawcy wiadomości e-mail

-Kategoryzuj usługi wysyłania jako autoryzowane, nieautoryzowane lub złośliwe

-Zidentyfikuj, przy wsparciu interesariuszy, każdego innego nadawcę, który mógł nie pojawić się w raporcie DMARC

-Docieraj do interesariuszy w sprawie każdego nowego zidentyfikowanego nadawcy

-Zaktualizuj swój rekord SPF za pomocą każdego nowo wykrytego legalnego adresu IP nadawcy wiadomości e-mail

Jak długo DMARC powinno być pozostawione w trybie monitorowania?

Czas będzie różny w zależności od organizacji, od tygodni kilku do miesięcy. Gdy masz pewność, że wszyscy autoryzowani nadawcy zostali zmapowani, a Twoja organizacja jest wystarczająco dobrze poinformowana, możesz przejść do fazy kwarantanny. Gdy tryb kwarantanny jest włączony, wiadomości, które nie przejdą uwierzytelnienia, zostaną poddane kwarantannie. Zwykle oznacza to, że wiadomości są dostarczane do folderu spamu użytkownika.

Jak skonfigurować egzekwowanie kwarantanny DMARC?

1. Zaloguj się do swojego serwera DNS i wyszukaj rekord DMARC
2. Otwórz rekord DMARC dla określonej domeny i zaktualizuj zasady z „p=none” na „p=quarantine” Przykład: „v=DMARC;p=kwarantanna;pct=10;rua=mailto:dmarcreports@twoja_domena.com”

• Dodaj flagę „pct” (% wiadomości podlegających filtrowaniu). Sugerujemy zacząć od 10%.
• Stopniowo zwiększaj odsetek przefiltrowanych wiadomości do „pct=100” (100%),

UWAGA: Aby spełnić standardy BIMI i VMC, musisz być na poziomie „pct=100

Jak skonfigurować politykę odrzucania DMARC?

• Otwórz swój rekord DMARC w konsoli DNS
• Zmień „p=quarantine” na „p=reject”

Przykład: „v=DMARC;p=reject;pct=100;rua=mailto:dmarcreports@twojadomena.com

WSKAZÓWKA: Szczególnie ważne jest kontynuowanie monitorowania na tym etapie

Jak działa polityka odrzucania DMARC?

Wszystkie wiadomości, które nie przejdą sprawdzenia DMARC (nieautoryzowane wiadomości e-mail), zostaną zablokowane/usunięte, a odbiorca wiadomości e-mail nigdy nie otrzyma ich kopii lub nie będzie świadomy jej usunięcia.

Dlaczego warto wdrożyć DMARC?

1. Ochrona przed atakami phishingowymi

Na świecie istnieje prawie pięć miliardów kont email i  nie ma kanału o szerszym zasięgu niż kanał e-mail. To powoduje, że cyberprzestępcy lubią wykorzystywać ten kanał do złośliwych działań, a przestępczość na tym kanale rośnie z roku na rok. 95% wszystkich ataków hakerskich i naruszeń danych dotyczy poczty e-mail. Zgodność uwierzytelniania opartego na domenie (DMARC) stanowi wartość dodaną. DMARC zapewnia nie tylko pełny wgląd w kanały e-mail, ale także uwidacznia ataki phishingowe. Celem DMARC jest zbudowanie systemu nadawców i odbiorców, którzy będą ze sobą współpracować, aby poprawić praktyki uwierzytelniania poczty nadawców i umożliwić odbiorcom odrzucanie nieuwierzytelnionych wiadomości.

2. Możliwość otrzymania certyfikatu VMC

Certyfikat VMC to cyfrowy certyfikat, który poświadcza autentyczność w celu wyświetlenia logo BIMI. VMC jest używany jako część rekordu BIMI, który pozwala nadawcom wyświetlać logo swojej firmy bezpośrednio obok wiadomości e-mail w skrzynkach odbiorczych dostawców. Warunkiem otrzymania Verified Mark Certificate (VMC), jest obsługa protokołu DMARC (Domain-based Message Authentication, Reporting & Conformance).

Korzyści z zastosowania protokołu DMARC

Wdrażając DMARC, organizacje mogą cieszyć się czterema kluczowymi korzyściami:

• Bezpieczeństwo – chroni przed spamem, oszustwami i phishingiem, blokując nieautoryzowane użycie domeny e-mail.
• Raportowanie – możliwość otrzymania szczegółowe raporty o tym, kto (i/lub co) przez internet wysyła e-maile przy użyciu Twojej domeny.
• Dostarczalność  – zwiększa dostarczalność maili i zapobiega oznaczaniu wiadomości e-mail jako SPAM.

Ela Kornaś

Od 15 lat zajmuje się technologiami hostingowymi, domenowymi oraz związanymi z bezpieczeństwem. Odpowiada za produkty domenowe oraz certyfikaty SSL. Codzienna praca polega na zapewnianiu Ci najciekawszej na rynku oferty nazw domenowych i certyfikatów SSL. Prywatnie uwielbia tenis i bieganie.