Defaults.Exposed › Korjaukset › DMARC (Sähköpostin väärentämissuojaus)

Kuinka korjata DMARC (Sähköpostin väärentämissuojaus)

DMARC on se yksi asetus, joka todella käskee maailman sähköpostitoimittajia ESTÄMÄÄN sähköpostit, jotka väärentävät yrityksesi nimen. SPF ja DKIM tarkistavat lukot; DMARC päättää, mitä tapahtuu kun väärennös epäonnistuu tarkistuksessa – roskakoriin, merkitään vai päästetään läpi. Asetettu väärin, verkkotunnuksesi on täysin väärennetivissä; asetettu oikein, tekeytyminen pysähtyy postilaatikkoon.

Lyhyesti liiketoiminnallesi: Ilman DMARC-pakottamista rikollinen voi lähettää sähköpostia, joka näyttää täsmälleen tulevan yritykseltäsi – asiakkaillesi, henkilöstöllesi ja toimittajillesi – ja se laskeutuu postilaatikkoon, ei roskapostiin. Ihmisiä huijataan nimelläsi, ja he syyttävät sinua.

Mitä tämä voi maksaa sinulle

Huijari sähköpostittaa asiakkaillesi oikean näköisen laskun 'kirjanpitotiimiltäsi' heidän omilla pankkitiedoillaan. Asiakas maksaa sen. Saat tietää viikkojen kuluttua, kun he ajavat takaa tavaroita, joista he jo maksoivat – ja pitävät sinua vastuullisena.
Väärennelty 'kiireellinen maksu' -sähköposti menee omalle rahoitushenkilöllesi, näyttäen tulevan sinulta, omistajalta. He siirtävät rahat ennen kuin kukaan ajattelee tarkistaa – ja kun ne laskeutuvat rikollisen tilille, niitä ei lähes koskaan saada takaisin.
Suuren prospektin IT-tiimi suorittaa tietoturvatarkistuksen verkkotunnuksestasi ennen allekirjoittamista. Se tulee takaisin 'sähköpostia ei suojattu – voidaan väärentää'. Menetät sopimuksen kilpailijalle, jonka verkkotunnus läpäisi.
Verkkotunnustasi käytetään tietojenkalasteluallon aikana. Huijatut asiakkaat jättävät vihaisia arvioita ja varoittavat muita. Mainehaitta kestää hyökkäystä kuukausia pidempään.
Jopa omat aidot sähköpostisi alkavat mennä roskapostiin, koska Google ja Yahoo luottavat yhä vähemmän – ja nyt joskus hylkäävät – verkkotunnuksia, joilla ei ole pakotettua DMARCia.

Miksi tällä on merkitystä. Sähköpostia ei koskaan rakennettu todistamaan kuka todella lähetti sen, joten 'lähettäjä'-osoitteen väärentäminen on triviaalia. DMARC on ainoa hallintakeino, joka muuttaa 'pystymme havaitsemaan väärennökset' lauseeksi 'väärennökset estetään' – ja se antaa myös päivittäiset raportit, jotka paljastavat, kuka lähettää sähköpostia brändinäsi. Suuret postilaatikkotoimittajat kohtelevat nyt puuttuvaa tai pakkaamatonta DMARC-politiikkaa luottamussignaalina sinua vastaan, joten tämä vaikuttaa myös siihen, toimitetaanko oma sähköpostisi.

Mitä DMARC on, selkokielellä

Sähköpostissa on likainen salaisuus: “lähettäjä”-rivi on vain kirjoitettua tekstiä. Kukaan, missä tahansa, voi kirjoittaa sinun yrityksesi nimen ja osoitteen sähköpostin “lähettäjä”-kenttään ja lähettää sen. Internetiä ei koskaan suunniteltu estämään heitä.

On kolme asetusta, jotka yhdessä korjaavat tämän. Ajattele niitä rakennuksen turvallisuutena:

SPF on lista siitä, kenellä saa olla etuovessa (mitkä sähköpostipalvelut saavat lähettää sinuna).
DKIM on peukalointivarma sinetti, joka todistaa, että viestiä ei muutettu matkalla.
DMARC on vartija, joka tarkistaa listan ja sinetit – ja ratkaisevasti, päättää, mitä tehdä, kun ne eivät täsmää: päästä läpi, lähettää roskapostiin tai käännyttää ovelta.

