Defaults.Exposed › Pembaikan › DMARC (Perlindungan Penipuan E-mel)

Cara memperbaiki DMARC (Perlindungan Penipuan E-mel)

DMARC adalah satu tetapan yang sebenarnya memberitahu pembekal mel dunia untuk MENYEKAT e-mel yang memalsukan nama perniagaan anda. SPF dan DKIM memeriksa kunci; DMARC memutuskan apa yang berlaku apabila pemalsuan gagal semakan — buang, tandakan, atau biarkan lalui. Ditetapkan dengan salah, domain anda boleh dipalsukan sepenuhnya; ditetapkan dengan betul, penyamaran berhenti di peti masuk.

Kesimpulan untuk perniagaan anda: Tanpa penguatkuasaan DMARC, penjenayah boleh menghantar e-mel yang kelihatan tepat seperti ia datang dari perniagaan anda — kepada pelanggan, kakitangan dan pembekal anda — dan ia mendarat di peti masuk mereka, bukan spam. Orang ditipu atas nama anda, dan mereka menyalahkan anda.

Apakah kos yang boleh timbul

Penipu menghantar kepada pelanggan anda invois yang kelihatan sebenar 'dari pasukan akaun anda' dengan butiran bank mereka sendiri. Pelanggan membayar. Anda mengetahuinya berminggu-minggu kemudian apabila mereka mengejar barangan yang sudah dibayar — dan mereka memegang anda bertanggungjawab.
E-mel 'pembayaran segera' palsu pergi kepada orang kewangan anda sendiri, kelihatan datang dari anda, pemilik. Mereka memindahkan wang sebelum sesiapa terfikir untuk menyemak semula — dan setelah mendarat dalam akaun penjenayah, ia hampir tidak pernah dipulihkan.
Pasukan IT prospek yang besar menjalankan semakan keselamatan pada domain anda sebelum menandatangani. Ia datang kembali 'e-mel tidak dilindungi — boleh dipalsukan.' Anda kehilangan urusan perniagaan kepada pesaing yang domainnya lulus.
Domain anda digunakan dalam gelombang pancingan data. Pelanggan yang tertipu meninggalkan ulasan marah dan memberi amaran kepada orang lain. Kerosakan reputasi melebihi serangan selama berbulan-bulan.
Malah e-mel tulen anda mula dimasukkan ke dalam spam, kerana Google dan Yahoo semakin tidak mempercayai — dan kini kadang-kadang menolak — domain tanpa DMARC yang dikuatkuasakan.

Mengapa ia penting. E-mel tidak pernah dibina untuk membuktikan siapa yang sebenarnya menghantar, jadi memalsukan alamat 'dari' adalah mudah. DMARC adalah satu-satunya kawalan yang mengubah 'kami dapat mengesan palsu' kepada 'yang palsu disekat' — dan ia juga memberikan laporan harian yang mendedahkan siapa yang menghantar mel atas nama jenama anda. Pembekal peti surat besar kini menganggap dasar DMARC yang hilang atau tidak dikuatkuasakan sebagai isyarat kepercayaan terhadap anda, jadi ini mempengaruhi sama ada e-mel anda sendiri dihantar juga.

Apa DMARC, dalam bahasa mudah

E-mel mempunyai rahsia kotor: baris “dari” adalah hanya teks yang ditaip. Sesiapa sahaja, di mana sahaja, boleh menulis nama dan alamat perniagaan anda ke dalam medan “dari” e-mel dan menghantarnya. Internet tidak pernah direka untuk menghentikan mereka.

Terdapat tiga tetapan yang, bersama-sama, memperbaiki ini. Bayangkan mereka sebagai keselamatan sebuah bangunan:

SPF adalah senarai siapa yang dibenarkan masuk pintu hadapan (perkhidmatan mel mana yang boleh menghantar sebagai anda).
DKIM adalah cop kalis gangguan yang membuktikan mesej tidak diubah dalam transit.
DMARC adalah pengawal keselamatan yang menyemak senarai dan cop — dan, yang penting, memutuskan apa yang perlu dilakukan apabila mereka tidak sepadan: biarkan ia melalui, hantar ke spam, atau tolak di pintu.

