Defaults.Exposed › Ispravci › DMARC (Zaštita od lažiranja e-pošte)

Kako popraviti DMARC (Zaštita od lažiranja e-pošte)

DMARC je jedna postavka koja zapravo govori svjetskim pružateljima e-pošte da BLOKIRAJU e-poštu koja krivotvori naziv vašeg poduzeća. SPF i DKIM provjeravaju brave; DMARC odlučuje što se dogodi kad krivotvorina ne prođe provjeru — spremi je, označi ili propusti. Pogrešno postavljeno, vaša domena je potpuno lažljiva; ispravno postavljeno, lažno predstavljanje staje u sandučiću.

Zaključak za vaše poslovanje: Bez DMARC provedbe, kriminalac može slati e-poštu koja izgleda točno kao da dolazi od vašeg poduzeća — vašim klijentima, osoblju i dobavljačima — i sletne u njihov sandučić, ne spam. Ljudi bivaju prevareni u vaše ime, i okrivljuju vas.

Što vas ovo može koštati

Prevarant vaš klijent pošalje realistično-izgledajući račun 'od vašeg tima za računovodstvo' s vlastitim bankovnim podacima. Klijent ga plati. Saznate tjednima later kad traže robu za koju su već platili — i drže vas odgovornim.
Lažna 'hitna uplata' e-pošta odlazi vašoj vlastitoj financijskoj osobi, navodno od vas, vlasnika. Doznačuju novac prije nego itko pomisli dvaput provjeriti — a kad novac sletne na kriminalčev račun, gotovo se nikad ne oporavi.
Sigurnosni tim velikog potencijalnog partnera provede sigurnosnu provjeru vaše domene prije potpisa. Vraća se 'e-pošta nije zaštićena — može se lažirati'. Gubite dogovor konkurentu čija domena je prošla.
Vaša domena bude korištena u phishing valu. Klijenti koji su bili prevareni ostavljaju ljutite recenzije i upozoravaju druge. Reputacijska šteta nadmašuje napad za mjesece.
Čak i vaša genuina e-pošta počinje biti bacana u smeće, jer Google i Yahoo sve više ne vjeruju — i sad ponekad odbijaju — domene bez provedene DMARC politike.

Zašto je to važno. E-pošta nikad nije bila izgrađena da dokaže tko ju je zapravo poslao, pa je krivotvorenje 'from' adrese trivijalno. DMARC je jedina kontrola koja pretvara 'možemo detektirati krivotvorine' u 'krivotvorine bivaju blokirane' — i daje vam i dnevne izvještaje koji otkrivaju tko šalje poštu kao vaš brend. Veliki pružatelji sandučića sada nedostajuću ili neprovedenu DMARC politiku tretiraju kao signal nepovjerenja prema vama, pa ovo utječe i na to je li vaša vlastita e-pošta isporučena.

Što je DMARC, jednostavnim riječima

E-pošta ima prljavu tajnu: redak “from” je samo upisani tekst. Bilo tko, bilo gdje, može upisati vaše ime poduzeća i adresu u polje “from” e-pošte i poslati je. Internet nikad nije bio dizajniran da ih zaustavi.

Postoje tri postavke koje zajedno ovo popravljaju. Zamislite ih kao sigurnost zgrade:

SPF je popis tko smije ući na ulazna vrata (koje mail usluge smiju slati kao vi).
DKIM je pečat zaštićen od nedozvoljenih promjena koji dokazuje da poruka nije bila izmijenjena u prijenosu.
DMARC je čuvar koji provjerava popis i pečat — i, ključno, odlučuje što napraviti kad se ne podudaraju: propustiti, poslati u spam ili odbiti na ulazu.

Možete imati popis (SPF) i pečat (DKIM) i i dalje nemati čuvara. To je najčešća i najopasnija situacija: brave postoje, ali ništa ih ne provodi. DMARC je provedba. To je razlika između “možemo reći da je ova e-pošta lažna” i “ova lažna e-pošta nikad ne doseže vašeg klijenta.”

