Defaults.Exposed › Rešenja › DMARC (Zaštita od email spoofinga)

Kako popraviti DMARC (Zaštita od email spoofinga)

DMARC je jedno podešavanje koje zapravo govori svjetskim mail provajderima da BLOKIRAJU emailove koji falsificiraju naziv vašeg preduzeća. SPF i DKIM provjeravaju brave; DMARC odlučuje šta se dešava kad falsifikat ne prođe provjeru — odbaciće ga u smeće, flagovati ili propustiti. Postavljeno pogrešno, vaš domen je u potpunosti falsifikabilit; postavljeno ispravno, imitiranje staje na inboxu.

Suština za vaše poslovanje: Bez DMARC primjene, kriminalac može slati email koji izgleda tačno kao da je došao od vašeg preduzeća — vašim kupcima, osoblju i dobavljačima — i slijeće u njihov inbox, ne u spam. Ljudi bivaju prevareni u vaše ime i okrivljuju vas.

Šta vam ovo može koštati

Prevarant emailuje vašem kupcu pravi-izgledajući račun 'od vašeg računovodstvenog tima' s vlastitim bankovnim detaljima. Kupac ga plaća. Saznate sedmicama kasnije kad traži robu za koju je već platio — i drži vas odgovornim.
Lažni 'hitna uplata' email ide vašoj finansijskoj osobi, naizgled da dolazi od vas, vlasnika. Prenose novac pre nego iko pomisli da dvaput provjeri — i kad jednom sleti u kriminalčev račun, gotovo nikad nije naplaćeno.
IT tim većeg kupca vrši bezbednosnu provjeru vašeg domena pre potpisivanja. Vraća se 'email nije zaštićen — može biti falsificiran.' Gubite posao konkurentu čiji domen je prošao.
Vaš domen se koristi u phishing valu. Kupci koji su bili prevareni ostavljaju ljutite recenzije i upozoravaju druge. Reputacioni udar nadmašuje napad za mjesecima.
Čak i vaš pravi email počinje ići u smeće, jer Google i Yahoo sve više ne vjeruju — i sada ponekad odbijaju — domene bez primijenjenog DMARC-a.

Zašto je to važno. Email nikad nije bio izgrađen za dokazivanje ko ga je zaista poslao, pa je falsificiranje 'from' adrese trivijalno. DMARC je jedina kontrola koja pretvara 'možemo detektovati krivotvorine' u 'krivotvorine bivaju blokirane' — i daje vam dnevne izvještaje koji otkrivaju ko šalje poštu kao vaš brend. Veliki provajderi sandučića sada tretiraju nedostajuću ili neprimijenjenu DMARC politiku kao signal nepovjerenja prema vama, pa to utiče i na to da li vaš vlastiti email biva isporučen.

Šta je DMARC, jednostavnim rečima

Email ima prljavu tajnu: “from” linija je samo upisani tekst. Svako, bilo gdje, može napisati vaše ime i adresu preduzeća u “from” polje emaila i poslati ga. Internet nikad nije bio dizajniran da ih zaustavi.

Postoje tri podešavanja koja, zajedno, ovo popravljaju. Zamislite ih kao bezbednost zgrade:

SPF je lista ko je dozvoljen na prednjim vratima (koji mail servisi smiju slati kao vi).
DKIM je tamper-proof pečat koji dokazuje da poruka nije bila promijenjena u tranzitu.
DMARC je čuvar koji provjerava listu i pečat — i, presudno, odlučuje šta raditi kad se ne podudaraju: propustiti, poslati u spam ili odbiti na vratima.

Možete imati listu (SPF) i pečat (DKIM) i i dalje nemati čuvara. To je najčešća i najopasnija situacija: brave postoje, ali niko ih ne primjenjuje. DMARC je primjena. To je razlika između “možemo reći da je ovaj email lažan” i “ovaj lažni email nikad ne dostiže vašeg kupca.”

