Defaults.Exposed › Opravy › DMARC (ochrana proti podvrhování e-mailů)

Jak opravit DMARC (ochrana proti podvrhování e-mailů)

DMARC je jediné nastavení, které skutečně říká světovým poskytovatelům pošty, aby BLOKOVALI e-maily, jež falšují jméno vaší firmy. SPF a DKIM kontrolují zámky; DMARC rozhoduje, co se stane, když padělání selže v kontrole — zahodí to, označí, nebo propustí dál. Pokud je špatně nastaveno, vaše doménu lze plně napodobit; pokud je správně nastaveno, vydávání se za vás se zastaví v doručené poště.

Výsledek pro vaše podnikání: Bez vynucení DMARC může zločinec posílat e-maily, které vypadají přesně jako od vaší firmy — zákazníkům, zaměstnancům i dodavatelům — a přistávají v jejich doručené poště, nikoli ve spamu. Lidé jsou podváděni vaším jménem a viní vás.

Co vás to může stát

Podvodník pošle vašemu zákazníkovi realisticky vypadající fakturu 'od vašeho účetního oddělení' s vlastními bankovními údaji. Zákazník ji zaplatí. Dozvíte se to o týdny později, když požaduje zboží, za které již zaplatil — a drží vás zodpovědného.
Falešný e-mail s 'urgentní platbou' jde vašemu finančnímu pracovníkovi, zdánlivě od vás, majitele. Odešlou peníze dříve, než to kdokoliv zkontroluje — a jakmile přistane na účtu zločince, téměř nikdy se nevrátí.
Velký zákazník provede bezpečnostní kontrolu vaší domény před podpisem. Vrátí se: 'e-mail nechráněn — lze podvrhnout.' Prohrajete obchod ve prospěch konkurenta, jehož doména prošla.
Vaše doména je použita ve phishingové vlně. Zákazníci, kteří byli podvedeni, zanechávají naštvaná hodnocení a varují ostatní. Poškození pověsti přetrvává měsíce po skončení útoku.
Dokonce i vaše legitimní e-maily začínají být odhazovány, protože Google a Yahoo stále více nedůvěřují — a nyní někdy odmítají — domény bez vynuceného DMARC.

Proč na tom záleží. E-mail nebyl nikdy postaven tak, aby prokázal, kdo jej skutečně odeslal, takže falšování adresy odesílatele je triviální. DMARC je jediná kontrola, která promění 'dokážeme detekovat padělky' v 'padělky jsou blokovány' — a také vám dává každodenní přehledy, které odhalují, kdo posílá poštu jako vaše značka. Velcí poskytovatelé schránek nyní považují chybějící nebo nevynucené DMARC za signál nedůvěry vůči vám, takže to ovlivňuje i doručitelnost vaší vlastní pošty.

Co je DMARC, prostými slovy

E-mail má špinavé tajemství: řádek “od” je jen text, který se napíše. Kdokoliv, kdekoliv, může napsat jméno a adresu vaší firmy do pole “od” e-mailu a odeslat jej. Internet nebyl nikdy navržen tak, aby tomu bránil.

Existují tři nastavení, která to dohromady opravují. Přemýšlejte o nich jako o zabezpečení budovy:

SPF je seznam, kdo smí vstoupit předním vchodem (které poštovní služby smějí odesílat vaším jménem).
DKIM je pečeť zabraňující neoprávněné manipulaci, která dokazuje, že zpráva nebyla pozměněna při přenosu.
DMARC je bezpečnostní stráž, která kontroluje seznam a pečeť — a klíčově rozhoduje, co dělat, když neodpovídají: propustit, poslat do spamu nebo odmítnout vstup.

Můžete mít seznam (SPF) a pečeť (DKIM) a přesto nemít žádnou stráž. Toto je nejčastější a nejnebezpečnější situace: zámky existují, ale nic je nevynucuje. DMARC je vynucování. Je to rozdíl mezi “dokážeme zjistit, že tento e-mail je falešný” a “tento falešný e-mail nikdy nedosáhne vašeho zákazníka.”