Što vas ovo može koštati

Ovo nije teorijsko. Evo konkretnih načina na koje nezaštićena domena postaje pravi novac i prava šteta:

Prevara s lažnim računom. Kriminalac vaš klijent pošalje ono što izgleda točno kao genuini račun od vašeg tima za računovodstvo — isto ime, ista domena, profesionalni izgled — ali s vlastitim bankovnim podacima. Jer vaša domena nije provedena, sletne u sandučić, ne spam. Klijent plati. Otkrijete tjednima kasnije kad pitaju gdje je njihova narudžba. Novac je obično nestao, a klijent vas često drži odgovornim za kršenje.
CEO-prijevara bankovnim prijenosom. E-pošta naizgled dolazi od vas, vlasnika, vašoj financijskoj osobi: “Možeš li provesti ovu uplatu hitno, na sastanku sam.” Izgleda potpuno stvarno jer jest vaša adresa — samo krivotvorena. Uplata ide van. Ovaj uzorak — Business Email Compromise — jedna je od najskupljih prijevara koje pogađaju mala poduzeća, upravo jer e-pošta genuinno dolazi s vaše vlastite domene, pa plovi ravno pored sumnje.
Izgubljeni ugovor. Ozbiljni potencijalni partner provede sigurnosnu ili nabavnu provjeru prije potpisa. Njihov alat izvještava vašu domenu kao “lažljiva — nema provedbe autentifikacije e-pošte.” Ta jedna crvena zastava može biti dovoljna da se ugovor dodijeli konkurentu čija domena je prošla. Nikad ne čujete pravi razlog.
Reputacijski udarac koji ne možete poništiti. Vaša domena bude uvučena u phishing kampanju. Deseci koji su bili prevareni u vaše ime objavljuju upozorenja i recenzije. Napad traje tjedan; pitanje “je li ova tvrtka sigurna?” traje mjescima.
Vaša vlastita e-pošta odlazi u spam. Google i Yahoo sada aktivno ne vjeruju domenama bez provedene DMARC politike. Ponude, fakture i odgovori koje ste genuinno poslali počinju tiho sletati u spam mape. Dogovori staju i nikad ne saznate zašto.

Što je to zapravo (i kako izgleda ‘dobro’)

DMARC živi kao jedan redak teksta u postavkama vaše domene — DNS “TXT” zapis objavljen na specijalnom imenu _dmarc.vasadomena. Unutar njega su par kratkih uputa. Dvije su najvažnije i točno su dvije stvari koje ova procjena provjerava.

1. Politika (p=) — naredbe čuvara. Ovo je jako-ponderiran dio provjere. Može biti jedna od tri:

p=none — samo promatraj. Čuvar bilježi tko je prošao ali ne zaustavlja nikoga. Ovo vas ni od čega ne štiti; to je faza praćenja, ne završena konfiguracija. (Naš mehanizam ovo boduje kao neuspjeh — bolje od nikakvog DMARC-a, ali nije zaštita.)
p=quarantine — šalji krivotvorine u spam. Prava zaštita, ali odlučan napadač računa da će se netko usuditi provjeriti spam mapu. Razumna međustanica — zarađuje otprilike pola bodova.
p=reject — odbij krivotvorine na ulazu. Krivotvorena e-pošta se nikad ne isporučuje. To je jedina postavka koja vas potpuno štiti i zarađuje pune bodove.

Kako izgleda ‘dobro’: p=reject. Bilo što manje ostavlja prazninu.

Dva tehnička detalja koja naša provjera i gleda, vrijedi znati da vas ne uhvate nespremne:

Politika poddomena (sp=). Možete postaviti snažnu politiku za svoju glavnu domenu ali slučajno ostaviti poddomene (poput mail.vasadomena ili news.vasadomena) potpuno otvorene. Naš mehanizam ovo strogo kažnjava — domena s p=reject ali sp=none boduje se blizu kao da nema provedbe uopće, jer napadači će jednostavno lažirati poddomenu umjesto toga. Dobra praksa je pustiti sp da naslijedi vašu snažnu glavnu politiku, ili ga eksplicitno postaviti na reject.
Postotak (pct=). Tijekom pažljivog uvođenja možete primijeniti provedbu samo na dio e-pošte (npr. pct=25). To je legitimni alat za prijelaz, ali djelomično uvođenje daje samo djelomičnu zaštitu i naša ocjena to odražava — raste postupno dok se pomičete od 25% prema 100%, ali puni bodovi trebaju punu pokrivenost.

2. Adresa za izvještavanje (rua=) — vaša vidljivost. Ovo je druga provjera na ovoj stranici. Oznaka rua= traži od svakog pružatelja e-pošte na svijetu da vam pošalje dnevni sažetak tko je pokušao slati e-poštu kao vaša domena — vaši vlastiti sustavi i svaki lažni predstavnici. Bez nje letite slijepo: nemate pojma tko zloupotrebljava vaše ime. S njom, poduzeća rutinski prvog dana otkrivaju između 5 i 50 neovlaštenih pošiljatelja.

Kako izgleda ‘dobro’ za izvještavanje: valjana rua=mailto: adresa (ili URL usluge izvještavanja) koja zapravo prima izvještaje. Naša provjera validira format — pogrešno upisana ili deformirana adresa znači da izvještaji tiho idu nigdje, što boduje kao djelomičan ili neuspjeli rezultat čak i ako je oznaka tehnički “prisutna.”

