Defaults.Exposed › Popravki › DMARC (Zaščita pred ponarejanjem e-pošte)

Kako popraviti DMARC (Zaščita pred ponarejanjem e-pošte)

DMARC je tista ena nastavitev, ki dejansko pove poštnim ponudnikom po vsem svetu, da BLOKIRAJO e-pošte, ki ponaredijo ime vašega podjetja. SPF in DKIM preverita ključavnice; DMARC odloči, kaj se zgodi, ko ponaredba ne prestane preverjanja — ga zavrže, označi ali pošlje naprej. Napačno nastavljen, je vaša domena v celoti ponaredljiva; pravilno nastavljen, se ponarejanje ustavi pri mapi prihoda.

Bistvo za vaše podjetje: Brez uveljavljanja DMARC sme kriminalec poslati e-pošto, ki izgleda točno, kot da je prišla od vašega podjetja — vašim strankam, osebju in dobaviteljem — in pristane v njihovi mapi prihoda, ne v neželeni pošti. Ljudje so prevarani v vašem imenu in vas krivijo.

Kaj vas to lahko stane

Prevarant vaši stranki po e-pošti pošlje pravo videzu podoben račun 'od vaše računovodske ekipe' z lastnimi bančnimi podatki. Stranka ga plača. Za to izveste tedne pozneje, ko zasleduje blago, za katerega je že plačala — in vas drži odgovornega.
Lažna e-pošta 'urgentnega plačila' gre vaši lastni finančni osebi, ki izgleda, da prihaja od vas, lastnika. Nakažejo denar, preden kdorkoli misli dvakrat preveriti — in ko pristane na računu kriminalca, se skoraj nikoli ne povrne.
IT ekipa velikega naročnika opravi varnostno preverjanje vaše domene pred podpisom. Vrne se 'e-pošta ni zaščitena — se jo da ponarediti'. Posel izgubite pri konkurentu, katerega domena je prestala.
Vaša domena je uporabljena v phishing valu. Stranke, ki so bile prevarane, pustijo jezne ocene in svarijo druge. Škoda ugleda preseže napad za mesece.
Celo vaša pristna e-pošta začne pristajati v neželeni pošti, ker Google in Yahoo vse bolj ne zaupajo — in zdaj včasih zavračajo — domene brez uveljavljanega DMARC.

Zakaj je to pomembno. E-pošta nikoli ni bila zgrajena za dokazovanje, kdo jo je dejansko poslal, zato je ponarejanje naslova 'od' trivialno. DMARC je edini nadzorni element, ki 'zaznamo lažne' pretvori v 'lažne so blokirane' — in prav tako vam dá dnevna poročila, ki razkrijejo, kdo pošilja e-pošto kot vaša blagovna znamka. Veliki poštni ponudniki zdaj obravnavajo manjkajočo ali neuveljavljano DMARC politiko kot signal zaupanja proti vam, zato to vpliva na to, ali je vaša lastna e-pošta dostavljena.

Kaj je DMARC v preprostem jeziku

E-pošta ima umazano skrivnost: vrstica “od” je le vtipkano besedilo. Kdorkoli, kjerkoli, sme vtipkati vaše ime in naslov podjetja v polje “od” e-pošte in jo pošlje. Internet nikoli ni bil zasnovan za preprečevanje.

Obstajajo tri nastavitve, ki skupaj to popravijo. Pomislite nanje kot varovanje stavbe:

SPF je seznam, kdo sme vstopiti skozi sprednja vrata (kateri poštni servisi smejo pošiljati kot vi).
DKIM je tamper-proof pečat, ki dokazuje, da sporočilo ni bilo spremenjen med prenosom.
DMARC je varnostnik, ki preveri seznam in pečat — in, kar je ključno, odloči, kaj storiti, ko se ne ujemata: pusti skozi, pošlje v neželeno pošto ali zavrne pri vratih.

Imate seznam (SPF) in pečat (DKIM) in ste vseeno brez varnostnika. To je najpogostejša in najnevarnejša situacija: ključavnice obstajajo, a nič jih ne uveljavlja. DMARC je uveljavitev. Je razlika med “zaznamo, da je ta e-pošta lažna” in “ta lažna e-pošta nikoli ne doseže vaše stranke.”

