Defaults.Exposed › Parandused › DMARC (meilispuufimise kaitse)

Kuidas parandada DMARC (meilispuufimise kaitse)

DMARC on üks seadistus, mis tegelikult ütleb maailma meilipakkujatele BLOKKIDA meilid, mis võltsivad teie ettevõtte nime. SPF ja DKIM kontrollivad lukke; DMARC otsustab, mis juhtub, kui võltsimine kontrolli läbi kukkub — prahistage see, märkige see, või lasege see läbi. Valesti seadistatud, on teie domeen täielikult võltsitatav; õigesti seadistatud, peatub isikustamine postkastis.

Põhijareldus sinu ettevõttele: Ilma DMARC-i jõustamata saab kurjategija saata meili, mis näeb välja täpselt nagu see tuli teie ettevõttelt — teie klientidele, töötajatele ja tarnijatele — ning see maandub nende postkastis, mitte rämpsposti. Inimesed saavad teie nimel petetud, ning nad süüdistavad teid.

Mida see sulle maksab

Pettur meilib teie kliendile päriselt väljamineva arve 'teie raamatupidamise meeskonnalt' oma pangaandmetega. Klient maksab selle. Saate sellest teada nädalaid hiljem, kui nad jahivad kaupu, mille eest nad juba maksid — ning nad peavad teid vastutavaks.
Võlts 'kiireloomuline makse' meil läheb teie oma finantsinimesele, näides tulevat teilt, omanikult. Nad kantivad raha üle enne, kui keegi mõtleb topelt kontrollida — ning niipea kui see kurjategija kontole maandub, taastatakse see peaaegu kunagi.
Suurema potentsiaalse kliendi IT-meeskond teeb turvakontrolli teie domeenis enne allkirjastamist. See tuleb tagasi 'meil kaitsmata — saab võltsida.' Kaotate tehingu konkurendile, kelle domeen läbis.
Teie domeeni kasutatakse andmepüügikampaanias. Kliendid, kes on meelitatud, jätavad vihased arvustused ja hoiatavad teisi. Mainekahju elab rünnakust kuude kaupa üle.
Isegi teie ehtsad meilid hakkavad rämpsposti saama, kuna Google ja Yahoo usaldusvad üha vähem — ja nüüd mõnikord lükkavad tagasi — domeene, millel pole jõustatud DMARC-i.

Miks see on oluline. Meili polnud kunagi ehitatud tõestama, kes selle tegelikult saatis, nii et 'saatja' aadressi võltsimine on triviaalne. DMARC on ainus kontroll, mis muudab 'saame võltsimisi tuvastada' 'võltsimised blokeeritakse' — ning see annab teile ka päevaaruanded, mis paljastavad, kes meili saadab teie kaubamärgina. Suured postkastipakkujad käsitlevad nüüd puuduva või jõustamata DMARC-i poliitika usaldussignaalina teie vastu, nii et see mõjutab ka seda, kas teie enda meil toimetatakse.

Mis DMARC on lihtsas keeles

Meilil on räpane saladus: “saatja” rida on lihtsalt sisestatud tekst. Igaüks, kõikjal, saab kirjutada teie ettevõtte nime ja aadressi meili “saatja” väljale ja seda saata. Internetti ei kavandatud kunagi neid peatama.

On kolm seadistust, mis koos selle parandavad. Mõelge neist kui hoone turvalisusest:

SPF on nimekiri, kellel on lubatud esiuksest siseneda (millised meiliteenused saavad saata teie nimel).
DKIM on rikkumiskindel pitsat, mis tõestab, et sõnum ei muutunud transiidi ajal.
DMARC on turvavalve, kes kontrollib nimekirja ja pitsatit — ja olulisel viisil, otsustab, mida teha, kui need ei ühti: laseda see läbi, saata rämpsposti, või pöörduda ukse juurest tagasi.