Anda boleh mempunyai senarai (SPF) dan cop (DKIM) dan masih tidak mempunyai pengawal. Itulah situasi yang paling biasa dan paling berbahaya: kunci wujud, tetapi tiada yang menguatkuasakan. DMARC adalah penguatkuasaan. Ia adalah perbezaan antara “kami boleh memberitahu e-mel ini adalah palsu” dan “e-mel palsu ini tidak pernah sampai kepada pelanggan anda.”

Apa yang ini boleh koskan anda

Ini bukan teoritikal. Berikut adalah cara konkrit domain yang tidak dilindungi bertukar menjadi wang sebenar dan kerosakan sebenar:

Penipuan invois palsu. Penjenayah menghantar kepada pelanggan anda apa yang kelihatan tepat seperti invois tulen dari pasukan akaun anda — nama yang sama, domain yang sama, susun atur profesional — tetapi dengan butiran bank mereka sendiri. Kerana domain anda tidak dikuatkuasakan, ia mendarat di peti masuk, bukan spam. Pelanggan membayar. Anda mendapatinya berminggu-minggu kemudian apabila mereka bertanya di mana pesanan mereka. Wang biasanya sudah hilang, dan pelanggan sering memegang anda bertanggungjawab atas pelanggaran itu.
Pemindahan wang CEO-fraud. E-mel kelihatan datang dari anda, pemilik, kepada orang kewangan anda: “Bolehkah anda tolak pembayaran ini dengan segera, saya dalam mesyuarat.” Ia kelihatan sepenuhnya nyata kerana ia adalah alamat anda — hanya dipalsukan. Pembayaran keluar. Corak ini — Kompromi E-mel Perniagaan — adalah salah satu penipuan yang paling mahal yang menghantui perniagaan kecil, tepat kerana e-mel benar-benar datang dari domain anda sendiri, jadi ia layar terus melepasi syak wasangka.
Kontrak yang hilang. Prospek yang serius menjalankan semakan keselamatan atau perolehan sebelum menandatangani. Alatan mereka melaporkan domain anda sebagai “boleh dipalsukan — tiada penguatkuasaan pengesahan e-mel.” Bendera merah tunggal itu boleh cukup untuk memberikan kontrak kepada pesaing yang domainnya lulus. Anda tidak pernah mendengar alasan sebenar.
Pukulan reputasi yang tidak boleh anda buat balik. Domain anda disapu ke dalam kempen pancingan data. Berpuluh-puluh orang yang tertipu atas nama anda menyiarkan amaran dan ulasan. Serangan berlangsung seminggu; soalan “adakah syarikat ini selamat?” berterusan selama berbulan-bulan.
E-mel anda sendiri pergi ke spam. Google dan Yahoo kini secara aktif tidak mempercayai domain tanpa DMARC yang dikuatkuasakan. Sebut harga, invois dan balasan yang benar-benar anda hantar mula secara senyap mendarat di folder spam. Urusan terhenti dan anda tidak pernah tahu mengapa.

Apa yang sebenarnya (dan apa yang “baik” kelihatan)

DMARC berada sebagai satu baris teks dalam tetapan domain anda — rekod DNS “TXT” yang diterbitkan pada nama khas _dmarc.domainanda. Di dalamnya adalah beberapa arahan pendek. Dua daripadanya paling penting, dan mereka adalah tepat dua perkara yang penilaian ini semak.

1. Dasar (p=) — arahan pengawal. Ini adalah bahagian yang diberi berat besar dalam semakan. Ia boleh menjadi salah satu daripada tiga perkara:

p=none — tonton sahaja. Pengawal mencatat siapa yang masuk tetapi tidak menghentikan sesiapa. Ini tidak melindungi anda daripada apa-apa; ia adalah peringkat pemantauan, bukan persediaan yang siap. (Enjin kami menilai ini sebagai gagal — lebih baik daripada tiada DMARC langsung, tetapi bukan perlindungan.)
p=quarantine — hantar yang palsu ke spam. Perlindungan sebenar, tetapi penyerang yang bertekad mempertaruhkan orang menyemak folder spam mereka. Batu loncatan yang kukuh — ia mendapat kira-kira separuh markah.
p=reject — tolak yang palsu di pintu. E-mel yang dipalsukan tidak pernah dihantar. Ini adalah satu-satunya tetapan yang melindungi anda sepenuhnya dan mendapat markah penuh.