Co vás to může stát

Toto není teoretické. Zde jsou konkrétní způsoby, jak nechráněná doména přemění v skutečné peníze a skutečné škody:

Podvod s falešnou fakturou. Zločinec pošle vašemu zákazníkovi e-mail, který vypadá přesně jako skutečná faktura od vašeho účetního oddělení — stejné jméno, stejná doména, profesionální rozložení — ale s vlastními bankovními údaji. Protože vaše doména není vynucena, přistane v doručené poště, nikoli ve spamu. Zákazník zaplatí. Dozvíte se to o týdny později, když se ptá na svou objednávku. Peníze jsou obvykle pryč a zákazník vás za porušení často drží zodpovědného.
Podvod s převodem prostředků CEO. E-mail zdánlivě přichází od vás, majitele, vašemu finančnímu pracovníkovi: “Můžete tuto platbu urgentně provést, jsem na schůzce.” Vypadá zcela reálně, protože je to vaše adresa — jen podvržená. Platba odejde. Tento vzor — Business Email Compromise — je jedním z nejnákladnějších podvodů postihujících malé firmy, přesně proto, že e-mail skutečně pochází z vaší vlastní domény, takže hravě projde podezřením.
Ztracená smlouva. Seriózní zákazník provede bezpečnostní nebo nákupní kontrolu před podpisem. Jejich nástroje hlásí vaši doménu jako “lze podvrhnout — žádné vynucení autentizace e-mailu.” Tento jediný červený příznak může stačit k přidělení smlouvy konkurentovi, jehož doména prošla. Nikdy ani neslyšíte skutečný důvod.
Poškození pověsti, které nelze vrátit zpět. Vaše doména je zapletena do phishingové kampaně. Desítky lidí, kteří byli podvedeni vaším jménem, zveřejňují varování a hodnocení. Útok trvá týden; otázka “je tato společnost vůbec bezpečná?” přetrvává měsíce.
Vaše vlastní e-maily jdou do spamu. Google a Yahoo nyní aktivně nedůvěřují doménám bez vynuceného DMARC. Nabídky, faktury a odpovědi, které jste skutečně odeslali, začínají tiše přistávat ve složkách spamu. Obchody stagnují a nikdy nevíte proč.

Co to vlastně je (a jak vypadá ‘dobré’ nastavení)

DMARC žije jako jediný řádek textu v nastavení vaší domény — DNS “TXT” záznam publikovaný na speciálním jméně _dmarc.yourdomain. Uvnitř jsou pár krátkých instrukcí. Dvě z nich jsou nejdůležitější a jsou přesně ty dvě věci, které toto hodnocení kontroluje.

1. Politika (p=) — rozkazy strážce. Toto je silně váhovaná část kontroly. Může to být jedna ze tří věcí:

p=none — pouze sledovat. Stráž zaznamená, kdo prošel, ale nikoho nezastaví. Toto vás nechrání vůbec; je to fáze monitorování, nikoli hotové nastavení. (Náš engine toto hodnotí jako selhání — lepší než žádné DMARC, ale ne ochrana.)
p=quarantine — posílat padělky do spamu. Skutečná ochrana, ale odhodlaný útočník spoléhá na to, že lidé prohledají složku spamu. Rozumný mezikrok — získá přibližně polovinu bodů.
p=reject — odmítat padělky na místě. Podvržený e-mail není nikdy doručen. Toto je jediné nastavení, které vás plně chrání a získá plný počet bodů.

Jak vypadá ‘dobré’ nastavení: p=reject. Cokoliv méně zanechává mezeru.

Dva technické detaily, které naše kontrola také sleduje, stojí za to znát, abyste nebyli zaskočeni:

Politika subdomény (sp=). Můžete nastavit silnou politiku pro vaši hlavní doménu, ale náhodně nechat subdomény (jako mail.yourdomain nebo news.yourdomain) zcela otevřené. Náš engine za toto tvrdě penalizuje — doména s p=reject, ale sp=none je hodnocena téměř jako bez vynucení, protože útočníci jednoduše podvrhnou subdoménu místo ní. Osvědčenou praxí je nechat sp zdědit vaši silnou hlavní politiku nebo ji nastavit explicitně na reject.
Procento (pct=). Během pečlivého nasazení můžete aplikovat vynucení pouze na zlomek pošty (např. pct=25). Jde o legitimní nástroj přechodu, ale částečné nasazení poskytuje pouze částečnou ochranu a naše hodnocení to odráží — stoupá postupně, jak přesunujete hodnotu z 25 % k 100 %, ale plný počet bodů vyžaduje plné pokrytí.

2. Adresa pro přehledy (rua=) — vaše viditelnost. Toto je druhá kontrola na této stránce. Tag rua= žádá každého poskytovatele pošty na světě, aby vám posílal denní přehled o tom, kdo se pokusil poslat e-mail jako vaše doména — vaše vlastní systémy i jakékoliv napodobitele. Bez toho létáte naslepo: nemáte tušení, kdo zneužívá vaše jméno. S ním firmy rutinně objeví mezi 5 a 50 neautorizovaných odesílatelů hned první den.

