Defaults.Exposed › Taisymai › DMARC (apsauga nuo el. pašto klastojimo)

Kaip ištaisyti DMARC (apsauga nuo el. pašto klastojimo)

DMARC yra vienintelis nustatymas, kuris iš tikrųjų sako pasaulio pašto tiekėjams BLOKUOTI el. laiškus, kurie klastoja jūsų verslo vardą. SPF ir DKIM tikrina spynas; DMARC sprendžia, kas atsitinka, kai klastotė nepavyksta tikrinimą – išmesti, pažymėti ar praleisti. Neteisingai nustatytas, jūsų domenas yra visiškai klastojamas; teisingai nustatytas, apsimetimas sustoja prie gautuosiuose.

Praktinė reikšmė jūsų verslui: Be DMARC vykdymo, nusikaltėlis gali siųsti el. laišką, kuris atrodo lygiai taip, kaip atkeliavęs iš jūsų verslo – jūsų klientams, darbuotojams ir tiekėjams – ir jis patenka į jų gautuosius, ne šiukšlių aplanką. Žmonės apgaudinėjami jūsų vardu, ir jie kaltina jus.

Ką tai gali kainuoti

Sukčius klientui siunčia realistišką sąskaitą faktūrą 'iš jūsų apskaitos skyriaus' su savo banko duomenimis. Klientas sumoka. Sužinote po kelių savaičių, kai jis klausia prekių, kurias jau apmokėjo – ir laiko jus atsakingu.
Netikras 'skubus mokėjimas' el. laiškas pasiekia jūsų finansų asmenį, atrodo atkeliavęs nuo jūsų, savininko. Jie perveda pinigus prieš kam nors suabejojant – ir kai jie nusileidžia nusikaltėlio sąskaitoje, jie beveik niekada negrįžta.
Rimto perspektyvaus kliento IT komanda prieš pasirašydama atlieka saugumo patikrinimą jūsų domene. Grįžta 'el. paštas neapsaugotas – gali būti suklastotas.' Prarandate sandorį konkurentui, kurio domenas praėjo.
Jūsų domenas naudojamas sukčiavimo bangoje. Apgauti klientai palieka piktus atsiliepimus ir įspėja kitus. Reputacijos žala trunka mėnesius po atakos.
Net ir jūsų tikras el. paštas pradeda patekti į šiukšlių aplankus, nes „Google” ir „Yahoo” vis labiau nepasitiki – ir dabar kartais atmeta – domenus be vykdomo DMARC.

Kodėl tai svarbu. El. paštas niekada nebuvo sukurtas taip, kad įrodytų, kas iš tikrųjų jį siuntė, todėl 'nuo' adreso klastojimas yra trivialus. DMARC yra vienintelis valdiklis, kuris paverčia 'galime aptikti klastotes' į 'klastotės blokuojamos' – ir jis taip pat suteikia jums dieninius pranešimus, atskleidžiančius, kas siunčia paštą jūsų prekės ženklo vardu. Dideli pašto dėžutės tiekėjai dabar laiko trūkstamą arba nevykdomą DMARC politiką ženklu prieš jus, todėl tai taip pat veikia tai, ar jūsų paties el. paštas yra pristatomas.

Kas yra DMARC, paprastais žodžiais

El. paštas turi slaptą: „nuo” eilutė yra tiesiog įvestas tekstas. Bet kas, bet kur, gali įvesti jūsų verslo vardą ir adresą el. laiško „nuo” laukelyje ir jį išsiųsti. Internetas niekada nebuvo sukurtas juos sustabdyti.

Yra trys nustatymai, kurie kartu tai ištaiso. Galvokite apie juos kaip pastato saugumą:

SPF yra sąrašas, kam leidžiama įeiti pro pagrindinę duris (kurios pašto paslaugos gali siųsti jūsų vardu).
DKIM yra apsauginis antspaudas, įrodantis, kad žinutė nebuvo pakeista tranzitu.
DMARC yra saugumo apsaugotojas, kuris tikrina sąrašą ir antspaudą – ir, svarbiausia, sprendžia, ką daryti, kai jie nesutampa: praleisti, siųsti į šiukšles ar atsisakyti prie durų.