Apa yang “baik” kelihatan: p=reject. Apa-apa yang kurang meninggalkan jurang.

Dua butiran teknikal yang semakan kami juga lihat, berbaloi diketahui supaya anda tidak terkejut:

Dasar subdomain (sp=). Anda boleh menetapkan dasar yang kukuh untuk domain utama anda tetapi secara tidak sengaja meninggalkan subdomain (seperti mel.domainanda atau berita.domainanda) terbuka luas. Enjin kami menghukum ini dengan berat — domain dengan p=reject tetapi sp=none dinilai mendekati tiada penguatkuasaan langsung, kerana penyerang akan semata-mata memalsukan subdomain sebaliknya. Amalan baik adalah untuk membiarkan sp mewarisi dasar utama yang kukuh anda, atau menetapkannya kepada reject secara eksplisit.
Peratusan (pct=). Semasa pelancaran yang berhati-hati anda boleh menerapkan penguatkuasaan hanya kepada sebahagian kecil mel (mis. pct=25). Itu adalah alat peralihan yang sah, tetapi pelancaran sebahagian hanya memberikan perlindungan sebahagian, dan skor kami mencerminkan itu — ia naik secara tetap apabila anda bergerak dari 25% ke arah 100%, tetapi markah penuh memerlukan liputan penuh.

2. Alamat pelaporan (rua=) — keterlihatan anda. Ini adalah semakan kedua pada halaman ini. Tag rua= meminta setiap pembekal mel di dunia untuk menghantar kepada anda ringkasan harian siapa yang cuba menghantar e-mel sebagai domain anda — sistem anda sendiri dan mana-mana penyamar. Tanpanya, anda terbang buta: anda tidak mempunyai idea siapa yang menyalahgunakan nama anda. Dengannya, perniagaan secara rutin mendapati antara 5 dan 50 pengirim tanpa kebenaran pada hari pertama.

Apa yang “baik” kelihatan untuk pelaporan: alamat rua=mailto: yang sah (atau URL https: perkhidmatan-pelaporan) yang sebenarnya menerima laporan. Semakan kami mengesahkan format — alamat yang salah taip atau salah format bermaksud laporan secara senyap tidak pergi ke mana-mana, yang dinilai sebagai hasil sebahagian atau gagal walaupun tag secara teknikal “hadir.”

Cara membetulkannya (percuma, ~30 minit tersebar lebih dari dua minggu)

Serahkan bahagian ini kepada sesiapa yang menguruskan domain, laman web, atau IT anda — pembetulan adalah sepenuhnya percuma. Kami hanya mengenakan bayaran untuk memantau bahawa ia kekal betul dari masa ke masa, untuk menguruskan portfolio domain, atau untuk audit. Perubahan itu sendiri tidak memerlukan kos apa-apa.

Peraturan emas: jangan tergesa-gesa terus ke reject. Hidupkan pemantauan dahulu, tonton laporan, sahkan mel sebenar anda dikenali, kemudian ketatkan. Dilakukan dalam urutan ini ia adalah selamat; dilakukan dengan tergesa-gesa ia boleh membuang e-mel anda sendiri.

Langkah 1 — Pastikan SPF dan DKIM sudah ada dahulu. DMARC bergantung kepada mereka. Jika salah satu tiada, selesaikan terlebih dahulu sebelum menguatkuasakan DMARC (lihat halaman SPF dan DKIM).

Langkah 2 — Terbitkan rekod pemantauan dengan pelaporan dihidupkan. Tambah rekod TXT DNS:

Hos / nama: _dmarc.domainanda (pembekal DNS anda mungkin menunjukkan ini sebagai hanya _dmarc)
Jenis: TXT
Nilai: v=DMARC1; p=none; rua=mailto:dmarc@domainanda; adkim=s; aspf=s

Ini menonton dan melaporkan tanpa menyekat apa-apa lagi. Bahagian adkim=s; aspf=s meminta keselarasan yang ketat — tinggalkan mereka dahulu jika anda tidak pasti, dan tambah setelah mel anda disahkan bersih.

