Defaults.Exposed › Remedieri › DMARC (Protecție Spoofing Email)

Cum să remediezi DMARC (Protecție Spoofing Email)

DMARC este singura setare care le spune cu adevărat furnizorilor de mail ai lumii să BLOCHEZE email-urile care falsifică numele afacerii tale. SPF și DKIM verifică lacătele; DMARC decide ce se întâmplă când un fals eșuează verificarea — aruncă-l, semnalează-l, sau lasă-l să treacă. Setat greșit, domeniul tău este complet falsificabil; setat corect, impostarea se oprește la inbox.

Concluzia pentru afacerea ta: Fără aplicarea DMARC, un criminal poate trimite email care arată exact ca venind de la afacerea ta — clienților tăi, personalului și furnizorilor — și aterizează în inbox-ul lor, nu în spam. Oamenii sunt escrocați în numele tău, și te învinuiesc pe tine.

Ce te poate costa

• Un escroc trimite clientului tău o factură cu aspect real 'din echipa ta de conturi' cu detaliile lor bancare. Clientul plătește. Afli săptămâni mai târziu când urmăresc mărfurile pentru care au plătit deja — și te fac responsabil.
• Un email fals de 'plată urgentă' merge la propria persoană din finanțele tale, apărând ca venind de la tine, proprietarul. Virează banii înainte ca cineva să se gândească să verifice de două ori — și odată ce aterizează în contul unui criminal, aproape niciodată nu se recuperează.
• Echipa IT a unui mare prospect rulează o verificare de securitate pe domeniul tău înainte de semnare. Vine înapoi 'email neprotejat — poate fi fals.' Pierzi tranzacția unui concurent al cărui domeniu a trecut.
• Domeniul tău este folosit într-un val de phishing. Clienții care au fost înșelați lasă recenzii furioase și avertizează pe alții. Deteriorarea reputației depășește atacul cu luni.
• Chiar și emailul tău autentic începe să fie aruncat la gunoi, deoarece Google și Yahoo din ce în ce mai mult nu au încredere — și acum uneori resping — domenii fără DMARC aplicat.

De ce contează. Email-ul nu a fost construit niciodată pentru a dovedi cine l-a trimis cu adevărat, deci falsificarea adresei 'from' este banală. DMARC este singurul control care transformă 'putem detecta falsurile' în 'falsurile sunt blocate' — și îți oferă de asemenea rapoartele zilnice care dezvăluie cine trimite mail ca brandul tău. Marii furnizori de cutii poștale tratează acum o politică DMARC lipsă sau neaplicată ca un semnal de încredere împotriva ta, deci aceasta afectează dacă propriul tău email este livrat de asemenea.

Ce este DMARC, în cuvinte simple

Email-ul are un secret murdar: linia “from” este pur și simplu text tastat. Oricine, de oriunde, poate scrie numele și adresa afacerii tale în câmpul “from” al unui email și îl poate trimite. Internetul nu a fost niciodată proiectat să îi oprească.

Există trei setări care, împreună, remediază asta. Gândește-te la ele ca la securitatea unei clădiri:

• SPF este o listă a celor cărora li se permite să intre pe ușa din față (ce servicii de mail pot trimite în numele tău).
• DKIM este un sigiliu rezistent la falsificare care dovedește că mesajul nu a fost alterat în tranzit.
• DMARC este gardianul de securitate care verifică lista și sigiliul — și, crucial, decide ce să facă când nu corespund: lasă-l să treacă, trimite-l la spam, sau întoarce-l la ușă.

Poți avea lista (SPF) și sigiliul (DKIM) și tot să nu ai niciun gardian. Aceasta este situația cea mai comună și cea mai periculoasă: lacătele există, dar nimic nu le aplică. DMARC este aplicarea. Este diferența dintre “putem spune că acest email este fals” și “acest email fals nu ajunge niciodată la clientul tău.”

