Defaults.Exposed

Defaults.ExposedПоправки › DMARC (Email Spoofing Protection)

Как да поправите DMARC (Email Spoofing Protection)

DMARC е единствената настройка, действително казваща на пощенските доставчици в света да БЛОКИРАТ имейли, фалшифициращи наименованието на вашия бизнес. SPF и DKIM проверяват заключалките; DMARC решава какво се случва, когато фалшификацията не минава проверката — в боклука, маркирана или пусната. Неправилно зададен, домейнът ви е изцяло имитируем; зададен правилно — имперсонацията спира при входящата кутия.

Заключение за вашия бизнес: Без DMARC enforcement, престъпник може да изпраща имейл, изглеждащ точно като от вашия бизнес — на клиентите, персонала и доставчиците ви — и той попада в пощенската им кутия, а не в нежеланата. Хора биват измамвани от ваше наименование и вас ви обвиняват.

Какво може да ви струва това

Защо има значение. Имейлът никога не е бил изграден да доказва кой наистина го е изпратил, така че фалшифицирането на адреса 'от' е тривиално. DMARC е единственият контрол, превръщащ 'можем да засечем фалшификати' в 'фалшификатите се блокират' — и ви дава и ежедневните доклади, разкриващи кой изпраща поща от наименованието на марката ви. Големите доставчици на пощенски кутии сега третират липсваща или неналожена DMARC политика като сигнал за недоверие срещу вас, така че това влияе и на доставянето на собствения ви имейл.

Как да го поправите, стъпка по стъпка

  1. Настройте SPF или DKIM първо. DMARC се гради на тях; уверете се, че поне едно е настроено и наредено преди да започнете.
  2. Публикувайте мониторингов запис. Добавете TXT запис при _dmarc.yourdomain с v=DMARC1; p=none; rua=mailto:you@yourdomain за събиране на доклади без влияние върху доставката.
  3. Четете докладите. В продължение на седмица или две използвайте агрегатните доклади, за да потвърдите, че цялата легитимна поща минава.
  4. Преминете към quarantine. След като легитимната поща минава чисто, повишете политиката до p=quarantine, за да попада фалшивата поща в нежеланата.
  5. Наложете с reject. Накрая задайте p=reject, за да се отказва фалшивата поща изцяло — настройката, действително спираща имперсонацията.

Не позволявайте тази оценка да спадне

Domain Watch преоценява вашия домейн по график и ви предупреждава в момента, в който нещо се влоши.

Наблюдавайте вашия домейн с Domain Watch →

Какво е DMARC с прости думи

Имейлът има мръсна тайна: редът „от” е просто въведен текст. Всеки, навсякъде, може да напише вашето бизнес наименование и адрес в полето „от” на имейл и да го изпрати. Интернет никога не е бил проектиран да ги спира.

Има три настройки, заедно поправящи това. Мислете за тях като сигурността на сграда:

Можете да имате списъка (SPF) и печата (DKIM) и все пак да нямате охрана. Това е единствената най-честа и най-опасна ситуация: заключалките съществуват, но нищо не ги налага. DMARC е enforcement. Той е разликата между „можем да кажем, че имейлът е фалшив” и „онзи фалшив имейл никога не достига клиента ви.”

Какво може да ви струва това

Това не е теоретично. Ето конкретните начини, по които незащитен домейн се превръща в реални пари и реална щета:

  1. Измамата с фалшива фактура. Престъпник изпраща на клиента ви нещо, изглеждащо точно като истинска фактура от счетоводния ви отдел — същото наименование, същия домейн, професионално оформление — но с техни банкови данни. Тъй като домейнът ви не е наложен, попада в пощенската кутия, а не в нежеланата. Клиентът плаща. Разбирате седмици по-късно, когато питат за поръчката. Парите обикновено са изгубени и клиентът нерядко ви държи вас отговорни.

  2. Прехвърлянето по CEO измамата. Имейл изглежда, че идва от вас, собственика, до финансовия ви служител: „Можеш ли да прокараш това плащане спешно, в среща съм.” Изглежда напълно реално, защото е вашият адрес — просто фалшифициран. Плащането излиза. Onзи модел — Business Email Compromise — е един от най-скъпите измами, засягащи малкия бизнес, именно защото имейлът наистина идва от собствения ви домейн, така че преминава направо покрай подозрението.