Šta vam ovo može koštati

Ovo nije teorijsko. Evo konkretnih načina na koje nezaštićen domen pretvara u pravi novac i pravu štetu:

Prevara s lažnim računom. Kriminalac emailuje vašem kupcu ono što izgleda tačno kao pravi račun od vašeg računovodstvenog tima — isto ime, isti domen, profesionalni izgled — ali s vlastitim bankovnim detaljima. Jer vaš domen nije primijenjen, slijeće u inbox, ne u spam. Kupac plaća. Saznate sedmicama kasnije kad pitaju gdje je narudžba. Novac je obično otišao i kupac često drži vas odgovornim za proboj.
CEO-fraud wire transfer. Email naizgled dolazi od vas, vlasnika, vašoj finansijskoj osobi: “Možeš li provući ovu uplatu hitno, ja sam u sastanku.” Izgleda potpuno pravo jer je vaša adresa — samo falsifikovana. Uplata odlazi. Ovaj uzorak — Business Email Compromise — je jedna od najskupljih prevara koje pogađaju mala preduzeća, tačno jer email genuino dolazi s vašeg vlastitog domena pa pravo prolazi pored sumnje.
Izgubljeni ugovor. Ozbiljan kupac vrši bezbednosnu ili nabavnu provjeru pre potpisivanja. Njihovi alati prijavljuju vaš domen kao “spoofable — nema primjene email autentifikacije.” Ta jedna crvena zastava može biti dovoljna da se ugovor dodijeli konkurentu čiji je domen prošao. Nikad čak ne čujete pravi razlog.
Reputacioni udar koji ne možete poništiti. Vaš domen biva uvučen u phishing kampanju. Desetine ljudi koji su bili prevareni u vaše ime postavljaju upozorenja i recenzije. Napad traje sedmicu; “je li ova kompanija uopšte bezbedna?” pitanje traje mesecima.
Vaš vlastiti email ide u spam. Google i Yahoo sada aktivno ne vjeruju domenima bez primijenjenog DMARC-a. Ponude, fakture i odgovori koje ste zaista poslali tiho počinju slijetati u spam folderima. Poslovi zastaju i nikad ne saznate zašto.

Šta je to zapravo (i kako izgleda “dobro”)

DMARC živi kao jedna linija teksta u podešavanjima vašeg domena — DNS “TXT” zapis objavljen na posebnom imenu _dmarc.vasdomecn. Unutar njega su par kratkih instrukcija. Dvije od njih su najbitnije i to su tačno dvije stvari koje ova procjena provjerava.

1. Politika (p=) — nalozi čuvara. Ovo je teško-ponderisani dio provjere. Može biti jedna od tri stvari:

p=none — samo gledaj. Čuvar bilježi ko je prošao ali nikoga ne zaustavlja. Ovo vas ne štiti ni od čega; to je faza praćenja, ne završena konfiguracija. (Naš engine ovo boduje kao kvar — bolje od nikakavog DMARC-a, ali ne zaštita.)
p=quarantine — šalji krivotvorine u spam. Prava zaštita, ali uporan napadač računa na to da ljudi provjeravaju spam folder. Solidna međustanica — zarađuje otprilike pola bodova.
p=reject — odbij krivotvorine na vratima. Falsifikovani email nikad nije isporučen. Ovo je jedino podešavanje koje vas u potpunosti štiti i zarađuje pune bodove.

Kako izgleda “dobro”: p=reject. Išta manje ostavlja prazninu.

Dva tehnička detalja koje naša provjera takođe gleda, vrijedno znanja da se ne uhvatite:

Politika poddomena (sp=). Možete postaviti jaku politiku za vaš glavni domen ali slučajno ostaviti poddomene (poput mail.vasdomecn ili news.vasdomecn) potpuno otvorenim. Naš engine ovo kažnjava teško — domen s p=reject ali sp=none boduje se blizu nemanja primjene uopšte, jer napadači će jednostavno spoofovati poddomen umjesto toga. Dobra praksa je pustiti da sp nasljeđuje vašu jaku glavnu politiku ili je postaviti eksplicitno na reject.
Postotak (pct=). Tokom pažljive implementacije možete primijeniti primjenu samo na frakciju pošte (npr. pct=25). To je legitimni tranzicioni alat, ali djelomična implementacija daje samo djelomičnu zaštitu i naš skor to odražava — raste postepeno dok idete od 25% prema 100%, ali pune bodove treba punu pokrivenost.