Jak vypadá ‘dobré’ pro přehledy: platná adresa rua=mailto: (nebo URL reportovací služby https:), která přehledy skutečně přijímá. Naše kontrola ověřuje formát — překlep nebo chybně formátovaná adresa znamená, že přehledy tiše nikam nejdou, což je hodnoceno jako částečný nebo neúspěšný výsledek, i když je tag technicky “přítomný.”

Jak to opravit (zdarma, ~30 minut rozložených na dva týdny)

Předejte tuto sekci tomu, kdo spravuje vaši doménu, web nebo IT — oprava je zcela zdarma. Účtujeme pouze monitoring správnosti v čase, správu portfolia domén nebo audit. Samotná změna nic nestojí.

Zlaté pravidlo: nikdy neskákejte přímo na reject. Nejprve zapněte monitoring, sledujte přehledy, potvrďte, že vaše skutečná pošta je rozpoznána, pak zpřísněte. Provedeno v tomto pořadí je to bezpečné; provedeno narychlo to může odhodit vaše vlastní e-maily.

Krok 1 — Ujistěte se, že SPF a DKIM jsou nejprve na místě. DMARC na nich závisí. Pokud chybí jedno z nich, napravte to před vynucením DMARC (viz stránky SPF a DKIM).

Krok 2 — Publikujte monitorovací záznam se zapnutým reportingem. Přidejte DNS TXT záznam:

Host / název: _dmarc.yourdomain (váš poskytovatel DNS to může zobrazit jen jako _dmarc)
Typ: TXT
Hodnota: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Toto sleduje a hlásí bez blokování čehokoliv zatím. Části adkim=s; aspf=s požadují striktní zarovnání — vynechte je zpočátku, pokud si nejste jisti, a přidejte je, jakmile je vaše pošta potvrzena jako čistá.

Krok 3 — Čtěte přehledy ~2 týdny. Surové DMARC přehledy jsou hustý XML. Použijte bezplatnou reportovací službu (například dmarcian nebo bezplatný DMARC nástroj Postmark) k jejich přeměně na čitelný dashboard. Potvrďte, že každý legitimní odesílatel — váš poskytovatel schránky, newsletter nástroj, CRM, helpdesk, fakturační aplikace — prochází. Opravte jakéhokoliv legitimního odesílatele, který neprochází.

Krok 4 — Přejděte na quarantine. Jakmile je vaše skutečná pošta čistá, změňte p=none na p=quarantine. Sledujte ještě pár dní.

Krok 5 — Přejděte na reject. Nakonec změňte p=quarantine na p=reject. Nyní jste plně chráněni. Finální záznam vypadá takto:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Krok 6 — Nezapomeňte na subdomény. Ujistěte se, že nemáte ponechané sp=none. Pokud vůbec nepublikujete sp, subdomény zdědí vaši hlavní politiku p=, což chcete.

Poznámky k běžným platformám:

Google Workspace / Microsoft 365: Obě plně podporují DMARC. Samotný DMARC záznam jde do vašeho poskytovatele DNS, nikoli do administrátorské konzole Google nebo Microsoft — nejprve se ujistěte, že SPF a DKIM jsou povoleny v administrátorské konzoli, poté publikujte DMARC TXT záznam u svého registrátora/hostitele DNS.
Cloudflare: DNS > Záznamy > Přidat záznam > TXT, název _dmarc, vložte hodnotu. Cloudflare také nabízí vestavěnou správu DMARC, která to může nastavit a sbírat přehledy za vás.
Běžné hosting/registrátoři (GoDaddy, Blacknight atd.): Hledejte “DNS”, “DNS Zone” nebo “Pokročilý DNS”, přidejte TXT záznam s názvem _dmarc a výše uvedenou hodnotou. Šíření obvykle trvá pár minut až hodinu.

Běžné chyby

Zastavení na p=none. Nejčastější chyba ze všech. Monitoring je začátek, nikoli konec — doména uvízlá na none je stále plně napodobitelná. Náš engine ji hodnotí jako selhání přesně z tohoto důvodu.
Skok přímo na reject bez monitorování. Opačná chyba. Bez fáze reportingu si možná neuvědomíte, že legitimní odesílatel (často newsletter nebo fakturační nástroj) není zarovnán — a začnete blokovat svou vlastní poštu.
Zapomenutí politiky subdomény. Silné p=reject s sp=none zanechává postranní dveře zcela otevřené; útočníci jednoduše podvrhnou subdoménu místo ní.
Rozbitá adresa pro přehledy. Překlep v rua= (nebo chybějící předpona mailto:) znamená, že přehledy nikam nejdou a zůstanete naslepo bez toho, abyste si to uvědomili. Formát musí být platný mailto: nebo https: URI, jinak přehledy nejsou nikdy doručeny.
“Neposíláme e-maily, takže to přeskočíme.” Neposílající doména je prvotřídní cíl přesně proto, že ji nikdo nesleduje. Publikujte přísnou politiku reject, abyste ji zcela uzamkli.