  3. Изгубеният договор. Сериозен потенциален клиент прави проверка за сигурност или обществени поръчки преди подписване. Инструментът им докладва домейна ви като „имитируем — без enforcement на имейл автентикацията.” Онзи единствен червен флаг може да е достатъчен да даде договора на конкурент, чийто домейн е преминал. Никога дори не чувате истинската причина.

  4. Репутационният удар, който не можете да отмените. Домейнът ви е засметен в фишинг кампания. Десетки хора, измамени от ваше наименование, публикуват предупреждения и отзиви. Атаката трае седмица; въпросът „тази компания безопасна ли е?” отеква с месеци.

  5. Собственият ви имейл попада в нежеланата. Google и Yahoo сега активно не вярват на домейни без наложен DMARC. Оферти, фактури и отговори, изпратени наистина от вас, тихо започват да попадат в папките за нежелана. Сделките спират и никога не разбирате защо.

Какво всъщност е (и как изглежда „добро”)

DMARC живее като единствен ред текст в настройките на домейна ви — DNS „TXT” запис, публикуван при специалното наименование _dmarc.yourdomain. В него има няколко кратки инструкции. Две от тях имат най-голямо значение — именно тях проверява тази оценка.

1. Политиката (p=) — заповедите на охраната. Това е тежко оценяваната част от проверката. Може да е едно от три неща:

Как изглежда „добро”: p=reject. Всичко по-малко оставя пропаст.

Две технически подробности, проверявани и от нашата система, струва да знаете, за да не ви изненадат:

2. Адресът за докладване (rua=) — вашата видимост. Това е втората проверка на тази страница. Тагът rua= моли всеки пощенски доставчик в света да ви изпраща ежедневно резюме на кой е опитвал да изпраща имейл от домейна ви — собствените ви системи и всякакви имитатори. Без него летите сляпо: нямате представа кой злоупотребява с вашето наименование. С него, бизнесите редовно разкриват между 5 и 50 неупълномощени подателя в самия първи ден.

Как изглежда „добро” за докладването: валиден адрес rua=mailto: (или URL на услуга за докладване https:), реално получаващ докладите. Проверката ни валидира формата — сгрешен или неправилно оформен адрес означава докладите тихо не отиват никъде, което се оценява като частичен или провален резултат, дори когато тагът технически е „наличен.”

Как да го поправите (безплатно, ~30 минути разпределени в две седмици)

Дайте тази секция на когото управлява домейна, уебсайта или IT — поправката е изцяло безплатна. Ние таксуваме само за мониторинг, че остава правилно с времето, за управление на портфолио от домейни или за одит. Самата промяна не струва нищо.

Златното правило: никога не прескачайте направо към reject. Включете мониторинга първо, гледайте докладите, потвърдете, че реалната ви поща е разпозната, след това затегнете. Направено в онзи ред е безопасно; направено набързо може да изхвърли собствения ви имейл.

Стъпка 1 — Уверете се, че SPF и DKIM са на място първо. DMARC разчита на тях. Ако някое от двете липсва, наредете ги преди да наложите DMARC (вижте страниците за SPF и DKIM).

Стъпка 2 — Публикувайте мониторингов запис с включено докладване. Добавете DNS TXT запис:

Това наблюдава и докладва без блокиране на нищо засега. Частите adkim=s; aspf=s изискват строго наредване — пропуснете ги начало, ако сте несигурни, и добавете след потвърждаване на чистата поща.

Стъпка 3 — Четете докладите ~2 седмици. Суровите DMARC доклади са гъсти XML. Използвайте безплатна услуга за докладване (например dmarcian или безплатния DMARC инструмент на Postmark), за да ги превърнете в четим таблу. Потвърдете, че всеки легитимен подател — доставчикът на пощенска кутия, инструментът за бюлетини, CRM, помощно бюро, приложението за фактуриране — минава. Поправете всеки истински подател, който не минава.

Стъпка 4 — Преминете към quarantine. След като реалната ви поща е чиста, сменете p=none с p=quarantine. Наблюдавайте още няколко дни.

