Defaults.Exposed › Διορθώσεις › DMARC (Προστασία κατά Πλαστοπροσωπίας Email)

Πώς να διορθώσετε DMARC (Προστασία κατά Πλαστοπροσωπίας Email)

Το DMARC είναι η μία ρύθμιση που λέει στ' αλήθεια στους παρόχους αλληλογραφίας του κόσμου να ΜΠΛΟΚΑΡΟΥΝ emails που πλαστογραφούν το όνομα της επιχείρησής σας. Το SPF και το DKIM ελέγχουν τις κλειδαριές· το DMARC αποφασίζει τι συμβαίνει όταν μια πλαστογραφία αποτυγχάνει τον έλεγχο — πέταξέ το, σημείωσέ το, ή άφησέ το να περάσει. Λανθασμένα ρυθμισμένο, το domain σας είναι πλήρως πλαστογραφήσιμο· σωστά ρυθμισμένο, η πλαστοπροσωπία σταματά στα εισερχόμενα.

Ουσία για την επιχείρησή σας: Χωρίς επιβολή DMARC, ένας εγκληματίας μπορεί να στείλει email που φαίνεται ακριβώς ότι ήρθε από την επιχείρησή σας — στους πελάτες, στο προσωπικό και τους προμηθευτές σας — και φτάνει στα εισερχόμενά τους, όχι στα spam. Άνθρωποι εξαπατώνται στο όνομά σας, και σας κατηγορούν.

Τι μπορεί να σας κοστίσει αυτό

Ένας απατεώνας στέλνει στον πελάτη σας ένα ρεαλιστικό τιμολόγιο 'από την ομάδα λογαριασμών σας' με τα δικά του τραπεζικά στοιχεία. Ο πελάτης πληρώνει. Μαθαίνετε γι' αυτό εβδομάδες αργότερα όταν κυνηγά τα αγαθά που ήδη πλήρωσε — και σας θεωρεί υπεύθυνους.
Ένα ψεύτικο email 'επείγουσας πληρωμής' πηγαίνει στο οικονομικό σας άτομο, φαινόμενο να ήρθε από εσάς, τον ιδιοκτήτη. Στέλνει τα χρήματα πριν κάποιος σκεφτεί να ελέγξει ξανά.
Η ομάδα ΙΤ μεγαλύτερου υποψήφιου εκτελεί έλεγχο ασφαλείας στο domain σας πριν υπογράψει. Επιστρέφει 'email μη προστατευμένο — μπορεί να πλαστογραφηθεί.' Χάνετε τη συμφωνία σε ανταγωνιστή.
Το domain σας χρησιμοποιείται σε κύμα phishing. Πελάτες που εξαπατήθηκαν αφήνουν αρνητικές κριτικές.
Ακόμα και το γνήσιο email σας αρχίζει να πηγαίνει στο spam, επειδή Google και Yahoo δυσπιστούν ολοένα περισσότερο σε domains χωρίς επιβαλλόμενο DMARC.

Γιατί έχει σημασία. Το email δεν χτίστηκε ποτέ για να αποδεικνύει ποιος το έστειλε πραγματικά, οπότε η πλαστογράφηση της διεύθυνσης 'from' είναι τετριμμένη. Το DMARC είναι ο μόνος έλεγχος που μετατρέπει 'μπορούμε να ανιχνεύσουμε πλαστά' σε 'τα πλαστά μπλοκάρονται' — και σας δίνει επίσης τις ημερήσιες αναφορές που αποκαλύπτουν ποιος στέλνει αλληλογραφία ως το brand σας.

Τι είναι το DMARC, με απλά λόγια

Το email έχει ένα βρώμικο μυστικό: η γραμμή «from» είναι απλώς πληκτρολογημένο κείμενο. Οποιοσδήποτε, οπουδήποτε, μπορεί να γράψει το δικό σας επαγγελματικό όνομα και διεύθυνση στο πεδίο «from» ενός email και να το στείλει. Το internet δεν σχεδιάστηκε ποτέ για να τους σταματήσει.

