Defaults.Exposed

Defaults.Exposedसुधार › DMARC (ईमेल स्पूफिंग सुरक्षा)

DMARC (ईमेल स्पूफिंग सुरक्षा) को कैसे ठीक करें

DMARC वह एकल सेटिंग है जो वास्तव में दुनिया के मेल प्रदाताओं को आपके व्यवसाय के नाम की नकल करने वाले ईमेल ब्लॉक करने के लिए कहती है। SPF और DKIM ताले जांचते हैं; DMARC तय करता है कि जब एक जाली जांच में विफल हो तो क्या होता है — इसे बिन करें, इसे फ़्लैग करें, या इसे आगे जाने दें। गलत सेट होने पर, आपका डोमेन पूरी तरह से जाली बनाने योग्य है; सही सेट होने पर, प्रतिरूपण इनबॉक्स पर रुक जाता है।

आपके व्यवसाय के लिए मुख्य बात: DMARC enforcement के बिना, एक अपराधी ऐसा ईमेल भेज सकता है जो ठीक आपके व्यवसाय से आया दिखता है — आपके ग्राहकों, कर्मचारियों और आपूर्तिकर्ताओं को — और यह उनके इनबॉक्स में उतरता है, उनके स्पैम में नहीं। लोग आपके नाम पर ठगे जाते हैं, और वे आपको दोष देते हैं।

यह आपको क्या खर्च कर सकता है

यह क्यों मायने रखता है। ईमेल कभी यह साबित करने के लिए नहीं बनाया गया था कि वास्तव में किसने इसे भेजा, और 'from' पते की नकल करना तुच्छ रूप से आसान है। DMARC एकमात्र नियंत्रण है जो 'हम नकली को पहचान सकते हैं' को 'नकली ब्लॉक हो जाती है' में बदलता है।

इसे कैसे ठीक करें, चरण दर चरण

  1. पहले SPF या DKIM लागू करें. DMARC उन पर निर्भर करता है; DMARC लागू करने से पहले सुनिश्चित करें कि कम से कम एक सेटअप और aligned है।
  2. एक monitoring रिकॉर्ड प्रकाशित करें. _dmarc.yourdomain पर v=DMARC1; p=none; rua=mailto:you@yourdomain के साथ एक TXT रिकॉर्ड जोड़ें बिना डिलीवरी प्रभावित किए रिपोर्ट एकत्र करने के लिए।
  3. रिपोर्ट पढ़ें. एक या दो सप्ताह में, aggregate reports का उपयोग करें यह पुष्टि करने के लिए कि आपका सभी वैध मेल पास होता है।
  4. quarantine पर जाएं. एक बार वैध मेल साफ पास होने के बाद, नीति को p=quarantine पर उठाएं ताकि स्पूफ्ड मेल स्पैम में जाए।
  5. reject के साथ लागू करें. अंत में p=reject सेट करें ताकि जाली ईमेल पूरी तरह से मना की जाए — वह सेटिंग जो वास्तव में प्रतिरूपण रोकती है।

इस ग्रेड को गिरने से बचाएं

Domain Watch आपका डोमेन को एक शेड्यूल पर फिर से जांचता है और जैसे ही कुछ भी खराब होता है, आपको तुरंत सतर्क करता है।

Domain Watch से आपका डोमेन की निगरानी करें →

DMARC क्या है, सरल शब्दों में

ईमेल का एक गंदा राज है: “from” पंक्ति केवल टाइप-इन टेक्स्ट है। कोई भी, कहीं से भी, ईमेल के “from” फ़ील्ड में आपका व्यवसाय नाम और पता लिख सकता है और इसे भेज सकता है। इंटरनेट उन्हें रोकने के लिए कभी नहीं बनाया गया था।

तीन सेटिंग हैं जो एक साथ मिलकर इसे ठीक करती हैं:

DMARC प्रवर्तन है। यह ‘हम बता सकते हैं कि यह ईमेल नकली है’ और ‘यह नकली ईमेल कभी आपके ग्राहक तक नहीं पहुंचती’ के बीच का अंतर है।

यह आपको क्या नुकसान पहुंचा सकता है

  1. नकली-चालान घोटाला। एक अपराधी आपके ग्राहक को ऐसा ईमेल करता है जो ठीक आपकी अकाउंट्स टीम के वास्तविक चालान की तरह दिखता है — उनके अपने बैंक विवरण के साथ। ग्राहक भुगतान करता है। पैसा आमतौर पर चला जाता है।

  2. CEO-धोखाधड़ी वायर ट्रांसफर। एक ईमेल आपसे, स्वामी से, आपके वित्त व्यक्ति को आता दिखता है: “क्या आप इस भुगतान को तुरंत आगे बढ़ा सकते हैं?”

  3. खोया अनुबंध। एक गंभीर संभावित ग्राहक हस्ताक्षर करने से पहले एक सुरक्षा जांच चलाता है। उनका टूलिंग रिपोर्ट करता है “डोमेन स्पूफ करने योग्य — कोई ईमेल प्रमाणीकरण enforcement नहीं।”

  4. जो प्रतिष्ठा क्षति आप पूर्ववत नहीं कर सकते। आपका डोमेन एक फ़िशिंग अभियान में शामिल हो जाता है। जो लोग आपके नाम पर ठगे गए वे चेतावनियां और समीक्षाएं पोस्ट करते हैं।

  5. आपका अपना ईमेल स्पैम में जाना। Google और Yahoo अब बिना enforced DMARC के डोमेन से सक्रिय रूप से अविश्वास करते हैं।