Sinulla voi olla lista (SPF) ja sinetti (DKIM) ja silti ei olla vartiota. Se on yksittäisin yleisin ja vaarallisin tilanne: lukot ovat olemassa, mutta mikään ei pakota niitä. DMARC on pakottaminen. Se on ero sen välillä, pystytäänkö tämä sähköposti havaitsemaan väärennetyksi”, ja “tämä väärennelty sähköposti ei koskaan tavoita asiakastasi.”

Mitä tämä voi maksaa yrityksellesi

Tämä ei ole teoreettista. Tässä on konkreettiset tavat, joilla suojaamaton verkkotunnus muuttuu oikeaksi rahaksi ja oikeaksi vahingoksi:

Väärennelty laskuhuijaus. Rikollinen sähköpostittaa asiakkaallesi, mitä näyttää täsmälleen aidolta laskulla kirjanpitotiimiltäsi – sama nimi, sama verkkotunnus, ammattimainen asettelu – mutta heidän omilla pankkitiedoillaan. Koska verkkotunnustasi ei pakoteta, se laskeutuu postilaatikkoon, ei roskapostiin. Asiakas maksaa. Löydät sen viikkojen kuluttua, kun he kysyvät, missä tilauksensa on. Rahat ovat yleensä poissa, ja asiakas usein pitää sinua vastuullisena rikkomuksesta.
Toimitusjohtajan petos / rahasiirto. Sähköposti näyttää tulevan sinulta, omistajalta, rahoitushenkilöllesi: “Voitko laittaa tämän maksun läpi kiireellisesti, olen kokouksessa.” Se näyttää täysin aidolta, koska se on osoitteesi – vain väärennelty. Maksu menee ulos. Tämä kaava – Business Email Compromise – on yksi kalleimmista huijauksista, jotka osuvat pienyrityksiin, täsmälleen koska sähköposti tulee genuinisesti omalta verkkotunnukseltasi, joten se purjehtii suoraan epäilyn ohi.
Menetetty sopimus. Vakava prospekti suorittaa tietoturvan tai hankinnan tarkistuksen ennen allekirjoittamista. Heidän työkalunsa raportoi verkkotunnuksesi “väärennetivissä – ei sähköpostin todennuspakottamista”. Tuo yksi punainen lippu voi riittää antamaan sopimuksen kilpailijalle, jonka verkkotunnus läpäisi. Et koskaan kuule todellista syytä.
Mainehaitta, jota et pysty kumoamaan. Verkkotunnuksesi pyyhkäistään tietojenkalastelukampanjaan. Kymmenet ihmiset, joita huijattiin nimissäsi, julkaisevat varoituksia ja arvioita. Hyökkäys kestää viikon; “onko tämä yritys edes turvallinen?” -kysymys jatkuu kuukausia.
Oma sähköpostisi menee roskapostiin. Google ja Yahoo nyt aktiivisesti epäluottavat verkkotunnuksia, joilla ei ole pakotettua DMARCia. Tarjoukset, laskut ja vastaukset, joita aidosti lähetit, alkavat hiljaa laskeutua roskapostikansioihin. Kaupat pysähtyvät ja et koskaan ymmärrä miksi.

Mitä se oikeasti on (ja miltä “hyvä” näyttää)

DMARC asuu yhtenä tekstitiviinä verkkotunnuksesi asetuksissa – DNS:n “TXT”-tietue julkaistu erityisellä nimellä _dmarc.verkkotunnuksesi. Sisällä on muutama lyhyt ohje. Kaksi niistä on tärkeintä, ja ne ovat täsmälleen kaksi asiaa, joita tämä arviointi tarkistaa.

1. Politiikka (p=) – vartijan käskyt. Tämä on tarkistuksen voimakkaimmin painotettu osa. Se voi olla kolmea asiaa:

p=none – vain tarkkaile. Vartija huomioi, kuka kulki läpi, mutta pysäyttää kukaan. Se ei suojaa sinua lainkaan; se on seurantavaihe, ei valmis asetus. (Moottori pisteytyy tämän epäonnistumiseksi – parempi kuin ei DMARCia lainkaan, mutta ei suojaus.)
p=quarantine – lähetä väärennökset roskapostiin. Todellinen suoja, mutta päättäväinen hyökkääjä pankkaa ihmisten tarkistavan roskapostikansion. Kiinteä välietappi – se ansaitsee noin puolet pisteistä.
p=reject – kieltäydy väärennöksistä ovelta. Väärennelty sähköposti ei koskaan toimiteta. Tämä on ainoa asetus, joka suojaa sinua täysin ja ansaitsee täydet pisteet.