Galite turėti sąrašą (SPF) ir antspaudą (DKIM) ir vis tiek neturėti saugumo apsaugotojo. Tai yra dažniausia ir pavojingiausia situacija: spynos egzistuoja, bet niekas jų nevykdo. DMARC yra vykdymas. Tai skirtumas tarp „galime pasakyti, kad šis el. laiškas yra suklastotas” ir „šis suklastotas el. laiškas niekada nepasiekia jūsų kliento.”

Kiek tai gali jus kainuoti

Tai nėra teorija. Štai konkretūs būdai, kaip neapsaugotas domenas tampa realiais pinigais ir realia žala:

Netikros sąskaitos faktūros sukčiavimas. Nusikaltėlis klientui siunčia tai, kas atrodo lygiai kaip tikra sąskaita faktūra iš jūsų apskaitos skyriaus – tas pats vardas, tas pats domenas, profesionalus dizainas – bet su savo banko duomenimis. Kadangi jūsų domenas nėra vykdomas, jis patenka į gautuosius, ne šiukšles. Klientas sumoka. Sužinote po kelių savaičių, kai jis klausia, kur jo užsakymas. Pinigai paprastai jau dingo ir klientas dažnai laiko jus atsakingais už pažeidimą.
CEO apgaulė su banko pavedimu. Atrodo, kad el. laiškas ateina iš jūsų, savininko, jūsų finansų asmeniui: „Ar galite skubiai apdoroti šį mokėjimą, aš esu susitikime.” Jis atrodo visiškai tikras, nes yra jūsų adresas – tik suklastotas. Mokėjimas išeina. Šis modelis – verslo el. pašto pažeidimas – yra vienas brangiausių sukčiavimų, kertančių smulkų verslą, būtent todėl, kad el. laiškas iš tikrųjų ateina iš jūsų paties domeno, todėl praeina pro įtarimus.
Prarastas sandoris. Rimtas perspektyvus klientas atlieka saugumo ar pirkimų patikrinimą prieš pasirašydamas. Jų įrankiai praneša, kad jūsų domenas yra „klastojamas – nėra el. pašto autentifikavimo vykdymo.” Ta viena raudona vėliavėlė gali būti pakankamai, kad sandoris atitektų konkurentui, kurio domenas praėjo. Jūs niekada nesužinosite tikros priežasties.
Reputacijos smūgis, kurio negalite atsiimti. Jūsų domenas įtraukiamas į sukčiavimo kampaniją. Dešimtys žmonių, apgautų jūsų vardu, skelbia įspėjimus ir atsiliepimus. Ataka trunka savaitę; klausimas „ar ši įmonė apskritai saugu?” užsitęsia mėnesius.
Jūsų el. paštas patenkantis į šiukšles. „Google” ir „Yahoo” dabar aktyviai nepasitiki domenais be vykdomo DMARC. Pasiūlos, sąskaitos faktūros ir atsakymai, kuriuos iš tikrųjų siuntėte, tyliai pradeda patekti į šiukšlių aplankus. Sandoriai stringa ir niekada nesužinote kodėl.

Kas tai iš tikrųjų yra (ir kaip atrodo „gerai”)

DMARC gyvena kaip viena teksto eilutė jūsų domeno nustatymuose – DNS „TXT” įrašas, paskelbtas specialiu pavadinimu _dmarc.jusudomenas. Jame yra kelios trumpos instrukcijos. Dvi iš jų svarbios labiausiai, ir tai yra tiksliai tie du dalykai, kuriuos įvertina šis tikrinimas.

1. Politika (p=) – saugumo apsaugotojo įsakymai. Tai yra sunkiausiai vertinama tikrinimo dalis. Tai gali būti vienas iš trijų dalykų:

p=none – tik stebėjimas. Apsaugotojas pažymi, kas praėjo, bet nieko nesustabdo. Tai neapsaugo jūsų nuo nieko; tai stebėjimo etapas, ne baigta sąranka. (Mūsų variklis tai vertina kaip nesėkmę – geriau nei jokio DMARC, bet ne apsauga.)
p=quarantine – siųsti klastotes į šiukšles. Tikra apsauga, bet ryžtingas užpuolikas skaičiuoja, kad žmonės tikrinsis šiukšlių aplanką. Tvirtas tarpinis žingsnis – uždirba maždaug pusę taškų.
p=reject – atsisakyti klastočių prie durų. Suklastotas el. laiškas niekada nepristatomas. Tai vienintelis nustatymas, kuris visiškai apsaugo jus ir uždirba pilnus taškus.