2. Adresa za izvještavanje (rua=) — vaša vidljivost. Ovo je druga provjera na ovoj stranici. rua= tag traži od svakog mail provajdera na svijetu da vam šalje dnevni sažetak ko je pokušao slati email kao vaš domen — vaši vlastiti sistemi i bilo koji imitatori. Bez njega letite slijepi: nemate pojma ko zloupotrebljava vaše ime. S njim, preduzeća rutinski otkrivaju između 5 i 50 neovlaštenih pošiljalaca već prvog dana.

Kako izgleda “dobro” za izvještavanje: valjana rua=mailto: adresa (ili https: URL izvještajnog servisa) koja zaista prima izvještaje. Naša provjera validira format — pogrešno upisana ili loše-formatirana adresa znači da izvještaji tiho nigdje ne idu, što se boduje kao djelomični ili neuspješni rezultat čak i ako je tag tehnički “prisutan.”

Kako popraviti (besplatno, ~30 minuta raspoređeno kroz dvije sedmice)

Prosledite ovaj odeljak ko god upravlja vašim domenom, sajtom ili IT-om — popravka je potpuno besplatna. Naplaćujemo jedino da pratimo da ostaje ispravno tokom vremena, za upravljanje portfoliom domena ili za reviziju. Sama promjena ništa ne košta.

Zlatno pravilo: nikad skačite direktno na reject. Najpre uključite praćenje, gledajte izvještaje, potvrdite da je vaš pravi mail prepoznat, zatim zategnite. Urađeno tim redom je bezbedno; urađeno u žurbi može zatrpati vaš vlastiti email.

Korak 1 — Osigurajte da su SPF i DKIM najpre na snazi. DMARC se oslanja na njih. Ako nekog nema, riješite to prije primjene DMARC-a (pogledajte stranice SPF i DKIM).

Korak 2 — Objavite monitoring zapis s uključenim izvještavanjem. Dodajte DNS TXT zapis:

Host / naziv: _dmarc.vasdomecn (vaš DNS provajder može ovo prikazati samo kao _dmarc)
Tip: TXT
Vrijednost: v=DMARC1; p=none; rua=mailto:dmarc@vasdomecn; adkim=s; aspf=s

Ovo posmatra i izvještava bez blokiranja ičeg još. Dijelovi adkim=s; aspf=s traže strogo poravnanje — izostavite ih u početku ako niste sigurni i dodajte jednom kad je vaš mail potvrđen čistim.

Korak 3 — Čitajte izvještaje ~2 sedmice. Sirovi DMARC izvještaji su gusti XML. Koristite besplatan izvještajni servis (na primjer dmarcian ili Postmark-ov besplatan DMARC alat) da ih pretvorite u čitljiv dashboard. Potvrdite da je svaki legitimni pošiljalac — vaš provajder sandučića, newsletter alat, CRM, helpdesk, app za fakture — prolazi. Popravite sve genuinivne pošiljaoce koji ne prolaze.

Korak 4 — Pređite na quarantine. Jednom kad je vaš pravi mail čist, promijenite p=none u p=quarantine. Gledajte još par dana.

Korak 5 — Pređite na reject. Konačno promijenite p=quarantine u p=reject. Sada ste potpuno zaštićeni. Konačni zapis izgleda ovako:

v=DMARC1; p=reject; rua=mailto:dmarc@vasdomecn; adkim=s; aspf=s

Korak 6 — Ne zaboravite poddomene. Osigurajte da niste ostavili sp=none na snazi. Ako uopšte ne objavljujete sp, poddomene nasljeđuju vašu glavnu p= politiku, što i želite.

Napomene po uobičajenoj platformi:

Google Workspace / Microsoft 365: Obe u potpunosti podržavaju DMARC. Sam DMARC zapis ide u vaš DNS provajder, ne u Google ili Microsoft-ovu admin konzolu — osigurajte da su SPF i DKIM omogućeni u admin konzoli najpre, zatim objavite DMARC TXT zapis kod vašeg registrara/DNS hosta.
Cloudflare: DNS > Records > Add record > TXT, naziv _dmarc, zalijepite vrijednost. Cloudflare nudi i ugrađeno DMARC upravljanje koje može to podesiti i skupljati izvještaje za vas.
Uobičajeni hostovi / registrari (GoDaddy, Namecheap, i sl.): Potražite “DNS”, “DNS Zone” ili “Advanced DNS”, dodajte TXT zapis s nazivom _dmarc i vrijednošću gore. Propagacija obično traje par minuta do sat.