Υπάρχουν τρεις ρυθμίσεις που, μαζί, το διορθώνουν. Σκεφτείτε τες ως ασφάλεια κτηρίου:

SPF είναι μια λίστα ποιος επιτρέπεται να μπει στην κύρια πόρτα (ποιες mail υπηρεσίες μπορούν να στέλνουν ως εσείς).
DKIM είναι αδύνατη-να-παραποιηθεί σφραγίδα που αποδεικνύει ότι το μήνυμα δεν άλλαξε στη μεταφορά.
DMARC είναι ο φύλακας ασφαλείας που ελέγχει τη λίστα και τη σφραγίδα — και, κρίσιμα, αποφασίζει τι να κάνει όταν δεν ταιριάζουν: αφήστε το να περάσει, στείλτε το σε spam, ή απωθήστε το στην πόρτα.

Μπορείτε να έχετε τη λίστα (SPF) και τη σφραγίδα (DKIM) και εξακολουθεί να μην υπάρχει φύλακας. Το DMARC είναι η επιβολή.

Τι μπορεί να σας κοστίσει

Η απάτη ψεύτικου τιμολογίου. Ένας εγκληματίας στέλνει στον πελάτη σας αυτό που φαίνεται ακριβώς σαν γνήσιο τιμολόγιο από την ομάδα λογαριασμών σας — ίδιο όνομα, ίδιο domain, επαγγελματική διάταξη — αλλά με τα δικά του τραπεζικά στοιχεία. Επειδή το domain σας δεν επιβάλλεται, φτάνει στα εισερχόμενα, όχι στο spam. Ο πελάτης πληρώνει.
Η πλαστογράφηση διευθύνοντος. Ένα email φαίνεται να ήρθε από εσάς, τον ιδιοκτήτη, στο οικονομικό σας άτομο: «Μπορείτε να επεξεργαστείτε αυτή την πληρωμή επειγόντως, είμαι σε συνάντηση;» Φαίνεται εντελώς πραγματικό επειδή είναι η διεύθυνσή σας — απλώς πλαστογραφημένη.
Η χαμένη σύμβαση. Ένας σοβαρός υποψήφιος εκτελεί έλεγχο πριν υπογράψει. Το εργαλείο του αναφέρει το domain σας ως «spoofable — χωρίς επιβολή email authentication.»
Η βλάβη φήμης που δεν μπορείτε να ακυρώσετε. Το domain σας ρίχνεται σε εκστρατεία phishing. Δεκάδες άνθρωποι που εξαπατήθηκαν στο όνομά σας δημοσιεύουν προειδοποιήσεις.
Το δικό σας email που πηγαίνει στο spam. Google και Yahoo τώρα ενεργά δυσπιστούν σε domains χωρίς επιβαλλόμενο DMARC. Προσφορές, τιμολόγια και απαντήσεις που στέλνετε εσείς γνήσια αρχίζουν αθόρυβα να καταλήγουν σε φακέλους spam.

Τι είναι στην πραγματικότητα

Το DMARC βρίσκεται ως μία γραμμή κειμένου στις ρυθμίσεις του domain σας — μια «TXT» εγγραφή DNS δημοσιευμένη στο ειδικό όνομα _dmarc.yourdomain. Δύο πράγματα έχουν σημασία περισσότερο:

1. Η πολιτική (p=) — οι εντολές του φύλακα. Μπορεί να είναι ένα από τρία:

p=none — watch only. Ο φύλακας σημειώνει ποιος πέρασε αλλά δεν σταματά κανέναν. Δεν σας προστατεύει καθόλου· είναι στάδιο παρακολούθησης, όχι ολοκληρωμένη ρύθμιση. (Το σύστημά μας το βαθμολογεί ως αποτυχία.)
p=quarantine — στείλτε τα πλαστά σε spam. Πραγματική προστασία, αλλά καλύτερα κερδίζει μισούς βαθμούς.
p=reject — αρνηθείτε τα πλαστά στην πόρτα. Το πλαστό email δεν παραδίδεται ποτέ. Αυτή είναι η μόνη ρύθμιση που σας προστατεύει πλήρως και κερδίζει πλήρεις βαθμούς.