Kaip atrodo „gerai”: p=reject. Bet kas mažiau palieka spragą.

Du techniniai dalykai, kuriuos mūsų tikrinimas taip pat tikrina, verta žinoti, kad nebūtumėte pagauti:

Subdomeno politika (sp=). Galite nustatyti stiprią politiką pagrindiniam domenui, bet atsitiktinai palikti subdomenus (kaip mail.jusudomenas ar news.jusudomenas) plačiai atvirus. Mūsų variklis tai griežtai baudžia – domenas su p=reject, bet sp=none vertinamas žemiau, kaip neturintis jokio vykdymo, nes užpuolikai tiesiog suklastoja subdomeną. Geroji praktika yra leisti sp paveldėti jūsų stiprią pagrindinę politiką arba nustatyti ją į reject aiškiai.
Procentas (pct=). Atsargaus diegimo metu galite taikyti vykdymą tik daliai pašto (pvz., pct=25). Tai teisėtas perėjimo įrankis, bet dalinis diegimas suteikia tik dalinę apsaugą, ir mūsų vertinimas tai atspindi – jis kyla, kai pereiname nuo 25% link 100%, bet pilni taškai reikalauja pilno aprėpimo.

2. Pranešimų adresas (rua=) – jūsų matomumas. Tai yra antrasis tikrinimas šiame puslapyje. rua= žyma prašo kiekvieno pasaulio pašto tiekėjo siųsti jums dieninę santrauką apie tai, kas bandė siųsti el. paštą jūsų domeno vardu – jūsų pačių sistemos ir bet kokie apsimetėliai. Be jo jūs skrendate aklinai: neturite supratimo, kas piktnaudžiauja jūsų vardu. Su juo įmonės reguliariai atranda tarp 5 ir 50 neteisėtų siuntėjų jau pirmąją dieną.

Kaip atrodo „gerai” pranešimams: galiojantis rua=mailto: adresas (arba pranešimų paslaugos https: URL), kuris iš tikrųjų gauna pranešimus. Mūsų tikrinimas patvirtina formatą – klaidingai įvestas arba netinkamo formato adresas reiškia, kad pranešimai tyliai niekur neina, o tai vertinama kaip dalinis arba nesėkmingas rezultatas, net jei žyma techniškai yra „esama.”

Kaip tai ištaisyti (nemokama, ~30 minučių per dvi savaites)

Perduokite šį skyrių tam, kas tvarko jūsų domeną, svetainę ar IT – pataisymas yra visiškai nemokamas. Mes imame mokestį tik už stebėseną, kad tai išliktų teisinga laikui bėgant, domeno portfelio valdymui ar auditui. Pats pakeitimas nieko nekainuoja.

Auksinė taisyklė: niekada nešokite tiesiai į reject. Pirmiausia įjunkite stebėjimą, stebėkite pranešimus, patvirtinkite, kad jūsų tikras paštas yra atpažįstamas, tada sugriežtinkite. Atlikta tokia tvarka yra saugu; atlikta skubotai gali išmesti savo el. paštą.

1 žingsnis – pirmiausia įsitikinkite, kad SPF ir DKIM yra nustatyti. DMARC jais remiasi. Jei kurio nors trūksta, pirmiausia sutvarkykite juos (žr. SPF ir DKIM puslapius).

2 žingsnis – paskelbkite stebėjimo įrašą su įjungtais pranešimais. Pridėkite DNS TXT įrašą:

Prieglobstis / vardas: _dmarc.jusudomenas (jūsų DNS tiekėjas gali rodyti tai tiesiog kaip _dmarc)
Tipas: TXT
Reikšmė: v=DMARC1; p=none; rua=mailto:dmarc@jusudomenas; adkim=s; aspf=s

Tai stebi ir praneša nieko neblokuodamas. adkim=s; aspf=s dalys prašo griežto suderinimo – palikite juos pirmai kartui, jei nesate tikri, ir pridėkite juos, kai jūsų paštas bus patvirtintas kaip švarus.

