Defaults.Exposed › Opravy › DMARC (Ochrana pred falšovaním e-mailu)

Ako opraviť DMARC (Ochrana pred falšovaním e-mailu)

DMARC je jedno nastavenie, ktoré skutočne hovorí poštovým poskytovateľom sveta BLOKOVAŤ e-maily, ktoré falšujú meno vašej firmy. SPF a DKIM kontrolujú zámky; DMARC rozhoduje, čo sa stane, keď falzifikát neuspeje v kontrole — zahoďte ho, označte alebo nechajte prejsť. Nesprávne nastavené, vaša doména je plne falzifikovateľná; správne nastavené, vydávanie sa za vás zastaví pri doručenej pošte.

Podstata pre vaše podnikanie: Bez vymáhania DMARC môže zločinec poslať e-mail, ktorý vyzerá presne ako by pochádzal od vašej firmy — vašim zákazníkom, zamestnancom a dodávateľom — a pristane v ich doručenej pošte, nie v spame. Ľudia sú podvádzaní vo vašom mene a vinia vás.

Čo vás to môže stáť

• Podvodník e-mailuje vášmu zákazníkovi skutočne vyzerajúcu faktúru 'od vášho účtovného tímu' s ich vlastnými bankovými údajmi. Zákazník zaplatí. Dozviete sa to týždne neskôr, keď prenasleduje tovar, za ktorý už zaplatil — a vinia vás.
• Falošný 'urgentný platobný' e-mail ide vašej vlastnej finančnej osobe, zdajúc sa pochádzať od vás, majiteľa. Previedú peniaze pred tým, než ktokoľvek premýšľa dvojito skontrolovať — a akonáhle pristane na účte zločinca, takmer nikdy sa nevrátia.
• IT tím väčšieho potenciálneho zákazníka spustí bezpečnostnú kontrolu vašej domény pred podpisom. Vráti sa 'e-mail nechránený — môže byť falšovaný.' Stratíte obchod v prospech konkurenta, ktorého doména prešla.
• Vaša doména je použitá vo phishingovej vlne. Zákazníci, ktorí boli oklamaní, zanechávajú nahnevané recenzie a varujú ostatných. Reputačné škody pretrvávajú útok o mesiace.
• Dokonca aj váš skutočný e-mail začína byť zahadzovaný, pretože Google a Yahoo čoraz viac nedôverujú — a teraz niekedy odmietajú — doménám bez vynucovaného DMARC.

Prečo na tom záleží. E-mail nikdy nebol postavený na to, aby dokazoval, kto ho skutočne poslal, preto je falšovanie 'od' adresy triviálne. DMARC je jediný ovládací prvok, ktorý premieňa 'môžeme detekovať falzifikáty' na 'falzifikáty sú blokované' — a tiež vám dáva denné reporty, ktoré odhaľujú, kto posiela poštu ako vaša značka. Veľkí poskytovatelia doručených pošty teraz zaobchádzajú s chýbajúcou alebo nevynucovanou DMARC politikou ako so signálom dôvery proti vám, takže to ovplyvňuje aj to, či je váš vlastný e-mail doručovaný.

Čo je DMARC, v jednoduchých slovách

E-mail má špinavé tajomstvo: riadok “od” je len napísaný text. Ktokoľvek, kdekoľvek, môže napísať váš obchodný názov a adresu do poľa “od” e-mailu a poslať ho. Internet nikdy nebol navrhnutý, aby ich zastavil.

Existujú tri nastavenia, ktoré spolu toto opravia. Predstavte si ich ako bezpečnosť budovy:

• SPF je zoznam, kto je povolený cez predné dvere (ktoré poštové služby môžu posielať za vás).
• DKIM je nefalzifikovateľná pečať, ktorá dokazuje, že správa nebola zmenená počas prenosu.
• DMARC je ochranka, ktorý kontroluje zoznam a pečať — a krásne, rozhoduje, čo urobiť, keď sa nezhodujú: nechajte to prejsť, pošlite to do spamu alebo otočte ich pri dverách.