Miltä “hyvä” näyttää: p=reject. Mikään muu ei jätä aukkoa.

Kaksi teknistä yksityiskohtaa, joita tarkistuksemme myös katsoo, kannattaa tietää, jottei jäädä kiinni:

Aliverkkotunnuspolitiikka (sp=). Voit asettaa vahvan politiikan pääverkkotunnuksellesi, mutta vahingossa jättää aliverkkotunnukset (kuten posti.verkkotunnuksesi tai uutiskirje.verkkotunnuksesi) täysin auki. Moottori rankaisee tästä kovasti – verkkotunnus, jolla on p=reject, mutta sp=none, pisteytyy lähelle ilman pakottamista, koska hyökkääjät yksinkertaisesti väärentävät aliverkkotunnuksen. Hyvä käytäntö on antaa sp:n periä vahvan pääpolitiikka, tai asettaa se eksplisiittisesti rejectiksi.
Prosentti (pct=). Huolellisen käyttöoton aikana voit soveltaa pakottamista vain osaan postista (esim. pct=25). Se on laillinen siirtymätyökalu, mutta osittainen käyttöönotto antaa vain osittaisen suojan, ja pisteytys heijastaa tätä – se nousee tasaisesti siirtyessäsi 25%:sta kohti 100%:ia, mutta täydet pisteet vaativat täyden kattavuuden.

2. Raportointiosoite (rua=) – näkyvyytesi. Tämä on toinen tarkistus tällä sivulla. rua=-tunniste pyytää jokaista sähköpostitoimittajaa maailmassa lähettämään sinulle päivittäisen yhteenvedon siitä, kuka yritti lähettää sähköpostia verkkotunnuksenasi – omat järjestelmäsi ja mahdolliset tekeytyjät. Ilman sitä lennät sokeasti: sinulla ei ole aavistustakaan, kuka väärinkäyttää nimeäsi. Sen avulla yritykset löytävät rutiininomaisesti 5–50 luvatonta lähettäjää jo ensimmäisenä päivänä.

Miltä “hyvä” näyttää raportoinnille: kelvollinen rua=mailto:-osoite (tai raportointipalvelun https:-URL), joka todella vastaanottaa raportit. Tarkistuksemme validoi muodon – kirjoitusvirheinen tai huonosti muodostettu osoite tarkoittaa, että raportit menevät hiljaa jonnekin, mikä pisteytyy osittaisena tai epäonnistuneena tuloksena, vaikka tunniste teknisesti “on läsnä.”

Korjausohje (ilmainen, n. 30 minuuttia jaettuna kahteen viikkoon)

Anna tämä osio sille, joka hallinnoi verkkotunnustasi, verkkosivustoasi tai IT:täsi – korjaus on täysin ilmainen. Veloitamme vain valvomaan, että se pysyy oikeana ajan myötä, hallinnoimaan useita verkkotunnuksia tai tarkastukseen. Itse muutos ei maksa mitään.

Kultainen sääntö: älä koskaan hyppää suoraan reject-tilaan. Kytke ensin seuranta päälle, tarkkaile raportteja, vahvista, että todellinen postisi tunnistetaan, sitten tiukenna. Tehtynä tässä järjestyksessä se on turvallista; kiireessä tehtynä se voi roskattaa oman postisi.

Vaihe 1 – Varmista, että SPF ja DKIM ovat ensin paikoillaan. DMARC nojaa niihin. Jos kumpi tahansa puuttuu, lajittele ne ennen DMARCin pakottamista (katso SPF- ja DKIM-sivut).

Vaihe 2 – Julkaise seurantatietue raportoinnin ollessa päällä. Lisää DNS TXT -tietue:

Isäntä / nimi: _dmarc.verkkotunnuksesi (DNS-toimittajasi saattaa näyttää tämän vain _dmarc:nä)
Tyyppi: TXT
Arvo: v=DMARC1; p=none; rua=mailto:dmarc@verkkotunnuksesi; adkim=s; aspf=s

Tämä tarkkailee ja raportoi estämättä mitään vielä. adkim=s; aspf=s-osat pyytävät tiukkaa kohdistamista – jätä ne aluksi pois, jos olet epävarma, ja lisää ne kun postisi on vahvistettu siistiksi.