यह वास्तव में क्या है

DMARC आपके डोमेन की सेटिंग में टेक्स्ट की एक पंक्ति के रूप में रहता है — एक DNS “TXT” रिकॉर्ड _dmarc.yourdomain पर प्रकाशित। दो चीजें सबसे ज्यादा मायने रखती हैं:

1. नीति (p=) — गार्ड के आदेश:

2. रिपोर्टिंग पता (rua=) — आपकी दृश्यता। rua= टैग हर मेल प्रदाता से आपके डोमेन के रूप में ईमेल भेजने की कोशिश करने वाले व्यक्ति का दैनिक सारांश भेजने के लिए कहता है।

इसे कैसे ठीक करें (मुफ्त, ~30 मिनट दो सप्ताहों में)

इस अनुभाग को जो भी आपके डोमेन, वेबसाइट, या IT प्रबंधित करता है उसे सौंपें — सुधार पूरी तरह मुफ्त है।

स्वर्णिम नियम: कभी सीधे reject पर न जाएं। पहले monitoring चालू करें, रिपोर्ट देखें, पुष्टि करें कि आपका वास्तविक मेल पहचाना जाता है, फिर कसें।

चरण 1 — पहले SPF और DKIM सुनिश्चित करें।

चरण 2 — रिपोर्टिंग के साथ एक monitoring रिकॉर्ड प्रकाशित करें:

चरण 3 — ~2 सप्ताह के लिए रिपोर्ट पढ़ें। कच्चे DMARC रिपोर्ट घने XML हैं। एक मुफ्त रिपोर्टिंग सेवा उपयोग करें (उदाहरण के लिए dmarcian) उन्हें पठनीय डैशबोर्ड में बदलने के लिए।

चरण 4 — quarantine पर जाएं। p=none को p=quarantine में बदलें।

चरण 5 — reject पर जाएं। p=quarantine को p=reject में बदलें:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

चरण 6 — सबडोमेन न भूलें। सुनिश्चित करें कि आपने sp=none नहीं रखा है।

सामान्य गलतियाँ

ग्रेड पर एक नोट

नीति जाँच (p=) पूरे assessment के सबसे भारी-वजन वाले आइटमों में से एक है। reject पूरा स्कोर देता है; quarantine लगभग आधा; none और एक लापता रिकॉर्ड fails के रूप में स्कोर होते हैं।

अपने होस्ट पर इसे सेट करें

लोकप्रिय प्रदाताओं के लिए चरण-दर-चरण:

सामान्य स्थितियाँ

अक्सर पूछे जाने वाले प्रश्न

मैं बिल्कुल भी तकनीकी नहीं हूँ — क्या यह कुछ ऐसा है जो मैं वास्तव में संभाल सकता हूँ?

हाँ, लेकिन आपको इसे व्यक्तिगत रूप से करने की जरूरत नहीं है। सुधार आपके डोमेन की सेटिंग में जोड़ी गई कुछ पंक्तियां हैं, और यह मुफ्त है। सबसे सरल रास्ता नीचे 'इसे कैसे ठीक करें' अनुभाग को जो भी आपकी वेबसाइट या IT समर्थन चलाता है उसे अग्रेषित करना है।

क्या DMARC चालू करने से गलती से मेरे अपने ईमेल डिलीवर होने बंद हो जाएंगे?

यह हो सकता है — लेकिन केवल यदि आप सुरक्षित रोलआउट छोड़ें। 'monitor only' (p=none) पर शुरू करने का पूरा बिंदु यह है कि दो सप्ताह देखें और पुष्टि करें कि हर वैध प्रेषक सही तरीके से पहचाना जाता है। उस क्रम में किया गया, आपका वास्तविक मेल अप्रभावित है।

मेरे पास पहले से SPF और DKIM सेट हैं। क्या वह पर्याप्त नहीं है?

नहीं — और यह समझने के लिए सबसे महत्वपूर्ण बिंदु है। SPF और DKIM ताले हैं; DMARC वह निर्देश है जो कहता है 'यदि ताले मेल नहीं खाते, तो ईमेल अस्वीकार करें।' SPF और DKIM अकेले एक जाली ईमेल को इनबॉक्स तक पहुंचने से नहीं रोकते।

'none', 'quarantine' और 'reject' के बीच क्या अंतर है? मुझे कौन सी चाहिए?

'none' केवल देखता है और रिपोर्ट करता है — यह कुछ नहीं रोकता। 'quarantine' जाली को स्पैम फ़ोल्डर में भेजता है। 'reject' उन्हें पूरी तरह से मना करता है, इसलिए वे कभी नहीं पहुंचते। 'reject' लक्ष्य है।

यह 'rua' रिपोर्टिंग चीज़ क्या है, और क्या मुझे इसकी जरूरत है?

rua टैग मेल प्रदाताओं से आपको आपके डोमेन के रूप में ईमेल भेजने की कोशिश करने वाले हर सिस्टम का दैनिक सारांश भेजने के लिए कहता है — जिसमें अपराधी भी शामिल हैं। यह कैसे व्यवसाय पहले दिन उन 5 से 50 अनधिकृत प्रेषकों की खोज करते हैं।

हम मुश्किल से ईमेल भेजते हैं, या हम इस डोमेन से ईमेल नहीं भेजते। क्या हमें अभी भी DMARC चाहिए?

विशेषकर तब। जो डोमेन कम या कोई वास्तविक ईमेल नहीं भेजता, वह अपराधियों के लिए प्रतिरूपित करने के लिए एक आदर्श, कम-शोर लक्ष्य है। एक डोमेन जिससे आप कभी मेल नहीं भेजते उसे एक सख्त reject नीति प्रकाशित करनी चाहिए।