Kaj vas to lahko stane

To ni teoretično. Tukaj so konkretni načini, na katere nezaščitena domena se pretvori v pravi denar in pravo škodo:

Prevara z lažnim računom. Kriminalec vaši stranki pošlje e-pošto, ki izgleda točno kot pristni račun vaše računovodske ekipe — isto ime, ista domena, profesionalna oblika — a z lastnimi bančnimi podatki. Ker vaša domena ni uveljavljena, pristane v mapi prihoda, ne neželeni pošti. Stranka plača. Za to izveste tedne pozneje, ko vprašajo, kje je njihovo naročilo. Denar je navadno odšel, in stranka pogosto vas drži odgovornega za kršitev.
Bančno nakazilo za CEO goljufijo. E-pošta izgleda, da prihaja od vas, lastnika, vaši finančni osebi: “Ali imate možnost nujno odriniti to plačilo, sem na sestanku.” Izgleda v celoti resnično, ker je je vaš naslov — le ponarejen. Plačilo odide. Ta vzorec — Business Email Compromise — je ena od najdražjih prevar, ki zadevajo majhna podjetja, natanko zato, ker e-pošta resnično prihaja od vaše lastne domene, torej mimo suma ravna.
Izgubljena pogodba. Resen naročnik pred podpisom zažene varnostno ali nabavno preverjanje. Njihovo orodje poroča, da je vaša domena “ponaredljiva — ni uveljavljanja e-poštne avtentikacije.” Ta posamezna rdeča zastavica sme zadostovati za podelitev pogodbe konkurentu, katerega domena je prestala. Resničnega razloga nikoli ne slišite.
Udarec po ugledu, ki ga ne morete razveljaviti. Vaša domena je vključena v phishing kampanjo. Ducati ljudi, ki so bili prevarani v vašem imenu, objavljajo opozorila in ocene. Napad traja teden; vprašanje “ali je to podjetje sploh varno?” traja mesece.
Vaša lastna e-pošta gre v neželeno pošto. Google in Yahoo zdaj aktivno ne zaupata domenom brez uveljavljanega DMARC. Ponudbe, računi in odgovori, ki ste jih resnično poslali, začnejo tiho pristajati v mapah neželene pošte. Posli se zastavljajo in nikoli ne ugotovite zakaj.

Kaj dejansko je (in kako izgleda “dobro”)

DMARC živi kot ena vrstica besedila v nastavitvah vaše domene — DNS “TXT” zapis, objavljen pri posebnem imenu _dmarc.vasadomena. Znotraj so kratka navodila. Dve od njih sta najpomembnejši in to sta natanko dve stvari, ki jih to ocenjevanje preverja.

1. Politika (p=) — ukazi varnostnika. To je del preverjanja z velikimi točkami. Je ena od treh stvari:

p=none — le opazovati. Varnostnik beleži, kdo je prišel skozi, a nikogar ne ustavi. To vas ne ščiti pred ničemer; je faza nadzorovanja, ne zaključena nastavitev. (Naš sistem to točkuje kot neuspeh — boljše od brez DMARC, a ni zaščita.)
p=quarantine — pošlji ponaredbe v neželeno pošto. Prava zaščita, a odločni napadalec stavi na to, da ljudje preverijo mapo neželene pošte. Razumen vmesni korak — zasluži grobno polovico točk.
p=reject — zavrni ponaredbe pri vratih. Ponarejenega e-poštnega sporočila nikoli ni dostavljeno. To je edina nastavitev, ki vas v celoti ščiti in zasluži polne točke.

Kako izgleda “dobro”: p=reject. Karkoli manj pusti vrzel.

Dve tehnični podrobnosti, ki jih naše preverjanje prav tako gleda, vredni vedeti, da ne boste ujeti:

Politika poddomene (sp=). Nastavite močno politiko za vašo glavno domeno, a po naključju pustite poddomene (kot mail.vasadomena ali novice.vasadomena) popolnoma odprte. Naš sistem to težko kaznuje — domena z p=reject, a sp=none je točkovana blizu nimeti uveljavljanja sploh, ker napadalci potem preprosto ponaredijo poddomeno. Dobra praksa je pustiti sp, da podeduje vašo močno glavno politiko, ali jo eksplicitno nastaviti na reject.
Odstotek (pct=). Med skrbnim uvajanjem smete uveljavljati le del pošte (npr. pct=25). To je legitimno orodje za prehod, a delno uvajanje nudi le delno zaščito, in naša ocena to odraža — narašča, ko se premikate od 25% proti 100%, a polne točke potrebujejo polno pokritost.

2. Naslov za poročanje (rua=) — vaša vidnost. To je drugo preverjanje na tej strani. Oznaka rua= prosi vsakega poštnega ponudnika na svetu, da vam pošlje dnevni povzetek o tem, kdo je poskusil poslati e-pošto kot vaša domena — vaši lastni sistemi in vsi ponarejatelji. Brez tega letite slepo: ne veste, kdo zlorablja vaše ime. Z njim podjetja rutinsko že prvi dan odkrijejo med 5 in 50 nepooblaščenih pošiljateljev.