Môžete mať zoznam (SPF) a pečať (DKIM) a stále nemôžete mať ochrankу. To je najčastejšia a najnebezpečnejšia situácia: zámky existujú, ale nič ich nevymáha. DMARC je vymáhanie. Je to rozdiel medzi “vieme povedať, že tento e-mail je falšovaný” a “tento falšovaný e-mail nikdy nedosiahne vášho zákazníka.”

Čo vás to môže stáť

Toto nie je teoretické. Tu sú konkrétne spôsoby, akými nechránená doména premení na skutočné peniaze a skutočné škody:

1. Podvod s falošnou faktúrou. Zločinec e-mailuje vášmu zákazníkovi to, čo vyzerá presne ako skutočná faktúra od vášho účtovného tímu — rovnaké meno, rovnaká doména, profesionálne rozloženie — ale s ich vlastnými bankovými údajmi. Pretože vaša doména nie je vynucovaná, pristane v doručenej pošte, nie v spame. Zákazník zaplatí. Zistíte to týždne neskôr, keď sa pýtajú, kde je ich objednávka. Peniaze sú zvyčajne preč a zákazník vás často vinia za porušenie.

2. CEO-podvod drôtový prevod. Zdá sa, že e-mail prichádza od vás, majiteľa, vašej finančnej osobe: “Môžete urgentne previesť túto platbu, som na stretnutí?” Vyzerá úplne reálne, pretože je vaša adresa — len falšovaná. Platba odíde. Tento vzor — Business Email Compromise — je jeden z najnákladnejších podvodov zasahujúcich malé firmy, presne preto, že e-mail skutočne prichádza z vašej vlastnej domény, takže preplachuje priamo podozrenie.

3. Stratená zmluva. Vážny potenciálny zákazník spustí bezpečnostnú alebo obstarávaciu kontrolu pred podpisom. Ich nástroj reportuje vašu doménu ako “falzifikovateľná — žiadne vymáhanie autentifikácie e-mailu.” Táto jedna červená vlajka môže stačiť na udelenie zmluvy konkurentovi, ktorého doména prešla. Nikdy sa nedozviete skutočný dôvod.

4. Reputačný zásah, ktorý nemôžete vziať späť. Vaša doména je zahrnuta do phishingovej kampane. Desiatky ľudí, ktorí boli podvedení vo vašom mene, uverejňujú varovania a recenzie. Útok trvá týždeň; otázka “je táto firma vôbec bezpečná?” pretrváva mesiace.

5. Váš vlastný e-mail idúci do spamu. Google a Yahoo teraz aktívne nedôverujú doménam bez vynucovaného DMARC. Ponuky, faktúry a odpovede, ktoré ste skutočne poslali, ticho začínajú pristávať v priečinkoch so spamom. Obchody viaznu a vy nikdy nezistíte prečo.

Čo to v skutočnosti je (a ako vyzerá ‘dobré’)

DMARC žije ako jeden riadok textu v nastaveniach vašej domény — DNS “TXT” záznam publikovaný na špeciálnom mene _dmarc.vasadomena. Vnútri je pár krátkych inštrukcií. Dve z nich záležia najviac a sú presne tie dve veci, ktoré toto hodnotenie kontroluje.

1. Politika (p=) — rozkazy ochranky. Toto je ťažko vážená časť kontroly. Môže to byť jedna z troch vecí:

• p=none — len sleduj. Ochranka zaznamenáva, kto prišiel cez dvere, ale nikoho nezastaví. Toto vás nechráni pred ničím; je to monitorovací stupeň, nie hotové nastavenie. (Náš engine to hodnotí ako zlyhanie — lepšie ako žiadne DMARC, ale nie ochrana.)
• p=quarantine — pošli falzifikáty do spamu. Skutočná ochrana, ale odhodlaný útočník počíta s tým, že ľudia budú kontrolovať priečinok spam. Solídny medzikrok — zarábá zhruba polovicu bodov.
• p=reject — odmietni falzifikáty pri dverách. Falšovaný e-mail nie je nikdy doručený. Toto je jediné nastavenie, ktoré vás plne chráni a zarábá plné body.