Poznámka ke hodnocení

Kontrola politiky (p=) je jednou z nejsilněji váhovaných položek v celém hodnocení — protože je to jediný největší faktor v tom, zda vaše firma může být napodobena. reject získá plný počet bodů; quarantine získá přibližně polovinu; none a chybějící záznam jsou hodnoceny jako selhání. Slabší politika subdomény nebo částečné nasazení pct= stáhnou skóre dolů, aby odpovídalo skutečné úrovni ochrany, kterou skutečně máte.

Kontrola reportingu (rua=) nese také skutečnou váhu, ale považujte ji méně za políčko k zaškrtnutí a více za nástroj, který vám umožní dosáhnout reject bezpečně. Nastavte ji ve stejný čas jako váš monitorovací záznam a ze dne prvního přinese svou hodnotu ve viditelnosti.

Nastavte u svého poskytovatele

Krok za krokem pro oblíbené poskytovatele:

Časté dotazy

Vůbec nejsem technik — mohu to skutečně vyřešit?

Ano, ale nemusíte to dělat osobně. Oprava jsou pár řádků přidaných do nastavení vaší domény a je zdarma. Nejjednodušší cesta je předat sekci 'Jak to opravit' níže tomu, kdo provozuje váš web nebo IT podporu. Obvykle jim to trvá méně než hodinu, rozloženou na pár týdnů bezpečného monitorování.

Přeruší zapnutí DMARC náhodou doručování mých vlastních e-mailů?

Může — ale pouze pokud přeskočíte bezpečné nasazení. Celý smysl začátku na 'pouze monitorovat' (p=none) se zapnutým reportingem je sledovat dva týdny a potvrdit, že každý legitimní odesílatel (vaše schránka, newsletter nástroj, fakturační aplikace) je správně rozpoznán DŘÍVE, než přepnete na blokování. Provedeno v tomto pořadí je vaše skutečná pošta neovlivněna. Spěchání přímo na 'reject' bez kontroly přehledů je jedinou běžnou chybou, která poruší doručitelnost.

Již mám nastavené SPF a DKIM. Nestačí to?

Ne — a toto je nejdůležitější bod k pochopení. SPF a DKIM jsou zámky; DMARC je instrukce, která říká 'pokud zámky neodpovídají, odmítněte e-mail.' Bez DMARC na 'reject' může přijímající server zjistit, že e-mail je podvržený, a přesto jej doručit. SPF a DKIM jsou předpoklady pro fungování DMARC, ale samy o sobě nezastaví podvržený e-mail v dosažení doručené pošty.

Jaký je rozdíl mezi 'none', 'quarantine' a 'reject'? Které potřebuji?

'none' pouze sleduje a hlásí — nic nezastaví, takže vás nechrání. 'quarantine' posílá padělky do složky spamu. 'reject' je rovnou odmítne, takže nikdy nedorazí. 'reject' je cíl a jediné nastavení, které získá plný počet bodů. 'quarantine' je rozumný mezikrok; 'none' je výchozí bod pro první pár týdnů, nikoli cíl.

Co je toto 'rua' reportování a potřebuji ho?

Tag rua žádá poskytovatele pošty, aby vám posílali denní přehled každého systému, který se pokusil odeslat e-mail jako vaše doména — včetně zločinců. Takto firmy den prvního nasazení objeví 5 až 50 neautorizovaných odesílatelů typicky zneužívající doménu. Samotné nese méně váhy než politika, ale je to způsob, jak bezpečně přejít na 'reject', aniž by se rozbila skutečná pošta, takže jej nastavte ve stejný čas.

Posíláme málo e-mailů nebo neposíláme e-maily z této domény vůbec. Potřebujeme stále DMARC?

Zejména pak. Doména, která posílá málo nebo žádnou skutečnou poštu, je pro zločince dokonalým, nenápadným terčem k napodobení, protože nikdo nesleduje. Doména, ze které nikdy neposíláte poštu, by měla publikovat přísnou politiku reject — je to čistá, nízkorisková výhra, která zcela uzavře dveře.