Teil võib olla nimekiri (SPF) ja pitsat (DKIM) ja ikka mitte valvet. See on üksainus kõige levinum ja kõige ohtlikum olukord: lukud eksisteerivad, kuid miski neid ei jõusta. DMARC on jõustamine. See on vahe “me suudame tuvastada, et see meil on võltsitud” ja “see võltsitud meil ei jõua kunagi teie kliendini” vahel.

Mida see võib teile maksma minna

See pole teoreetiline. Siin on konkreetsed viisid, kuidas kaitsmata domeen muutub päriseks rahaks ja päriseks kahjustuseks:

Võltsuarve pettus. Kurjategija meilib teie kliendile, mis näeb välja täpselt nagu ehtne arve teie raamatupidamise meeskonnalt — sama nimi, sama domeen, professionaalne paigutus — kuid oma pangaandmetega. Kuna teie domeeni pole jõustatud, maandub see postkastis, mitte rämpsposti. Klient maksab. Avastate selle nädalaid hiljem, kui nad küsivad, kus on nende tellimus. Raha on tavaliselt läinud, ning klient peab sageli teid vastutavaks rikkumise eest.
CEO-pettuse pangaülekanne. Meil näib tulevat teilt, omanikult, teie finantsinimesele: “Kas saate selle makse kiireloomuliselt läbi lükata, olen koosolekul.” See näeb täiesti päris välja, kuna on teie aadress — lihtsalt võltsitud. Makse läheb välja. See muster — ettevõtte meilipettus — on üks kulukamaid pettusi, mis tabab väikeettevõtteid, täpselt kuna meil genuiinselt tuleb teie oma domeenilt, nii et see sõidab otse kahtluse mööda.
Kaotatud leping. Tõsine potentsiaalne klient teeb enne allkirjastamist turva- või hanke kontrolli. Nende tööriistamine teatab teie domeeni kui “võltsitav — meili autentimine puudub.” See üksainus punane lipp võib piisata lepingu andmiseks konkurendile, kelle domeen läbis. Te ei kuule kunagi isegi tegelikku põhjust.
Mainemajandus, mida te ei saa tagasi võtta. Teie domeen pühitakse andmepüügikampaaniasse. Kümneid inimesi, kes petusid teie nimel, postitavad hoiatusi ja arvustusi. Rünnak kestab nädala; “kas see ettevõte on isegi turvaline?” küsimus kestab kuud.
Teie enda meil läheb rämpsposti. Google ja Yahoo usaldusvad aktiivselt domeene, millel pole jõustatud DMARC. Teile genuiinselt saadetud pakkumised, arved ja vastused hakkavad vaikselt rämpsposti kaustadesse jõudma. Tehingud seisavad ja te ei saa kunagi teada, miks.

Mis see tegelikult on (ja mis näeb välja “hea”)

DMARC elab ühe tekstireal teie domeeni seadetes — DNS “TXT” kirje avaldatuna spetsiaalse nimega _dmarc.teiedomeen. Selle sees on mõned lühijuhised. Kaks nendest loevad kõige rohkem, ning need on täpselt need kaks asja, mida see hindamine kontrollib.

1. Poliitika (p=) — valvuri korraldused. See on kontrolli tugevaima kaaluga osa. See võib olla üks kolmest asjast:

p=none — ainult vaatamine. Valvur märgib, kes läks, kuid ei peata kedagi. See ei kaitse teid millegi eest; see on jälgimise etapp, mitte lõpetatud seadistus. (Meie mootor hindab selle ebaõnnestumisena — parem kui DMARC puudumine üldse, kuid mitte kaitse.)
p=quarantine — saada võltsimised rämpsposti. Päris kaitse, kuid kindlustunud ründaja loodab, et inimesed kontrollivad oma rämpsposti kausta. Kindel vahesamm — see teenib ligikaudu pooled hinned.
p=reject — keeldu võltsimistest uksele. Võltsitud meil ei toimetata kunagi. See on ainus seadistus, mis kaitseb teid täielikult ja teenib täishinne.