Ako vyzerá ‘dobré’: p=reject. Čokoľvek menej zanecháva medzeru.

Dve technické detaily, ktoré naša kontrola tiež skúma:

• Politika subdomény (sp=). Môžete nastaviť silnú politiku pre svoju hlavnú doménu, ale omylom nechať subdomény (ako mail.vasadomena alebo news.vasadomena) otvorené. Naša engine to tvrdo penalizuje — doména s p=reject, ale sp=none je hodnotená blízko nemať žiadne vymáhanie vôbec, pretože útočníci jednoducho falšujú subdoménu namiesto toho. Dobrá prax je nechať sp zdediť vašu silnú hlavnú politiku alebo ju nastaviť na reject explicitne.
• Percento (pct=). Počas starostlivého nasadenia môžete aplikovať vymáhanie len na zlomok pošty (napr. pct=25). To je legitímny prechodový nástroj, ale čiastočné nasadenie poskytuje len čiastočnú ochranu a naše skóre to odráža — stúpa stabilne, ako sa pohybujete od 25% smerom k 100%, ale plné body potrebujú plné pokrytie.

2. Adresa reportovania (rua=) — vaša viditeľnosť. Toto je druhá kontrola na tejto stránke. Tag rua= žiada každého poštového poskytovateľa na svete, aby vám posielal denný súhrn toho, kto sa pokúsil poslať e-mail ako vaša doména — vaše vlastné systémy a akíkoľvek vydavači. Bez neho letíte slepo: nemáte žiadnu predstavu, kto zneužíva vaše meno.

Ako vyzerá ‘dobré’ pre reportovanie: platná rua=mailto: adresa (alebo URL reportovacej služby https:), ktorá skutočne prijíma reporty. Naša kontrola overuje formát — nesprávne napísaná alebo zle formátovaná adresa znamená, že reporty ticho nikam nejdú, čo sa hodnotí ako čiastočný alebo zlyhaný výsledok.

Ako to opraviť (zadarmo, ~30 minút rozložených na dva týždne)

Odovzdajte túto sekciu tomu, kto spravuje vašu doménu, web alebo IT — oprava je úplne zadarmo. Účtujeme len na sledovanie, že zostáva správne v priebehu času, na správu portfólia domén alebo pre audit. Samotná zmena nestojí nič.

Zlaté pravidlo: nikdy neskočte priamo na reject. Najprv zapnite monitorovanie, sledujte reporty, potvrďte, že váš skutočný e-mail je rozpoznaný, potom utiahnite. Urobené v tomto poradí je to bezpečné; urobené v zhone môže zahadzovať váš vlastný e-mail.

Krok 1 — Najprv sa uistite, že SPF a DKIM sú na mieste. DMARC sa na nich spolieha. Ak niektorý chýba, najprv to vyriešte pred vymáhaním DMARC (pozrite stránky SPF a DKIM).

Krok 2 — Publikujte monitorovací záznam so zapnutým reportovaním. Pridajte DNS TXT záznam:

• Host / meno: _dmarc.vasadomena (váš DNS poskytovateľ to môže zobraziť len ako _dmarc)
• Typ: TXT
• Hodnota: v=DMARC1; p=none; rua=mailto:dmarc@vasadomena; adkim=s; aspf=s

Toto sleduje a reportuje bez blokovania čohokoľvek zatiaľ.

Krok 3 — Čítajte reporty ~2 týždne. Surové DMARC reporty sú husté XML. Použite bezplatnú reportovaciu službu (napríklad dmarcian alebo bezplatný DMARC nástroj Postmark) na ich premenu na čitateľný dashboard. Potvrďte, že každý legitímny odosielateľ — váš poskytovateľ doručenej pošty, newsletter nástroj, CRM, helpdesk, fakturačná aplikácia — prechádza. Opravte akéhokoľvek skutočného odosielateľa, ktorý neprechádza.

Krok 4 — Presuňte na quarantine. Keď je váš skutočný e-mail čistý, zmeňte p=none na p=quarantine. Sledujte ďalších pár dní.