Δύο επιπλέον λεπτομέρειες:

Η πολιτική subdomain (sp=). Μπορείτε να ορίσετε ισχυρή πολιτική για το κύριο domain αλλά να αφήνετε τυχαία subdomains (όπως mail.yourdomain) ανοιχτά.
Το ποσοστό (pct=). Κατά τη σταδιακή ανάπτυξη μπορείτε να εφαρμόσετε επιβολή μόνο σε κλάσμα αλληλογραφίας — νόμιμο μεταβατικό εργαλείο, αλλά μερική ανάπτυξη δίνει μερική προστασία.

2. Η διεύθυνση αναφοράς (rua=) — η ορατότητά σας. Το tag rua= ζητά από κάθε πάροχο αλληλογραφίας στον κόσμο να σας στέλνει ημερήσια περίληψη ποιος προσπάθησε να στείλει email ως το domain σας.

Πώς να το διορθώσετε (δωρεάν, ~30 λεπτά διανεμημένα σε δύο εβδομάδες)

Δώστε αυτή την ενότητα σε όποιον διαχειρίζεται το domain, ιστότοπο ή ΙΤ σας — η διόρθωση είναι εντελώς δωρεάν.

Ο χρυσός κανόνας: μην πηδάτε απευθείας σε reject. Ενεργοποιήστε πρώτα την παρακολούθηση, παρακολουθήστε τις αναφορές, επιβεβαιώστε ότι το πραγματικό σας mail αναγνωρίζεται, μετά σφίξτε.

Βήμα 1 — Βεβαιωθείτε ότι SPF και DKIM υπάρχουν πρώτα. Το DMARC βασίζεται σε αυτά. Αν οποιοδήποτε λείπει, τακτοποιήστε πρώτα αυτά (δείτε σελίδες SPF και DKIM).

Βήμα 2 — Δημοσιεύστε εγγραφή παρακολούθησης με αναφορές ενεργές. Προσθέστε DNS TXT εγγραφή:

Host / name: _dmarc.yourdomain
Type: TXT
Value: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Βήμα 3 — Διαβάστε τις αναφορές για ~2 εβδομάδες. Χρησιμοποιήστε δωρεάν υπηρεσία αναφοράς (dmarcian ή Postmark’s free DMARC tool) για να τις μετατρέψετε σε ευανάγνωστο dashboard.

Βήμα 4 — Μετακινηθείτε σε quarantine. Μόλις το πραγματικό mail σας είναι καθαρό, αλλάξτε p=none σε p=quarantine.

Βήμα 5 — Μετακινηθείτε σε reject. Αλλάξτε p=quarantine σε p=reject. Είστε τώρα πλήρως προστατευμένοι:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Βήμα 6 — Μην ξεχνάτε subdomains. Βεβαιωθείτε ότι δεν έχετε αφήσει sp=none. Αν δεν δημοσιεύετε καθόλου sp, τα subdomains κληρονομούν την κύρια πολιτική σας — αυτό είναι αυτό που θέλετε.

Ανά κοινή πλατφόρμα:

Google Workspace / Microsoft 365: Και οι δύο υποστηρίζουν πλήρως DMARC. Η εγγραφή DMARC πηγαίνει στον DNS πάροχό σας, όχι στην κονσόλα διαχειριστή Google ή Microsoft.
Cloudflare: DNS → Records → Add record → TXT, όνομα _dmarc, επικολλήστε την τιμή.

Συνηθισμένα λάθη

Σταμάτημα σε p=none. Το πιο κοινό σφάλμα μακράν. Η παρακολούθηση είναι η αρχή, όχι το τέλος.
Άλμα απευθείας σε reject χωρίς παρακολούθηση. Χωρίς το στάδιο αναφοράς μπορεί να μην συνειδητοποιήσετε ότι ένας νόμιμος αποστολέας δεν είναι ευθυγραμμισμένος.
Λήθη πολιτικής subdomain. Ένα ισχυρό p=reject με sp=none αφήνει παρακαμπτήριο ανοικτό.
Σπασμένη διεύθυνση αναφοράς. Ένα λανθασμένο rua= (ή ένα που λείπει το πρόθεμα mailto:) σημαίνει ότι οι αναφορές δεν πηγαίνουν πουθενά.
«Δεν στέλνουμε email οπότε θα το παραλείψουμε». Ένα domain μη-αποστολής είναι πρωταρχικός στόχος ακριβώς επειδή κανείς δεν παρακολουθεί.