3 žingsnis – skaitykite pranešimus ~2 savaites. Neapdoroti DMARC pranešimai yra tankus XML. Naudokite nemokamą pranešimų paslaugą (pavyzdžiui, dmarcian ar Postmark nemokamą DMARC įrankį), kad pavertumėte juos į skaitomą prietaisų skydelį. Patvirtinkite, kad kiekvienas teisėtas siuntėjas – jūsų pašto dėžutės tiekėjas, naujienlaiškiniai įrankiai, CRM, pagalbos tarnyba, sąskaitų faktūrų programa – praeina. Ištaisykite bet kokį tikrą siuntėją, kuris nepraėjo.

4 žingsnis – pereikite į karantiną. Kai jūsų tikras paštas yra švarus, pakeiskite p=none į p=quarantine. Stebėkite dar kelias dienas.

5 žingsnis – pereikite į atmetimą. Galiausiai pakeiskite p=quarantine į p=reject. Dabar esate visiškai apsaugoti. Galutinis įrašas atrodo taip:

v=DMARC1; p=reject; rua=mailto:dmarc@jusudomenas; adkim=s; aspf=s

6 žingsnis – nepamirškite subdomenų. Įsitikinkite, kad nepaliekate sp=none nustatyto. Jei visai neskelbiate sp, subdomenai paveldi jūsų pagrindinę p= politiką, kas ir yra norima.

Pastabos pagal dažnas platformas:

Google Workspace / Microsoft 365: Abu visiškai palaiko DMARC. Pats DMARC įrašas eina į jūsų DNS tiekėją, ne į Google ar Microsoft administravimo konsolę – pirmiausia įsitikinkite, kad SPF ir DKIM yra įjungti administravimo konsolėje, tada skelbkite DMARC TXT įrašą pas registratorių / DNS prieglobą.
Cloudflare: DNS > Records > Add record > TXT, vardas _dmarc, įklijuokite reikšmę. Cloudflare taip pat siūlo integruotą DMARC valdymą, kuris gali tai nustatyti ir rinkti pranešimus jums.
Dažni prieglobos tiekėjai / registratoriai: Ieškokite „DNS”, „DNS zonos” ar „Išplėstinis DNS”, pridėkite TXT įrašą vardu _dmarc ir aukščiau pateikta reikšme. Platinimas paprastai užtrunka kelias minutes iki valandos.

Dažnos klaidos

Stabdymasis ties p=none. Dažniausia klaida. Stebėjimas yra pradžia, ne pabaiga – domenas, įstrigęs ties none, vis dar yra visiškai klastojamas. Mūsų variklis tai vertina kaip nesėkmę būtent dėl šios priežasties.
Šokinėjimas tiesiai į reject be stebėjimo. Priešinga klaida. Be pranešimų etapo galite nesuvokti, kad teisėtas siuntėjas (dažnai naujienlaiškiniai ar sąskaitų faktūrų įrankiai) nėra suderintas – ir pradėsite blokuoti savo paštą.
Subdomeno politikos pamiršimas. Stiprus p=reject su sp=none palieka šalutines duris plačiai atvertas; užpuolikai tiesiog klastoja subdomeną.
Sugedęs pranešimų adresas. Klaidingai įvestas rua= (arba toks, kuriam trūksta mailto: priešdėlio) reiškia, kad pranešimai niekur neplaukia ir jūs lieka aklinai nesuprasdami. Formatas turi būti galiojantis mailto: arba https: URI, arba pranešimai niekada nepristatomi.
„Mes nesiunčiame el. pašto, todėl praleisime.” Nesiuntinėjantis domenas yra pagrindinis taikinys būtent todėl, kad niekas jo nežiūri. Paskelbkite griežtą reject politiką, kad jį visiškai užrakintumėte.

Pastaba apie vertinimą

Politikos patikrinimas (p=) yra vienas sunkiausiai vertinamų elementų visame tikrinime – nes tai yra pagrindinis veiksnys, ar jūsų verslą galima apsimesti. reject uždirba pilną vertinimą; quarantine uždirba maždaug pusę; none ir trūkstamas įrašas vertinami kaip nesėkmės. Silpnesnė subdomeno politika arba dalinis pct= diegimas traukia vertinimą žemyn atitikdamas tikrą jūsų turimą apsaugos lygį.