Ce te poate costa

Aceasta nu este teoretică. Iată modalitățile concrete prin care un domeniu neprotejat se transformă în bani reali și daune reale:

1. Escrocheria cu factura falsă. Un criminal trimite clientului tău ceva care arată exact ca o factură autentică de la echipa ta de conturi — același nume, același domeniu, design profesional — dar cu detaliile lor bancare. Deoarece domeniul tău nu este aplicat, aterizează în inbox, nu în spam. Clientul plătește. Descoperi săptămâni mai târziu când întreabă unde este comanda lor. Banii sunt de obicei dispăruți, și clientul te ține adesea pe tine responsabil pentru breșă.

2. Transferul bancar de CEO-fraudă. Un email apare ca venind de la tine, proprietarul, la persoana ta de finanțe: “Poți împinge această plată urgent, sunt în întâlnire.” Arată complet real deoarece este adresa ta — pur și simplu falsificată. Plata iese. Acest model — Business Email Compromise — este una din cele mai costisitoare escrocherii care lovesc afacerile mici, tocmai deoarece email-ul vine autentic de pe propriul tău domeniu, deci plutește direct prin suspiciune.

3. Contractul pierdut. Un prospect serios rulează o verificare de securitate sau achiziții înainte de semnare. Instrumentarea lor raportează domeniul tău ca “falsificabil — fără aplicare autentificare email.” Acel singur semnal roșu poate fi suficient să acorde contractul unui concurent al cărui domeniu a trecut. Nu auzi niciodată motivul real.

4. Lovitura de reputație pe care nu o poți anula. Domeniul tău este măturat într-o campanie de phishing. Zeci de oameni care au fost înșelați în numele tău postează avertismente și recenzii. Atacul durează o săptămână; întrebarea “este această companie chiar sigură?” persistă luni.

5. Propriul tău email ajungând la spam. Google și Yahoo acum nu au activ încredere în domeniile fără DMARC aplicat. Oferte, facturi și răspunsuri pe care le-ai trimis tu genuini încep în tăcere să aterizeze în dosarele de spam. Tranzacțiile stagnează și nu afli niciodată de ce.

Ce este de fapt (și cum arată “bine”)

DMARC locuiește ca o singură linie de text în setările domeniului tău — o înregistrare DNS “TXT” publicată la numele special _dmarc.domeniultau. În interior sunt câteva instrucțiuni scurte. Două din ele contează cel mai mult, și sunt exact cele două lucruri pe care le verifică această evaluare.

1. Politica (p=) — ordinele gardianului. Aceasta este partea cu pondere grea a verificării. Poate fi una din trei lucruri:

• p=none — numai urmărire. Gardianul notează cine a trecut dar nu oprește pe nimeni. Aceasta nu te protejează de nimic; este o etapă de monitorizare, nu o configurare terminată. (Motorul nostru o scorează ca un eșec — mai bine decât niciun DMARC deloc, dar nu protecție.)
• p=quarantine — trimite falsurile la spam. Protecție reală, dar un atacator hotărât contează că oamenii verifică dosarul de spam. O treaptă rezonabilă — câștigă aproximativ jumătate din note.
• p=reject — refuză falsurile la ușă. Email-ul falsificat nu este livrat niciodată. Aceasta este singura setare care te protejează complet și câștigă note complete.

Cum arată “bine”: p=reject. Orice mai puțin lasă un decalaj.

Două detalii tehnice pe care verificarea noastră le privește de asemenea, care merită să fie știute pentru a nu fi prins:

• Politica subdomeniului (sp=). Poți seta o politică puternică pentru domeniul tău principal dar lăsa accidental subdomeniile (precum mail.domeniultau sau news.domeniultau) larg deschise. Motorul nostru penalizează asta dur — un domeniu cu p=reject dar sp=none este notat jos aproape de a nu avea nicio aplicare deloc, deoarece atacatorii pur și simplu falsifică un subdomeniu în schimb. Buna practică este să lași sp să moștenească politica ta principală puternică, sau să o setezi explicit la reject.
• Procentajul (pct=). În timpul unui rollout atent poți aplica aplicarea numai la o fracțiune din mail (de ex. pct=25). Aceasta este un instrument de tranziție legitim, dar un rollout parțial oferă numai protecție parțială, și nota noastră reflectă asta — crește constant pe măsură ce treci de la 25% spre 100%, dar notele complete au nevoie de acoperire completă.