Mis näeb välja “hea”: p=reject. Kõik vähem jätab lünga.

Kaks tehnilist üksikasja, mida meie kontroll samuti vaatab, on väärt teadmist, et teid ei tabataks nende peale:

Alamdomeeni poliitika (sp=). Saate seada tugeva poliitika oma põhidomeeni jaoks, kuid kogemata jätta alamdomeenid (nagu mail.teiedomeen või uudised.teiedomeen) lahti. Meie mootor karistab seda tugevalt — domeen koos p=reject-iga, kuid sp=none-ga hinnatakse lähedale sellele, et pole üldse jõustamist, kuna ründajad lihtsalt võltsivad alamdomeeni. Hea tava on lasta sp-l pärida oma tugev põhipoliitika, või seada see selgesõnaliselt reject-ile.
Protsent (pct=). Hoolika juurutamise ajal saate rakendada jõustamist ainult osale meili (nt pct=25). See on legitiimne üleminekutööriist, kuid osaline juurutamine annab ainult osalise kaitse, ning meie skoor peegeldab seda — see tõuseb pidevalt, kui liigute 25%-lt 100%-le, kuid täishinned vajavad täielikku katvust.

2. Aruandluse aadress (rua=) — teie nähtavus. See on teine kontroll sellel lehel. rua= märgend küsib igalt meilipakkujalt maailmas saata teile igapäevane kokkuvõte sellest, kes üritas saata meili teie domeenina — teie enda süsteemid ja kõik isikustajad. Ilma selleta lendaksite pimeda silma all: teil pole aimu, kes teie nime kuritarvitab. Sellega avastavad ettevõtted rutiinselt 5 kuni 50 volitamata saatjat päris esimesel päeval.

Mis näeb välja “hea” raporteerimiseks: kehtiv rua=mailto: aadress (või raporteerimisteenus https: URL), mis tegelikult saab aruandeid. Meie kontroll kinnitab formaati — valesti kirjutatud või valesti moodustatud aadress tähendab, et aruanded lähevad vaikselt kuhugi, mis hinnatakse osalise või ebaõnnestunud tulemusena, isegi kui märgend on tehniliselt “kohal.”

Kuidas seda parandada (tasuta, ~30 minutit jagatuna kahe nädala peale)

Andke see jaotis teie domeeni, veebisaiti või IT-i haldavale isikule — parandus on täiesti tasuta. Me küsime tasu ainult jälgimiseks, et see jääb õigeks aja jooksul, domeenide portfelli haldamiseks, või auditi jaoks. Muudatus ise ei maksa midagi.

Kuldreegel: ärge kunagi hüpake otse reject-ile. Lülitage esmalt jälgimine sisse, vaadake aruandeid, kinnitage, et teie pärismeili on ära tuntud, seejärel kitsendage. Selles järjestuses tehes on see ohutu; kiirustatult tehes võib see prahistada teie enda meili.

Samm 1 — Veenduge, et SPF ja DKIM on esmalt paigas. DMARC tugineb neile. Kui kumbki puudub, korraldage need enne DMARC jõustamist (vt SPF ja DKIM lehed).

Samm 2 — Avaldage jälgimiskirje koos raporteerimisega. Lisage DNS TXT kirje:

Host / nimi: _dmarc.teiedomeen (teie DNS-pakkuja võib seda kuvada lihtsalt kui _dmarc)
Tüüp: TXT
Väärtus: v=DMARC1; p=none; rua=mailto:dmarc@teiedomeen; adkim=s; aspf=s

See jälgib ja teatab, blokeerimata midagi praegu. adkim=s; aspf=s osad küsivad ranget joondamist — jätke need esialgu välja, kui pole kindel, ja lisage, kui teie meil on kinnitatud puhtaks.