Σημείωση για τη βαθμολογία

Ο έλεγχος πολιτικής (p=) είναι ένα από τα πιο βαριά-ζυγισμένα στοιχεία σε ολόκληρη την αξιολόγηση — επειδή είναι ο μοναδικός μεγαλύτερος παράγοντας για το αν η επιχείρησή σας μπορεί να πλαστοπροσωποποιηθεί. reject κερδίζει πλήρη βαθμολογία· quarantine κερδίζει περίπου τους μισούς· none και ελλείπουσα εγγραφή βαθμολογούνται ως αποτυχίες.

Ο έλεγχος αναφοράς (rua=) φέρει επίσης πραγματικό βάρος. Ρυθμίστε τον την ίδια στιγμή με την εγγραφή παρακολούθησης, και σας αποπληρώνει με ορατότητα από την πρώτη μέρα.

Ρυθμίστε το στον πάροχό σας

Βήμα προς βήμα για δημοφιλείς παρόχους:

Συχνές Ερωτήσεις

Δεν είμαι καθόλου τεχνικός — είναι αυτό κάτι που μπορώ στ' αλήθεια να χειριστώ;

Ναι, αλλά δεν χρειάζεται να το κάνετε προσωπικά. Η διόρθωση είναι μερικές γραμμές που προστίθενται στις ρυθμίσεις του domain σας, και είναι δωρεάν. Το απλούστερο μονοπάτι είναι να προωθήσετε την ενότητα 'Πώς να το διορθώσετε' παρακάτω σε όποιον εκτελεί τον ιστότοπο ή ΙΤ υποστήριξη σας.

Θα σταματήσει κατά λάθος η ενεργοποίηση DMARC τα δικά μου emails να φτάνουν;

Μπορεί — αλλά μόνο αν παραλείψετε την ασφαλή ανάπτυξη. Ολόκληρος ο σκοπός της έναρξης σε 'monitor only' (p=none) με αναφορές ενεργές είναι να παρακολουθείτε για δύο εβδομάδες και να επιβεβαιώσετε ότι κάθε νόμιμος αποστολέας αναγνωρίζεται σωστά ΠΡΙΝ αλλάξετε σε μπλοκάρισμα.

Έχω ήδη στηθεί SPF και DKIM. Δεν αρκεί αυτό;

Όχι — και αυτό είναι το πιο σημαντικό σημείο για να κατανοήσετε. Το SPF και το DKIM είναι οι κλειδαριές· το DMARC είναι η οδηγία που λέει 'αν οι κλειδαριές δεν ταιριάζουν, αρνήσου το email.' Χωρίς DMARC σε 'reject', ένας αποδεχόμενος server μπορεί να παρατηρήσει ότι ένα email είναι πλαστό και εξακολουθεί να το παραδίδει.

Ποια είναι η διαφορά μεταξύ 'none', 'quarantine' και 'reject'; Ποιο χρειάζομαι;

'none' μόνο παρακολουθεί και αναφέρει — δεν σταματά τίποτα. 'quarantine' στέλνει τα πλαστά στον φάκελο spam. 'reject' τα αρνείται εντελώς. Το 'reject' είναι ο στόχος και η μόνη ρύθμιση που κερδίζει πλήρεις βαθμούς.

Τι είναι αυτό το 'rua' reporting, και το χρειάζομαι;

Το tag rua ζητά από τους παρόχους αλληλογραφίας να σας στέλνουν ημερήσια περίληψη κάθε συστήματος που προσπάθησε να στείλει email ως το domain σας. Έτσι ανακαλύπτουν επιχειρήσεις τους 5 έως 50 μη εξουσιοδοτημένους αποστολείς που καταχρώνται ένα domain από την πρώτη μέρα.

Στέλνουμε ελάχιστα emails, ή δεν στέλνουμε καθόλου από αυτό το domain. Χρειαζόμαστε ακόμα DMARC;

Ειδικά τότε. Ένα domain που στέλνει λίγα ή καθόλου πραγματικά emails είναι ιδανικός, χαμηλού-θορύβου στόχος για εγκληματίες να προσωποποιήσουν. Ένα domain από το οποίο δεν στέλνετε ποτέ αλληλογραφία πρέπει να δημοσιεύει αυστηρή πολιτική reject.