Vaihe 3 – Lue raportit n. 2 viikkoa. Raa’at DMARC-raportit ovat tiheää XML:ää. Käytä ilmaista raportointipalvelua (esimerkiksi dmarcian tai Postmarkin ilmainen DMARC-työkalu) muuttaaksesi ne luettavaksi kojelaudaksi. Vahvista, että jokainen laillinen lähettäjä – postilaatikkotoimittajasi, uutiskirjetyökalusi, CRM, helppari, laskutussovellus – läpäisee. Korjaa kaikki aidot lähettäjät, jotka eivät.

Vaihe 4 – Siirrä karanteeniin. Kun todellinen postisi on siisti, muuta p=none → p=quarantine. Tarkkaile vielä muutaman päivän.

Vaihe 5 – Siirrä hylkää-tilaan. Muuta lopulta p=quarantine → p=reject. Olet nyt täysin suojattu. Lopullinen tietue näyttää tältä:

v=DMARC1; p=reject; rua=mailto:dmarc@verkkotunnuksesi; adkim=s; aspf=s

Vaihe 6 – Älä unohda aliverkkotunnuksia. Varmista, ettei sinulla ole sp=none paikallaan. Jos et julkaise sp:tä lainkaan, aliverkkotunnukset perivät pää-p=-politiikkasi, mikä on mitä haluat.

Muistiinpanot alustakohtaisesti:

Google Workspace / Microsoft 365: molemmat tukevat täysin DMARCia. DMARC-tietue itse menee DNS-toimittajallesi, ei Googlen tai Microsoftin hallintakonsoliin – varmista, että SPF ja DKIM on käytössä hallintakonsolissa ensin, sitten julkaise DMARC TXT -tietue rekisteröijälläsi/DNS-hostillasi.
Cloudflare: DNS > Tietueet > Lisää tietue > TXT, nimi _dmarc, liitä arvo. Cloudflare tarjoaa myös sisäänrakennettua DMARC-hallintaa, joka voi asettaa tämän ja kerätä raportit puolestasi.
Yleiset hostit / rekisteröijät (GoDaddy jne.): Etsi “DNS”, “DNS-vyöhyke” tai “Edistynyt DNS”, lisää TXT-tietue nimellä _dmarc ja yllä oleva arvo. Leviäminen kestää yleensä muutamista minuuteista tuntiin.

Yleisimmät virheet

Pysähtyminen p=none:een. Ylivoimaisesti yleisin virhe. Seuranta on alku, ei loppu – verkkotunnus, joka on jumissa none:ssa, on edelleen täysin väärennetivissä. Moottori pisteytyy sen epäonnistumiseksi täsmälleen tämän takia.
Suoraan reject-tilaan hyppääminen ilman seurantaa. Vastakkainen virhe. Ilman raportointivaihetta et ehkä ymmärrä, että laillinen lähettäjä (usein uutiskirje tai laskutustyökalu) ei ole kohdistettu – ja alat estää omaa postiasi.
Aliverkkotunnuspolitiikan unohtaminen. Vahva p=reject sp=none:lla jättää sivuoven auki; hyökkääjät yksinkertaisesti väärentävät aliverkkotunnuksen.
Rikkinäinen raportointiosoite. Kirjoitusvirheinen rua= (tai sellainen, josta puuttuu mailto:-etuliite) tarkoittaa, että raportit eivät mene minnekään ja pysyt sokeana sitä tietämättä. Muodon täytyy olla kelvollinen mailto:- tai https:-URI, tai raportit eivät koskaan toimiteta.
“Emme lähetä sähköpostia, joten ohitamme sen.” Lähettämätön verkkotunnus on ensisijainen kohde täsmälleen, koska kukaan ei tarkkaile sitä. Julkaise tiukka reject-politiikka lukitaksesi sen kokonaan.

Huomio pisteytyksestä

Politiikka-tarkistus (p=) on yksi raskaimmista pisteistä koko arvioinnissa – koska se on yksittäisin tekijä siinä, pystytäänkö yrityksesi tekeytymiseen. reject ansaitsee täydet pisteet; quarantine ansaitsee noin puolet; none ja puuttuva tietue pisteytetään epäonnistumisina. Heikompi aliverkkotunnuspolitiikka tai osittainen pct=-käyttöönotto vetää pisteen alas vastaamaan todellista suojaustasoa.