Стъпка 5 — Преминете към reject. Накрая сменете p=quarantine с p=reject. Вече сте напълно защитени. Крайният запис изглежда така:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Стъпка 6 — Не забравяйте поддомейните. Уверете се, че не сте оставили sp=none на място. Ако не публикувате изобщо sp, поддомейните наследяват основната ви p= политика, което е желаното.

Бележки по обичайна платформа:

Чести грешки

Бележка за оценяването

Проверката на политиката (p=) е едно от най-тежко оценяваните елементи в цялата оценка — защото е единственият най-важен фактор за това дали бизнесът ви може да бъде имперсониран. reject носи пълни точки; quarantine носи приблизително половина; none и липсващ запис се оценяват като неуспехи. По-слабата политика за поддомейни или частичното въвеждане с pct= дърпа оценката надолу, за да съвпада с реалното ниво на защита, реално имате.

Проверката за докладване (rua=) носи и тя реално тегло, но мислете за нея по-малко като кутия за отметка и повече като инструмент, позволяващ ви безопасно да достигнете reject. Настройте я едновременно с мониторинговия запис и тя се изплаща във видимост от първия ден.

Настройте го при вашия хост

Стъпка по стъпка за популярни доставчици:

Чести ситуации

ЧЗВ

Изобщо не съм технически — това нещо ли е, с което мога реално да се справя?

Да, но не е задължително да го правите лично. Поправката е няколко реда, добавени в настройките на домейна ви, и е безплатна. Най-лесният път е да препратите раздела 'Как да го поправите' по-долу към когото управлява уебсайта или IT поддръжката ви. Обикновено им отнема добре под час, разпределен в няколко седмици на безопасен мониторинг.

Включването на DMARC ще спре ли случайно собствените ми имейли да минават?

Може — но само ако пропуснете безопасното въвеждане. Целият смисъл от започването при 'само мониторинг' (p=none) с включено докладване е да наблюдавате две седмици и да потвърдите, че всеки легитимен подател (пощенската кутия, инструментът за бюлетини, приложението за фактуриране) е правилно разпознат ПРЕДИ да преминете към блокиране. Направено в онзи ред, реалната ви поща е незасегната. Бързането направо към 'reject' без проверка на докладите е единствената честа грешка, счупваща доставката.

Вече имаме настроени SPF и DKIM. Не е ли достатъчно?

Не — и това е най-важната точка за разбиране. SPF и DKIM са заключалките; DMARC е инструкцията, казваща 'ако заключалките не съвпадат, откажи имейла.' Без DMARC при 'reject', получаващ сървър може да забележи, че имейлът е фалшифициран, и все пак да го достави. SPF и DKIM са предпоставки DMARC да работи, но сами по себе си не спират фалшифициран имейл да достигне пощенската кутия.

Каква е разликата между 'none', 'quarantine' и 'reject'? Кое ми трябва?

'none' само наблюдава и докладва — не спира нищо, така че не ви защитава. 'quarantine' праща фалшификатите в папката за нежелана поща. 'reject' ги отказва изцяло, така че никога не пристигат. 'reject' е целта и единствената настройка, носеща пълни точки. 'quarantine' е разумна стъпка в прехода; 'none' е отправна точка за първите седмици, а не дестинация.

Какво е онова докладване 'rua' и трябва ли ми?

Тагът rua моли пощенските доставчици да ви изпращат ежедневно резюме на всяка система, опитала да изпраща имейл от ваш домейн — включително престъпниците. Така бизнесите разкриват от 5 до 50 неупълномощени подателя, злоупотребяващи с домейна, в първия ден. Само по себе си носи по-малко тегло от политиката, но именно чрез него безопасно стигате до 'reject', без да счупите реалната поща — затова го настройвайте едновременно.

Едва изпращаме имейл, или изобщо не изпращаме от такъв домейн. Трябва ли ни пак DMARC?

Особено тогава. Домейн, изпращащ малко или никаква реална поща, е перфектна, нискошумна цел за престъпниците да имитират, защото никой не наблюдава. Домейн, от който никога не изпращате поща, трябва да публикува строга reject политика — чиста, нискорискова победа, затваряща вратата изцяло.