Kako to popraviti (besplatno, ~30 minuta raspoređeno na dva tjedna)

Proslijedite ovaj odjeljak onome tko upravlja vašom domenom, web stranicom ili IT-om — popravak je potpuno besplatan. Naplaćujemo samo za praćenje da ostane ispravno kroz vrijeme, upravljanje portfoliom domena ili reviziju. Sama promjena ne košta ništa.

Zlatno pravilo: nikad ne skačite ravno na reject. Najprije uključite praćenje, promatrajte izvještaje, potvrdite da je vaša prava e-pošta prepoznata, zatim stegnite. Napravljeno tim redom je sigurno; napravljeno u žurbi može baciti vašu vlastitu e-poštu u smeće.

Korak 1 — Osigurajte da su SPF i DKIM prvo na mjestu. DMARC se na njih oslanja. Ako ijedan nedostaje, to sredite prije provedbe DMARC-a (vidi SPF i DKIM stranice).

Korak 2 — Objavite zapis za praćenje s uključenim izvještavanjem. Dodajte DNS TXT zapis:

Host / naziv: _dmarc.vasadomena (vaš DNS pružatelj ovo može prikazivati samo kao _dmarc)
Tip: TXT
Vrijednost: v=DMARC1; p=none; rua=mailto:dmarc@vasadomena; adkim=s; aspf=s

Ovo promatra i izvještava bez blokiranja ičega još. Dijelovi adkim=s; aspf=s zahtijevaju strogo poravnanje — izostavite ih u početku ako niste sigurni i dodajte ih jednom kad vaša e-pošta bude potvrđeno čista.

Korak 3 — Čitajte izvještaje ~2 tjedna. Sirovi DMARC izvještaji su gusti XML. Koristite besplatnu uslugu izvještavanja (na primjer dmarcian ili Postmarkov besplatni DMARC alat) da ih pretvorite u čitljivu nadzornu ploču. Potvrdite da svaki legitimni pošiljatelj — vaš pružatelj sandučića, alat za biltene, CRM, helpdesk, aplikacija za fakturiranje — prolazi. Popravite svaki genuini pošiljatelj koji ne prolazi.

Korak 4 — Prijeđite na quarantine. Jednom kad je vaša prava e-pošta čista, promijenite p=none na p=quarantine. Pratite još nekoliko dana.

Korak 5 — Prijeđite na reject. Na kraju promijenite p=quarantine na p=reject. Sada ste potpuno zaštićeni. Konačni zapis izgleda ovako:

v=DMARC1; p=reject; rua=mailto:dmarc@vasadomena; adkim=s; aspf=s

Korak 6 — Ne zaboravite poddomene. Osigurajte da niste ostavili sp=none na snazi. Ako uopće ne objavljujete sp, poddomene nasljeđuju vašu glavnu p= politiku, što je ono što želite.

Napomene po uobičajenoj platformi:

Google Workspace / Microsoft 365: Oboje u potpunosti podržavaju DMARC. Sam DMARC zapis ide u vaš DNS pružatelj, ne u Google ili Microsoftov admin konzol — osigurajte da su SPF i DKIM omogućeni u admin konzolu prvom, zatim objavite DMARC TXT zapis kod vašeg registrara/DNS hosta.
Cloudflare: DNS → Zapisi → Dodaj zapis → TXT, naziv _dmarc, zalijepite vrijednost. Cloudflare nudi i ugrađeno DMARC upravljanje koje vam može postaviti ovo i prikupljati izvještaje.
Uobičajeni hostovi / registrari (GoDaddy i sl.): Potražite “DNS”, “DNS Zona” ili “Naprednif DNS”, dodajte TXT zapis s nazivom _dmarc i vrijednošću gore. Propagacija obično traje nekoliko minuta do sat.

Česte greške

Zaustavljanje na p=none. Najčešća greška daleko. Praćenje je početak, ne kraj — domena zaglavljena na none je i dalje potpuno lažljiva. Naš mehanizam to boduje kao neuspjeh upravo iz tog razloga.
Skakanje ravno na reject bez praćenja. Suprotna greška. Bez faze izvještavanja možda nećete shvatiti da legitimni pošiljatelj (često alat za biltene ili fakturiranje) nije poravnat — i počet ćete blokirati vlastitu poštu.
Zaboravljanje politike poddomene. Snažan p=reject s sp=none ostavlja bočna vrata širom otvorena; napadači samo lažiraju poddomenu umjesto toga.
Slomljena adresa za izvještavanje. Pogrešno upisana rua= (ili ona kojoj nedostaje prefiks mailto:) znači da izvještaji idu nigdje i ostajete slijepi bez da to shvaćate. Format mora biti valjan mailto: ili https: URI, ili se izvještaji nikad ne isporučuju.
“Mi ne šaljemo e-poštu pa ćemo preskočiti.” Domena koja ne šalje je primarna meta upravo jer je nitko ne gleda. Objavite striktnu reject politiku da je potpuno zaključate.