Raportointi-tarkistus (rua=) kantaa myös todellista painoa, mutta ajattele sitä vähemmän ruutuna merkittäväksi ja enemmän välineenä, jolla saavutat reject-tilan turvallisesti. Aseta se samaan aikaan kuin seurantatietueesi, ja se maksaa itsensä takaisin näkyvyydessä jo ensimmäisenä päivänä.

Asenna palveluntarjoajallasi

Vaiheittainen ohje suosituille palveluntarjoajille:

UKK

En ole lainkaan tekninen – voiko tämän oikeasti hoitaa itse?

Kyllä, mutta sinun ei tarvitse tehdä sitä henkilökohtaisesti. Korjaus on pari riviä lisättynä verkkotunnuksesi asetuksiin, ja se on ilmainen. Yksinkertaisin polku on lähettää alla oleva 'Korjausohje' sille, joka pyörittää verkkosivustoasi tai IT-tukeasi. Se vie heiltä tyypillisesti selvästi alle tunnin, jaettuna parin viikon turvalliseen seurantaan.

Estääkö DMARCin käyttöönotto vahingossa omien sähköpostieni lähettämisen?

Se voi – mutta vain jos ohitat turvallisen käyttöoton. Koko piste aloittamisessa 'vain seuranta' -tilassa (p=none) raportoinnin ollessa päällä on katsoa kahden viikon ajan ja vahvistaa, että jokainen laillinen lähettäjä (postilaatikkosi, uutiskirjetyökalusi, laskutussovelluksesi) on oikein tunnistettu ENNEN kuin vaihdat estämiseen. Tehtynä tässä järjestyksessä, todellinen postisi on ei vaikutunut. Suoraan 'hylkää'-tilaan hyppääminen tarkistamatta raportteja on yksi yleinen virhe, joka rikkoo toimituksen.

Minulla on jo SPF ja DKIM asetettu. Eikö se riitä?

Ei – ja tämä on tärkein ymmärrettävä kohta. SPF ja DKIM ovat lukot; DMARC on ohje, joka sanoo 'jos lukot eivät täsmää, kieltäydy sähköpostista.' Ilman DMARCia 'hylkää'-tilassa vastaanottava palvelin saattaa huomata sähköpostin olevan väärennelty ja silti toimittaa sen. SPF ja DKIM ovat ennakkoedellytyksiä DMARCin toimimiselle, mutta yksinään ne eivät estä väärenneltyä sähköpostia tavoittamasta postilaatikkoa.

Mitä eroa on 'none':lla, 'quarantine':lla ja 'reject':lla? Mitä tarvitsen?

'none' vain tarkkailee ja raportoi – se ei pysäytä mitään, joten se ei suojaa sinua. 'quarantine' lähettää väärennökset roskapostikansioon. 'reject' kieltäytyy niistä suoraan, joten ne eivät koskaan saavu. 'reject' on tavoite ja ainoa asetus, joka ansaitsee täydet pisteet. 'quarantine' on kohtuullinen välietappi; 'none' on lähtökohta ensimmäisille parille viikolle, ei kohde.

Mikä tuo 'rua'-raportointi on, ja tarvitsenko sen?

rua-tunniste pyytää sähköpostitoimittajia lähettämään sinulle päivittäisen yhteenvedon jokaisesta järjestelmästä, joka yritti lähettää sähköpostia verkkotunnuksenasi – rikollisia mukaan lukien. Se on tapa, jolla yritykset havaitsevat ensimmäisenä päivänä tyypillisesti 5–50 luvatonta lähettäjää, jotka väärinkäyttävät verkkotunnusta. Yksinään se kantaa vähemmän painoa kuin politiikka, mutta se on tapa, jolla siirryt turvallisesti 'hylkää'-tilaan rikkomatta todellista postiasi, joten aseta se samaan aikaan.

Lähetämme vain vähän sähköpostia tai emme lähetä sähköpostia tältä verkkotunnukselta lainkaan. Tarvitsemmeko silti DMARCin?

Erityisesti silloin. Verkkotunnus, joka lähettää vähän tai ei yhtään todellista sähköpostia, on täydellinen, vähämelullinen kohde rikollisille tekeytymiseen, koska kukaan ei tarkkaile sitä. Verkkotunnus, josta et koskaan lähetä sähköpostia, tulisi julkaista tiukan hylkäyspolitiikan kanssa – se on siisti, pieniriskinen voitto, joka sulkee oven kokonaan.