Langkah 3 — Baca laporan selama ~2 minggu. Laporan DMARC mentah adalah XML yang padat. Gunakan perkhidmatan pelaporan percuma (contohnya dmarcian atau alat DMARC percuma Postmark) untuk mengubahnya menjadi papan pemuka yang boleh dibaca. Sahkan bahawa setiap pengirim yang sah — pembekal peti surat anda, alat surat berita, CRM, meja bantuan, app invois — lulus. Betulkan mana-mana pengirim yang tulen yang tidak.

Langkah 4 — Bergerak ke quarantine. Setelah mel sebenar anda bersih, tukar p=none kepada p=quarantine. Tonton selama beberapa hari lagi.

Langkah 5 — Bergerak ke reject. Akhirnya tukar p=quarantine kepada p=reject. Anda kini dilindungi sepenuhnya. Rekod akhir kelihatan seperti:

v=DMARC1; p=reject; rua=mailto:dmarc@domainanda; adkim=s; aspf=s

Langkah 6 — Jangan terlupa subdomain. Pastikan anda tidak meninggalkan sp=none di tempat. Jika anda tidak menerbitkan sp langsung, subdomain mewarisi dasar p= utama anda, yang adalah apa yang anda mahu.

Nota per platform biasa:

Google Workspace / Microsoft 365: Kedua-duanya menyokong DMARC sepenuhnya. Rekod DMARC itu sendiri pergi ke pembekal DNS anda, bukan ke konsol pentadbir Google atau Microsoft — pastikan SPF dan DKIM didayakan dalam konsol pentadbir dahulu, kemudian terbitkan rekod TXT DMARC di pendaftar/hos DNS anda.
Cloudflare: DNS > Rekod > Tambah rekod > TXT, nama _dmarc, tampal nilai. Cloudflare juga menawarkan pengurusan DMARC terbina dalam yang boleh menyediakan ini dan mengumpul laporan untuk anda.
Hos / pendaftar biasa (GoDaddy dan yang serupa): Cari “DNS”, “Zon DNS”, atau “DNS Lanjutan”, tambah rekod TXT dengan nama _dmarc dan nilai di atas. Penyebaran biasanya mengambil masa dari beberapa minit hingga satu jam.

Kesilapan biasa

Berhenti pada p=none. Kesilapan yang paling biasa sejauh ini. Pemantauan adalah permulaan, bukan pengakhiran — domain yang tersekat pada none masih boleh dipalsukan sepenuhnya. Enjin kami menilainya sebagai gagal tepat kerana sebab ini.
Tergesa-gesa terus ke reject tanpa pemantauan. Kesilapan yang bertentangan. Tanpa peringkat pelaporan anda mungkin tidak menyedari pengirim yang sah (sering alat surat berita atau invois) tidak sejajar — dan anda akan mula menyekat mel anda sendiri.
Terlupa dasar subdomain. p=reject yang kukuh dengan sp=none meninggalkan pintu sampingan terbuka luas; penyerang hanya memalsukan subdomain sebaliknya.
Alamat pelaporan yang rosak. rua= yang salah taip (atau yang tiada awalan mailto:) bermaksud laporan tidak pergi ke mana-mana dan anda kekal buta tanpa menyedarinya. Formatnya mesti berupa URI mailto: atau https: yang sah, atau laporan tidak pernah dihantar.
“Kami tidak menghantar e-mel jadi kami akan langkaui.” Domain yang tidak menghantar adalah sasaran utama tepat kerana tiada siapa yang menontonnya. Terbitkan dasar reject yang ketat untuk menguncinya sepenuhnya.

Nota tentang pemarkahan

Semakan dasar (p=) adalah salah satu item yang paling berat dalam keseluruhan penilaian — kerana ia adalah satu faktor terbesar dalam sama ada perniagaan anda boleh disasar. reject mendapat skor penuh; quarantine mendapat kira-kira separuh; none dan rekod yang tiada mendapat nilai sebagai gagal. Dasar subdomain yang lebih lemah atau pelancaran pct= sebahagian menarik skor ke bawah untuk sepadan dengan tahap perlindungan sebenar yang anda ada.