Kako izgleda “dobro” za poročanje: veljaven naslov rua=mailto: (ali URL poročevalske storitve https:), ki dejansko prejema poročila. Naše preverjanje potrdi obliko — napačno vtipkan ali nepravilno oblikovan naslov pomeni, da poročila tiho ne gredo nikamor, kar je točkovano kot delni ali neuspešni rezultat, čeprav je oznaka tehnično “prisotna.”

Kako to popraviti (brezplačno, ~30 minut razporejenih prek dveh tednov)

Posredujte ta razdelek komurkoli, ki upravlja vašo domeno, spletno stran ali IT — popravek je v celoti brezplačen. Zaračunamo le za nadzorovanje, da ostane pravilno skozi čas, upravljanje portfolia domen ali za revizijo. Sama sprememba ne stane nič.

Zlato pravilo: nikoli ne skočite naravnost na reject. Najprej vklopite nadzorovanje, preberite poročila, potrdite, da je vaša prava pošta prepoznana, nato zategnite. Narejen v tem vrstnem redu je varen; narejen v naglici sme zasutiti vašo lastno e-pošto.

1. korak — Najprej zagotovite, da sta SPF in DKIM na mestu. DMARC se nanju zanaša. Če kateri koli manjka, ga uredite pred uveljavljanjem DMARC (glejte strani SPF in DKIM).

2. korak — Objavite nadzorni zapis z vklopljenim poročanjem. Dodajte DNS TXT zapis:

Gostitelj / ime: _dmarc.vasadomena (vaš ponudnik DNS ga morda prikaže le kot _dmarc)
Tip: TXT
Vrednost: v=DMARC1; p=none; rua=mailto:dmarc@vasadomena; adkim=s; aspf=s

To opazuje in poroča brez blokiranja česar koli zaenkrat. Deli adkim=s; aspf=s zahtevajo strogo poravnavo — jih izpustite na začetku, če niste prepričani, in dodajte, ko je vaša pošta potrjeno čista.

3. korak — Berite poročila za ~2 tedna. Surova DMARC poročila so gosta XML. Uporabite brezplačno poročevalsko storitev (na primer dmarcian ali brezplačno DMARC orodje Postmark), da jih pretvorite v berljivo nadzorno ploščo. Potrdite, da vsak legitimen pošiljatelj — vaš ponudnik mape prihoda, orodje za glasilo, CRM, helpdesk, aplikacija za fakturiranje — prestane. Popravite kateregakoli pristnega pošiljatelja, ki ne.

4. korak — Preidite na quarantine. Ko je vaša prava pošta čista, spremenite p=none v p=quarantine. Še nekaj dni opazujte.

5. korak — Preidite na reject. Nazadnje spremenite p=quarantine v p=reject. Zdaj ste v celoti zaščiteni. Končni zapis izgleda tako:

v=DMARC1; p=reject; rua=mailto:dmarc@vasadomena; adkim=s; aspf=s

6. korak — Ne pozabite na poddomene. Zagotovite, da niste pustili sp=none na mestu. Če sploh ne objavite sp, poddomene podedujejo vašo glavno politiko p=, kar je tisto, kar hočete.

Opombe po skupni platformi:

Google Workspace / Microsoft 365: oba v celoti podpirata DMARC. Sam zapis DMARC gre v vašega ponudnika DNS, ne v Googlovo ali Microsoftovo skrbniško konzolo — najprej zagotovite, da sta SPF in DKIM vklopljena v skrbniški konzoli, nato objavite TXT zapis DMARC pri vašem registrarju/DNS gostitelju.
Cloudflare: DNS > Zapisi > Dodaj zapis > TXT, ime _dmarc, prilepite vrednost. Cloudflare prav tako ponuja vgrajeno upravljanje DMARC, ki to nastavi in zbira poročila za vas.
Pogosti gostitelji / registrarji (Blacknight, GoDaddy itd.): poiščite “DNS”, “DNS cono” ali “Napredni DNS”, dodajte TXT zapis z imenom _dmarc in vrednostjo zgoraj. Razširjanje navadno vzame od nekaj minut do ure.

Pogoste napake

Ustavitev pri p=none. Daleč najpogostejša napaka. Nadzorovanje je začetek, ne konec — domena, obtičali na none, je še vedno v celoti ponaredljiva. Naš sistem jo točkuje kot neuspeh natanko iz tega razloga.
Skok naravnost na reject brez nadzorovanja. Nasprotna napaka. Brez faze poročanja morda ne boste vedeli, da legitimen pošiljatelj (pogosto glasilo ali orodje za fakturiranje) ni usklajen — in začeli boste blokirati lastno pošto.
Pozabljanje politike poddomene. Močna p=reject z sp=none pusti stranska vrata odprta; napadalci preprosto ponaredijo poddomeno.
Pokvarjen naslov za poročanje. Napačno vtipkana rua= (ali manjkajoča predpona mailto:) pomeni, da poročila gredo nikamor in ostanete slepi, ne da bi se zavedali. Oblika mora biti veljavni URI mailto: ali https:, ali poročila niso nikoli dostavljena.
“Ne pošiljamo e-pošte, torej bomo preskočili.” Domena brez pošiljanja je idealna tarča natanko zato, ker nihče ne gleda. Objavite strogo politiko reject, da jo v celoti zaklenete.