2. Adresa de raportare (rua=) — vizibilitatea ta. Aceasta este a doua verificare pe această pagină. Tag-ul rua= cere fiecărui furnizor de mail din lume să îți trimită un rezumat zilnic al cine a încercat să trimită email ca domeniul tău — propriile tale sisteme și orice impostori. Fără el, zbori orb: nu ai nicio idee cine îți abuzează numele. Cu el, afacerile descoperă în mod obișnuit între 5 și 50 de expeditoare neautorizate în prima zi.

Cum arată “bine” pentru raportare: o adresă rua=mailto: validă (sau un URL https: de serviciu de raportare) care primește de fapt rapoartele. Verificarea noastră validează formatul — o adresă greșit tastată sau malformată înseamnă că rapoartele nu ajung nicăieri în tăcere, ceea ce scorează ca un rezultat parțial sau eșuat chiar dacă un tag este tehnic “prezent.”

Cum se remediază (gratuit, ~30 minute răspândiți pe două săptămâni)

Predă această secțiune celui care îți gestionează domeniul, site-ul, sau IT-ul — remedierea este complet gratuită. Percepem taxe numai pentru a monitoriza că rămâne corect în timp, pentru a gestiona un portofoliu de domenii, sau pentru un audit. Modificarea în sine nu costă nimic.

Regula de aur: nu sări niciodată direct la reject. Activează mai întâi monitorizarea, urmărește rapoartele, confirmă că mail-ul tău real este recunoscut, apoi strânge. Făcut în această ordine este sigur; făcut în grabă poate trimite la gunoi propriul tău email.

Pasul 1 — Asigură-te că SPF și DKIM sunt mai întâi la locul lor. DMARC se bazează pe ele. Dacă oricare lipsește, rezolvă-le pe acelea înainte de a aplica DMARC (vezi paginile SPF și DKIM).

Pasul 2 — Publică o înregistrare de monitorizare cu raportarea activată. Adaugă o înregistrare DNS TXT:

• Gazdă / nume: _dmarc.domeniultau (furnizorul tău DNS poate arăta aceasta ca doar _dmarc)
• Tip: TXT
• Valoare: v=DMARC1; p=none; rua=mailto:dmarc@domeniultau; adkim=s; aspf=s

Aceasta urmărește și raportează fără a bloca nimic încă. Părțile adkim=s; aspf=s solicită aliniament strict — lasă-le afară inițial dacă nu ești sigur și adaugă-le odată ce mail-ul tău este confirmat curat.

Pasul 3 — Citește rapoartele timp de ~2 săptămâni. Rapoartele brute DMARC sunt XML dens. Folosește un serviciu gratuit de raportare (de exemplu dmarcian sau instrumentul gratuit DMARC al Postmark) pentru a le transforma într-un tablou de bord lizibil. Confirmă că fiecare expeditor legitim — furnizorul cutiei poștale, instrumentul de newsletter, CRM, helpdesk, aplicația de facturare — trece. Remediază orice expeditor autentic care nu trece.

Pasul 4 — Mută la quarantine. Odată ce mail-ul tău real este curat, schimbă p=none la p=quarantine. Urmărește alte câteva zile.