Semakan pelaporan (rua=) membawa berat nyata juga, tetapi fikirkannya kurang sebagai kotak untuk ditanda dan lebih sebagai alat yang membolehkan anda mencapai reject dengan selamat. Sediakannya pada masa yang sama dengan rekod pemantauan anda, dan ia membayar sendiri dalam keterlihatan pada hari pertama.

Sediakan pada hos anda

Langkah demi langkah untuk pembekal popular:

Soalan Lazim

Saya langsung tidak teknikal — bolehkah saya benar-benar menangani perkara ini?

Ya, tetapi anda tidak perlu melakukannya secara peribadi. Pembetulan adalah beberapa baris yang ditambah kepada tetapan domain anda, dan ia percuma. Laluan termudah adalah untuk memajukan bahagian 'Cara membetulkannya' di bawah kepada sesiapa yang menjalankan laman web atau sokongan IT anda. Ia biasanya mengambil masa mereka kurang dari satu jam, tersebar lebih dari beberapa minggu pemantauan yang selamat.

Adakah menghidupkan DMARC secara tidak sengaja menghentikan e-mel saya sendiri daripada melalui?

Ia boleh — tetapi hanya jika anda melangkau pelancaran yang selamat. Keseluruhan tujuan bermula pada 'pantau sahaja' (p=none) dengan pelaporan dihidupkan adalah untuk menonton selama dua minggu dan mengesahkan bahawa setiap pengirim yang sah (peti surat anda, alat surat berita anda, app invois anda) dikenali dengan betul SEBELUM anda bertukar kepada menyekat. Dilakukan dalam urutan itu, mel sebenar anda tidak terjejas. Tergesa-gesa terus ke 'tolak' tanpa menyemak laporan adalah satu kesilapan biasa yang memutuskan penghantaran.

Saya sudah ada SPF dan DKIM yang disediakan. Bukankah itu sudah cukup?

Tidak — dan ini adalah titik paling penting untuk difahami. SPF dan DKIM adalah kunci; DMARC adalah arahan yang berkata 'jika kunci tidak sepadan, tolak e-mel.' Tanpa DMARC pada 'tolak', pelayan penerima boleh menyedari e-mel adalah palsu dan masih menghantar. SPF dan DKIM adalah prasyarat bagi DMARC untuk berfungsi, tetapi dengan sendirinya mereka tidak menghentikan e-mel yang dipalsukan daripada mencapai peti masuk.

Apa perbezaan antara 'none', 'quarantine' dan 'reject'? Yang mana saya perlukan?

'none' hanya menonton dan melaporkan — ia tidak menghentikan apa-apa, jadi ia tidak melindungi anda. 'quarantine' menghantar pemalsuan ke folder spam. 'reject' menolaknya terus, supaya ia tidak pernah tiba. 'reject' adalah matlamat dan satu-satunya tetapan yang mendapat markah penuh. 'quarantine' adalah batu loncatan yang munasabah; 'none' adalah titik permulaan untuk beberapa minggu pertama, bukan destinasi.

Apa itu perkara pelaporan 'rua', dan adakah saya memerlukannya?

Tag rua meminta pembekal mel untuk menghantar kepada anda ringkasan harian setiap sistem yang cuba menghantar e-mel sebagai domain anda — termasuk penjenayah. Itulah cara perniagaan mendapati 5 hingga 50 pengirim tanpa kebenaran yang biasanya menyalahgunakan domain pada hari pertama. Dengan sendirinya ia membawa kurang berat daripada dasar, tetapi itulah cara anda bergerak dengan selamat ke 'reject' tanpa memutuskan mel sebenar anda, jadi sediakan pada masa yang sama.

Kami hampir tidak menghantar e-mel, atau kami tidak menghantar e-mel dari domain ini langsung. Adakah kami masih memerlukan DMARC?

Terutamanya kemudian. Domain yang menghantar sedikit atau tiada e-mel sebenar adalah sasaran yang sempurna dan rendah-bunyi untuk penjenayah menyamar, kerana tiada siapa yang menonton. Domain yang anda tidak pernah menghantar mel darinya sepatutnya menerbitkan dasar tolak yang ketat — ia adalah kemenangan bersih dan berisiko rendah yang menutup pintu sepenuhnya.