Samm 3 — Lugege aruandeid ~2 nädalat. Toored DMARC aruanded on tihedad XML. Kasutage tasuta raporteerimisteenus (nt dmarcian või Postmark-i tasuta DMARC tööriist) nende loetavaks armatuurlauaks muutmiseks. Kinnitage, et iga legitiimne saatja — teie postkastipakkuja, uudiskirja tööriist, CRM, tugikeskus, arvelduse rakendus — läbib. Parandage mis tahes päriselt saatja, mis ei läbi.

Samm 4 — Liikuge karantiini. Niipea kui teie pärismail on puhas, muutke p=none → p=quarantine. Jälgige veel mõni päev.

Samm 5 — Liikuge tagasilükkamisele. Lõpuks muutke p=quarantine → p=reject. Nüüd olete täielikult kaitstud. Lõplik kirje näeb välja nii:

v=DMARC1; p=reject; rua=mailto:dmarc@teiedomeen; adkim=s; aspf=s

Samm 6 — Ärge unustage alamdomeene. Veenduge, et pole sp=none paikka jäänud. Kui ei avalda üldse sp-d, pärivad alamdomeenid teie peamise p= poliitika, mis on see, mida soovite.

Märkused levinud platvormi kohta:

Google Workspace / Microsoft 365: mõlemad toetavad täielikult DMARC-i. DMARC kirje ise läheb teie DNS-pakkujasse, mitte Google’i ega Microsofti adminikeskusesse — veenduge, et SPF ja DKIM on adminikeskuses lubatud esmalt, seejärel avaldage DMARC TXT kirje oma registraatoris/DNS-hostis.
Cloudflare: DNS > Kirjed > Lisa kirje > TXT, nimi _dmarc, kleepige väärtus. Cloudflare pakub ka sisseehitatud DMARC haldust, mis saab selle seadistada ja aruandeid koguda teie eest.
Levinud hostid / registraatorid (GoDaddy jne): otsige “DNS”, “DNS tsoon” või “Täiustatud DNS”, lisage TXT kirje nimega _dmarc ja ülaloleva väärtusega. Levimine võtab tavaliselt mõne minuti kuni tunni.

Levinud vead

Peatumine p=none-il. Kõige levinum viga kaugelt. Jälgimine on algus, mitte lõpp — domeen, mis on kinni none-il, on ikka täielikult võltsitatav. Meie mootor hindab seda ebaõnnestumisena täpselt sel põhjusel.
Otse reject-ile hüppamine jälgimiseta. Vastupidine viga. Ilma raporteerimise etapita ei pruugi te mõista, et legitiimne saatja (sageli uudiskirja või arvelduse tööriist) pole joondatud — ning hakkate oma meili blokeerima.
Alamdomeeni poliitika unustamine. Tugev p=reject koos sp=none-ga jätab kõrvalsisiku ukse lahti; ründajad lihtsalt võltsivad alamdomeeni.
Katki aruandluse aadress. Valesti kirjutatud rua= (või mailto: prefiksi puudumine) tähendab, et aruanded lähevad kuhugi ja jääte pimedaks ilma mõistmata. Formaat peab olema kehtiv mailto: või https: URI, muidu aruandeid ei toimetata kunagi.
“Me ei saada meili, nii et jätame selle vahele.” Mittetuliköitev domeen on tippsihkmark täpselt kuna keegi ei vaata. Avaldage range reject poliitika selle täielikuks lukustamiseks.

Hindamismärkus

Poliitika kontroll (p=) on üks raskemalt kaalutud üksuseid kogu hindamises — kuna see on kõige suurem tegur selles, kas teie ettevõte saab isikustada. reject teenib täisskoori; quarantine teenib ligikaudu pool; none ja puuduv kirje hinnatakse ebaõnnestumistena. Nõrgem alamdomeeni poliitika või osaline pct= juurutamine tõmbab skoori alla, et vastata tegelikule kaitsele, mis teil tegelikult on.