Pasul 5 — Mută la reject. În final schimbă p=quarantine la p=reject. Ești acum complet protejat. Înregistrarea finală arată astfel:

v=DMARC1; p=reject; rua=mailto:dmarc@domeniultau; adkim=s; aspf=s

Pasul 6 — Nu uita subdomeniile. Asigură-te că nu ai lăsat sp=none la locul lui. Dacă nu publici niciun sp deloc, subdomeniile moștenesc politica ta principală p=, ceea ce dorești.

Note per platformă comună:

• Google Workspace / Microsoft 365: Ambele suportă complet DMARC. Înregistrarea DMARC în sine merge în furnizorul tău DNS, nu în consola de administrare Google sau Microsoft — asigură-te că SPF și DKIM sunt activate în consola de administrare mai întâi, apoi publică înregistrarea TXT DMARC la registratorul/gazda DNS.
• Cloudflare: DNS > Înregistrări > Adaugă înregistrare > TXT, numele _dmarc, lipește valoarea. Cloudflare oferă de asemenea gestionare DMARC incorporată care poate configura asta și colecta rapoartele pentru tine.
• Gazde / registratori comuni (GoDaddy, Namecheap etc.): Caută “DNS”, “Zonă DNS”, sau “DNS Avansat”, adaugă o înregistrare TXT cu numele _dmarc și valoarea de mai sus. Propagarea durează de obicei câteva minute la o oră.

Greșeli comune

• Oprind la p=none. Cea mai comună greșeală de departe. Monitorizarea este începutul, nu finalul — un domeniu blocat pe none este totuși complet falsificabil. Motorul nostru îl scorează ca un eșec tocmai din acest motiv.
• Sărind direct la reject fără monitorizare. Greșeala opusă. Fără etapa de raportare s-ar putea să nu îți dai seama că un expeditor legitim (adesea un instrument de newsletter sau de facturare) nu este aliniat — și vei începe să blochezi propriul tău mail.
• Uitând politica subdomeniului. Un p=reject puternic cu sp=none lasă o ușă laterală larg deschisă; atacatorii pur și simplu falsifică un subdomeniu în schimb.
• O adresă de raportare stricată. Un rua= greșit tastat (sau unul căruia îi lipsește prefixul mailto:) înseamnă că rapoartele nu ajung nicăieri și rămâi orb fără să îți dai seama. Formatul trebuie să fie un URI valid mailto: sau https:, sau rapoartele nu sunt livrate niciodată.
• “Nu trimitem email, deci îl vom sări.” Un domeniu care nu trimite este o țintă principală tocmai deoarece nimeni nu îl urmărește. Publică o politică strictă reject pentru a o bloca complet.

O notă despre notare

Verificarea politicii (p=) este unul din elementele cu cea mai grea pondere din întreaga evaluare — deoarece este cel mai mare factor unic în dacă afacerea ta poate fi impostată. reject câștigă scorul complet; quarantine câștigă aproximativ jumătate; none și o înregistrare lipsă scorează ca eșecuri. O politică de subdomeniu mai slabă sau un rollout parțial pct= trage scorul în jos pentru a corespunde nivelului real de protecție pe care îl ai de fapt.

Verificarea raportării (rua=) poartă de asemenea greutate reală, dar gândește-te la ea mai puțin ca la o bifă și mai mult ca la instrumentul care îți permite să ajungi la reject în siguranță. Configurați-o în același timp cu înregistrarea de monitorizare, și se amortizează în vizibilitate în prima zi.

Configurează-l la furnizorul tău

Pas cu pas pentru furnizorii populari:

• Configurează DMARC pe GoDaddy
• Configurează DMARC pe Namecheap
• Configurează DMARC pe Cloudflare
• Configurează DMARC pe Google Workspace
• Configurează DMARC pe Microsoft 365
• Configurează DMARC pe Squarespace
• Configurează DMARC pe Wix
• Configurează DMARC pe AWS Route 53
• Configurează DMARC pe Hostinger
• Configurează DMARC pe Porkbun
• Configurează DMARC pe IONOS
• Configurează DMARC pe Bluehost

Întrebări frecvente