Opomba o točkovanju

Preverjanje politike (p=) je ena od postavk z največjimi točkami v celotnem ocenjevanju — ker je enotni največji dejavnik pri tem, ali se vaše podjetje sme ponarejati. reject zasluži polno oceno; quarantine zasluži grobno polovico; none in manjkajoč zapis se točkujeta kot neuspeh. Šibkejša politika poddomene ali delno pct= uvajanje povlečeta oceno dol, da ustreza pravi ravni zaščite, ki jo dejansko imate.

Preverjanje poročanja (rua=) nosi pravo težo, a ga pomislite manj kot polje za obkljukati in bolj kot orodje, ki vam omogoča varno doseči reject. Ga nastavite hkrati z vašim nadzornim zapisom in se prvi dan plača v vidnosti.

Nastavite pri svojem ponudniku

Korak za korakom pri priljubljenih ponudnikih:

Pogosta vprašanja

Sploh nisem tehničen — ali se s tem dejansko ukvarjam?

Da, a tega ni treba narediti osebno. Popravek je par vrstic, dodanih nastavitvam vaše domene, in je brezplačen. Najpreprosta pot je posredovati razdelek 'Kako to popraviti' spodaj komurkoli, ki vodi vašo spletno stran ali IT podporo. Navadno jim vzame dobro manj kot uro, razporejeno prek nekaj tednov varnega nadzorovanja.

Ali bi vklop DMARC po naključju preprečil dostavo mojih lastnih e-pošt?

Morda — a le, če preskočite varno uvajanje. Smisel začenjanja pri 'le nadzorovanje' (p=none) z vklopljenim poročanjem je gledati dve tedni in potrditi, da je vsak legitimni pošiljatelj (vaša mapa prihoda, vaše orodje za glasilo, vaša aplikacija za fakturiranje) pravilno prepoznan, PREDEN preklopite na blokiranje. Narejen v tem vrstnem redu je vaša prava pošta nespremenjena. Hitenje naravnost na 'reject' brez preverjanja poročil je ena pogosta napaka, ki pokvari dostavo.

Imam že nastavljena SPF in DKIM. Ali ni to dovolj?

Ne — in to je najpomembnejša točka za razumevanje. SPF in DKIM sta ključavnici; DMARC je navodilo, ki pravi 'če ključavnici ne ustrezata, zavrni e-pošto.' Brez DMARC pri 'reject' sme sprejemni strežnik opaziti, da je e-pošta ponarejena, in jo vseeno dostavi. SPF in DKIM sta predpogoja za delovanje DMARC, a sama po sebi ne preprečita ponarejenega e-poštnega sporočila, da doseže mapo prihoda.

Kakšna je razlika med 'none', 'quarantine' in 'reject'? Katerega potrebujem?

'none' le opazuje in poroča — nič ne ustavi, zato vas ne ščiti. 'quarantine' pošlje ponaredbe v mapo za neželeno pošto. 'reject' jih zavrne v celoti, tako da nikoli ne prispejo. 'reject' je cilj in edina nastavitev, ki zasluži polne točke. 'quarantine' je razumen vmesni korak; 'none' je izhodišče za prvih par tednov, ne cilj.

Kaj je ta stvar 'rua' poročanja in ali jo potrebujem?

Oznaka rua prosi poštne ponudnike, da vam pošljejo dnevni povzetek vsakega sistema, ki je poskusil poslati e-pošto kot vaša domena — vključno s kriminalci. Tako podjetja na dan eden odkrijejo med 5 in 50 nepooblaščenih pošiljateljev, ki navadno zlorabljajo domeno. Sama po sebi nosi manj teže kot politika, a je način, na katerega varno preidete na 'reject' brez kvarjenja prave pošte, zato jo hkrati nastavite.

Komajda pošiljamo e-pošto ali te domene sploh ne pošljemo e-pošte. Ali še vedno potrebujemo DMARC?

Zlasti takrat. Domena, ki pošilja malo ali nič prave e-pošte, je popolna, nizkohrupna tarča za kriminalce pri ponarejanju, ker nihče ne gleda. Domena, s katere nikoli ne pošljete pošte, bi morala objaviti strogo politiko zavrnitve — je čista, nizkotveganostna zmaga, ki v celoti zaklene vrata.