Raporteerimise kontroll (rua=) kannab samuti reaalset kaalu, kuid mõelge sellest vähem linnukesest tikkimisena ja rohkem tööriistad, mis lubab teil jõuda reject-ile ohutult. Seadistage see samal ajal kui oma jälgimiskirje, ja see tasub end ära nähtavusega päeva üks.

Seadista oma majutuses

Samm-sammult populaarsete teenusepakkujate jaoks:

KKK

Ma pole üldse tehniline — kas see on midagi, millega saan tegelikult hakkama?

Jah, kuid ei pea seda isiklikult tegema. Parandus on paar rida teie domeeni seadetes ja on tasuta. Lihtsaim tee on edastada allolev 'Kuidas seda parandada' jaotis teie veebisaiti või IT-tuge haldavale isikule. See võtab neilt tavaliselt alla tunni, jagatuna kahe nädala peale turvaliset jälgimist.

Kas DMARC-i sisselülitamine võib kogemata peatada minu oma meilide läbipääsu?

Võib — kuid ainult siis, kui jätate ohutu juurutamise vahele. Kogu punkt alustamisest 'ainult monitor' (p=none) koos raporteerimisega on vaadata kaks nädalat ning kinnitada, et iga legitiimne saatja (teie postkast, teie uudiskirja tööriist, teie arvelduse rakendus) on korrektselt ära tuntud ENNE lülitumist blokeerimisele. Selles järjestuses tehtes on teie päris meil mõjutamata. Otse 'tagasilükka' ruttamine ilma aruandeid kontrollimata on üks levinud viga, mis lõhub edastamise.

Mul on juba SPF ja DKIM seadistatud. Kas see pole piisav?

Ei — ning see on kõige olulisem punkt mõistmiseks. SPF ja DKIM on lukud; DMARC on juhis, mis ütleb 'kui lukud ei sobitu, keeldu meili'. Ilma DMARC-ita 'tagasilükkamise' juures võib vastuvõttev server märgata, et meil on võltsitud ja ikka selle toimetada. SPF ja DKIM on DMARC tööle panemise eeldused, kuid üksi ei peata võltsitud meili postkasti jõudmisest.

Mis vahe on 'none', 'quarantine' ja 'reject' vahel? Millist vajan?

'none' ainult jälgib ja teatab — see ei peata midagi, nii et see ei kaitse teid. 'quarantine' saadab võltsimisi rämpsposti kausta. 'reject' keeldub neist täielikult, nii et need ei saabu kunagi. 'reject' on eesmärk ja ainus seadistus, mis teenib täishinnet. 'quarantine' on mõistlik vahesamm; 'none' on lähtepunkt esimesteks kaheks nädalaks, mitte sihtkoht.

Mis on see 'rua' raporteerimise asi, ja kas vajan seda?

rua märgend küsib meilipakkujatelt saata teile igapäevane kokkuvõte igast süsteemist, mis üritas saata meili teie domeenina — sealhulgas kurjategijad. Nii avastavad ettevõtted päeval üks 5 kuni 50 volitamata saatjat domeeni kuritarvitamist. Iseenesest kannab see vähem kaalu kui poliitika, kuid see on see, kuidas 'tagasilükka' juurde liikuda ohutult ilma päriselus meili lõhkumata, nii et seadistage see samal ajal.

Me vaevalt saadame meili, või ei saada üldse meili sellelt domeenilt. Kas vajame ikka DMARC-i?

Eriti siis. Domeen, mis saadab vähe või üldse mitte päriselus meili, on täiuslik, madala müraga sihtmärk kurjategijatele isikustavamiseks, kuna keegi ei vaata. Domeenilt, mida te kunagi meili ei saada, peaks avaldama ranget tagasilükkamise poliitikat — see on puhas, madalriskiline võit, mis sulgeb ukse täielikult.