Napomena o bodovanju

Provjera politike (p=) jedna je od najteže-ponderiranih stavki u cijeloj procjeni — jer je jedini najveći faktor u tome može li se vaše poduzeće lažno predstavljati. reject zarađuje puni rezultat; quarantine zarađuje otprilike pola; none i nedostajući zapis boduju kao neuspjesi. Slabija politika poddomena ili djelomično pct= uvođenje vuče rezultat dolje da odražava pravu razinu zaštite koju zapravo imate.

Provjera izvještavanja (rua=) nosi i pravu težinu, ali mislite o njoj manje kao kućici za označiti i više kao alatu koji vam omogućuje dosegnuti reject sigurno. Postavite je istovremeno s vašim zapisom za praćenje i isplati se vidljivošću prvog dana.

Postavite kod svog pružatelja hostinga

Korak po korak za popularne pružatelje:

Česta pitanja

Uopće nisam tehničar — mogu li se zapravo s time izboriti?

Da, ali ne morate to osobno napraviti. Popravak je par redaka dodanih u postavke vaše domene i besplatan je. Najjednostavniji put je proslijediti odjeljak 'Kako to popraviti' ispod onome tko vodi vašu web stranicu ili IT podršku. Tipično im traje dobro ispod sat vremena, raspoređeno na par tjedana sigurnog praćenja.

Hoće li uključivanje DMARC-a slučajno spriječiti isporuku moje vlastite e-pošte?

Može — ali samo ako preskočite sigurni uvod. Cijela poanta pokretanja na 'samo za praćenje' (p=none) s uključenim izvještavanjem je promatrati dva tjedna i potvrditi da svaki legitimni pošiljatelj (vaš sandučić, vaš alat za biltene, vaša aplikacija za fakturiranje) bude ispravno prepoznat PRIJE nego se prebacite na blokiranje. Napravljeno tim redom, vaša prava e-pošta ostaje nedirnuta. Žurenje ravno na 'reject' bez provjere izvještaja je jedna uobičajena greška koja lomi isporuku.

Već imam SPF i DKIM postavljene. Nije li to dovoljno?

Ne — i ovo je najvažnija točka za razumjeti. SPF i DKIM su brave; DMARC je uputa koja kaže 'ako brave ne odgovaraju, odbij e-poštu.' Bez DMARC na 'reject', server primatelja može primijetiti da je e-pošta krivotvorena i svejedno je isporučiti. SPF i DKIM su preduvjeti za DMARC da radi, ali sami po sebi ne sprječavaju krivotvorenu e-poštu od dostizanja sandučića.

Koja je razlika između 'none', 'quarantine' i 'reject'? Što mi treba?

'none' samo promatra i izvještava — ne zaustavlja ništa, pa vas ne štiti. 'quarantine' šalje krivotvorine u spam mapu. 'reject' ih odbija potpuno, pa nikad ne stignu. 'reject' je cilj i jedina postavka koja vam daje pune bodove. 'quarantine' je razumna međustanica; 'none' je polazna točka za prva par tjedana, ne odredište.

Što je ta 'rua' stvar s izvještavanjem i trebam li je?

rua oznaka traži od pružatelja e-pošte da vam pošalju dnevni sažetak svakog sustava koji je pokušao slati e-poštu kao vaša domena — uključujući kriminalce. To je kako poduzeća prvog dana otkrivaju 5 do 50 neovlaštenih pošiljatelja koji tipično zloupotrebljavaju domenu. Sama po sebi nosi manju težinu od politike, ali je kako sigurno prijeći na 'reject' bez lomljenja prave e-pošte, pa je postavite istovremeno.

Jedva šaljemo e-poštu, ili je uopće ne šaljemo s ove domene. Trebamo li i dalje DMARC?

Posebno tada. Domena koja šalje malo ili nimalo prave e-pošte je savršena, nisko-šumna meta za kriminalce za lažno predstavljanje, jer nitko ne gleda. Domena s koje nikad ne šaljete poštu trebala bi objaviti striktnu reject politiku — to je čista, nisko-rizična pobjeda koja potpuno zatvara vrata.