Pranešimų patikrinimas (rua=) taip pat turi realią reikšmę, bet galvokite apie jį mažiau kaip apie pažymėtiną langelį ir daugiau kaip apie įrankį, kuris leidžia saugiai pasiekti reject. Nustatykite jį kartu su stebėjimo įrašu ir jis atsipirks matomumu jau pirmąją dieną.

Nustatymas pas savo tiekėją

Žingsnis po žingsnio populiariems tiekėjams:

DUK

Aš visai nesu technikas – ar galiu tai iš tikrųjų sutvarkyti?

Taip, bet jums nereikia to daryti asmeniškai. Pataisymas yra kelios eilutės, pridėtos prie jūsų domeno nustatymų, ir jis yra nemokamas. Paprasčiausias kelias yra perduoti toliau pateiktą skyrių „Kaip tai ištaisyti” tam, kas valdo jūsų svetainę ar IT palaikymą. Paprastai jiems tai užtrunka gerokai mažiau nei valandą, išskaičiuotą per kelias saugaus stebėjimo savaites.

Ar įjungus DMARC atsitiktinai nesustabdys mano el. laiškų pasiekti tikslą?

Gali – bet tik jei praleisite saugų diegimą. Visas pradedant 'tik stebėjimo' (p=none) su įjungtais pranešimais tikslas yra stebėti dvi savaites ir patvirtinti, kad kiekvienas teisėtas siuntėjas (jūsų pašto dėžutė, naujienlaiškiniai įrankiai, sąskaitų faktūrų programa) yra teisingai atpažįstamas PRIEŠ perjungiant į blokavimą. Atlikta tokia tvarka, jūsų tikras paštas nepaveikiamas. Skubotai šokaujant tiesiai į 'reject' neperžiūrėjus pranešimų yra viena dažna klaida, kuri sulaužo pristatymą.

Aš jau turiu SPF ir DKIM. Ar to nepakanka?

Ne – ir tai yra svarbiausias punktas suprasti. SPF ir DKIM yra spynos; DMARC yra nurodymas, sakantis 'jei spynos nesutampa, atmeskite el. laišką.' Be DMARC ties 'reject', gaunantis serveris gali pastebėti, kad el. laiškas yra suklastotas, ir vis tiek pristatyti jį. SPF ir DKIM yra būtinos sąlygos DMARC veikimui, bet patys savaime jie nesustabdo suklastoto el. laiško patekimo į gautuosius.

Koks skirtumas tarp 'none', 'quarantine' ir 'reject'? Kurį man reikia?

'none' tik stebi ir praneša – tai nieko nesustabdo, todėl neapsaugo jūsų. 'quarantine' siunčia klastotes į šiukšlių aplanką. 'reject' jas visai atsisako, todėl jos niekada neateina. 'reject' yra tikslas ir vienintelis nustatymas, uždirbantis pilnus taškus. 'quarantine' yra tinkamas tarpinis žingsnis; 'none' yra pradinis taškas pirmosioms kelioms savaitėms, ne galutinis tikslas.

Kas yra šis 'rua' pranešimas ir ar man jo reikia?

Rua žyma prašo pašto tiekėjų siųsti jums dieninius santraukos el. laiškus apie kiekvieną sistemą, kuri bandė siųsti el. paštą jūsų domeno vardu – įskaitant nusikaltėlius. Tai kaip įmonės pirmąją dieną atranda 5–50 neteisėtų siuntėjų, piktnaudžiaujančių domenu. Pats savaime jis turi mažesnę reikšmę nei politika, bet tai kaip saugiai pereiti prie 'reject' nesulaužant tikro pašto, todėl nustatykite jį tuo pačiu metu.

Mes beveik nesiunčiame el. pašto arba visai nesiunčiame iš šio domeno. Ar vis dar reikia DMARC?

Ypač tada. Domenas, kuris siunčia mažai arba visai nesiunčia tikro el. pašto, yra puikus, mažai triukšmo keliantis taikinys nusikaltėliams apsimesti, nes niekas nežiūri. Domenas, iš kurio niekada nesiunčiate pašto, turėtų skelbti griežtą atmetimo politiką – tai švari, maža rizikos laimėjimas, kuris visiškai uždaro duris.