Krok 5 — Presuňte na reject. Nakoniec zmeňte p=quarantine na p=reject. Ste teraz plne chránení. Finálny záznam vyzerá ako:

v=DMARC1; p=reject; rua=mailto:dmarc@vasadomena; adkim=s; aspf=s

Krok 6 — Nezabudnite na subdomény. Uistite sa, že ste nenechali sp=none na mieste. Ak nevydata žiadne sp vôbec, subdomény zdedia vašu hlavnú politiku p=, čo je to, čo chcete.

Poznámky na bežnú platformu:

• Google Workspace / Microsoft 365: Oboje plne podporuje DMARC. Samotný DMARC záznam ide do vášho DNS poskytovateľa, nie do administrátorskej konzoly Google alebo Microsoft — najprv v administrátorskej konzole povolte SPF a DKIM, potom publikujte DMARC TXT záznam u vášho registrátora/DNS hosta.
• Cloudflare: DNS > Záznamy > Pridať záznam > TXT, meno _dmarc, vložte hodnotu. Cloudflare tiež ponúka vbudovanú správu DMARC, ktorá to môže nastaviť a zbierať reporty za vás.
• Bežní hostia / registrátori: Hľadajte “DNS”, “DNS Zóna” alebo “Pokročilé DNS”, pridajte TXT záznam s menom _dmarc a hodnotou vyššie.

Bežné chyby

• Zastavenie na p=none. Najbežnejšia chyba o ďaleko. Monitorovanie je začiatok, nie koniec — doména zaseknutá na none je stále plne falzifikovateľná. Náš engine ju hodnotí ako zlyhanie práve z tohto dôvodu.
• Skákanie priamo na reject bez monitorovania. Opačná chyba. Bez fázy reportovania si možno neuvedomíte, že legitímny odosielateľ (často newsletter alebo fakturačný nástroj) nie je zarovnaný — a začnete blokovať vlastnú poštu.
• Zabudnutie na politiku subdomény. Silný p=reject s sp=none zanecháva bočné dvere dokorán otvorené; útočníci jednoducho falšujú subdoménu namiesto toho.
• Poškodená adresa reportovania. Nesprávne napísaná rua= (alebo chýbajúca predpona mailto:) znamená, že reporty nikam nejdú a vy zostávate slepo bez toho, aby ste si to uvedomili. Formát musí byť platná URI mailto: alebo https:, alebo reporty nie sú nikdy doručené.
• “Neposielame e-mail, preto to preskočíme.” Neposielajúca doména je prvoradý cieľ presne preto, že nikto ju nesleduje. Publikujte prísnu politiku reject na úplné uzamknutie.

Poznámka k hodnoteniu

Kontrola politiky (p=) je jednou z najťažšie vážených položiek v celom hodnotení — pretože je to jediný najväčší faktor v tom, či vaše podnikanie môže byť vydávané. reject zarábá plné skóre; quarantine zarábá zhruba polovicu; none a chýbajúci záznam sa hodnotia ako zlyhania. Slabšia politika subdomény alebo čiastočné nasadenie pct= ťahá skóre dolu, aby zodpovedalo skutočnej úrovni ochrany, ktorú skutočne máte.

Kontrola reportovania (rua=) tiež nesie skutočnú váhu — nastavte ho v rovnakom čase ako váš monitorovací záznam a od prvého dňa platí za seba v viditeľnosti.

Nastavte to u svojho hostiteľa

Krok za krokom pre populárnych poskytovateľov:

• Nastavte DMARC na GoDaddy
• Nastavte DMARC na Namecheap
• Nastavte DMARC na Cloudflare
• Nastavte DMARC na Google Workspace
• Nastavte DMARC na Microsoft 365
• Nastavte DMARC na Squarespace
• Nastavte DMARC na Wix
• Nastavte DMARC na AWS Route 53
• Nastavte DMARC na Hostinger
• Nastavte DMARC na Porkbun
• Nastavte DMARC na IONOS
• Nastavte DMARC na Bluehost

FAQ