Česte greške

Zaustavljanje na p=none. Najčešća greška daleko. Praćenje je početak, ne kraj — domen zaglavljan na none je i dalje u potpunosti spoofovati. Naš engine ga boduje kao kvar tačno iz tog razloga.
Skakanje direktno na reject bez praćenja. Suprotna greška. Bez faze izvještavanja možete ne shvatiti da legitimni pošiljalac (često newsletter ili alat za fakture) nije poravnat — i počet ćete blokirati vlastiti mail.
Zaboravljanje politike poddomena. Jak p=reject s sp=none ostavlja bočna vrata širom otvorenim; napadači jednostavno spoofuju poddomen umjesto toga.
Pokvarena adresa za izvještavanje. Pogrešno upisana rua= (ili ona kojoj nedostaje prefiks mailto:) znači da izvještaji nikud ne idu i ostajete slijepi bez da to shvatite. Format mora biti valjani mailto: ili https: URI, ili se izvještaji nikad ne isporučuju.
“Ne šaljemo email pa ćemo preskočiti.” Domen koji ne šalje je prima meta tačno jer niko ne gleda. Objavite strogu reject politiku da ga potpuno zaključate.

Napomena o bodovanju

Politika provjera (p=) je jedna od teže-ponderisanih stavki u cijeloj procjeni — jer je jedini najveći faktor u tome može li vaše preduzeće biti imitirano. reject zarađuje puni skor; quarantine zarađuje otprilike pola; none i nedostajući zapis se boduju kao kvarovi. Slabija politika poddomena ili djelomična pct= implementacija vuku skor dolje da odgovara stvarnom nivou zaštite koji zaista imate.

Izvještavanje provjera (rua=) nosi pravu težinu, ali zamislite je manje kao kutiju za označiti i više kao alat koji vam dozvoljava da dosegnete reject bezbedno. Postavite je u isto vreme kao vaš monitoring zapis i plaća se u vidljivosti prvog dana.

Podesite na svom hostingu

Korak po korak za popularne provajdere:

Često postavljana pitanja

Nisam uopšte tehničar — je li ovo nešto s čim zapravo mogu se nositi?

Da, ali ne morate to lično raditi. Popravka su par linija dodatih vašim domenskim podešavanjima i besplatna je. Najjednostavniji put je proslijediti odeljak 'Kako popraviti' ispod ko god vodi vaš sajt ili IT podršku. Tipično im traje znatno manje od sat, raspoređeno kroz par sedmica sigurnog praćenja.

Hoće li uključivanje DMARC-a slučajno spriječiti moj vlastiti email da prolazi?

Može — ali jedino ako preskočite sigurnu implementaciju. Cijela poanta počinjanja s 'monitor only' (p=none) s uključenim izvještavanjem je gledanje dvije sedmice i potvrđivanje da je svaki legitimni pošiljalac (vaš sandučić, vaš newsletter alat, vaša app za fakture) ispravno prepoznat PRE nego pređete na blokiranje. Urađeno tim redom, vaš pravi mail je nepromijenjen. Žurenje direktno na 'reject' bez provjere izvještaja je jedna uobičajena greška koja kvari isporuku.

Već imam SPF i DKIM postavljene. Nije li to dovoljno?

Ne — i ovo je najvažnija točka za razumjeti. SPF i DKIM su brave; DMARC je instrukcija koja kaže 'ako brave ne odgovaraju, odbij email.' Bez DMARC-a na 'reject', primajući server može primijetiti da je email falsifikovan i i dalje ga isporučiti. SPF i DKIM su preduvjeti za rad DMARC-a, ali sami po sebi ne sprečavaju falsifikovani email da dođe do inboxa.

Koja je razlika između 'none', 'quarantine' i 'reject'? Koje trebam?

'none' jedino posmatra i izvještava — ne zaustavlja ništa, pa vas ne štiti. 'quarantine' šalje krivotvorine u spam folder. 'reject' ih odbija potpuno, tako da nikad ne stižu. 'reject' je cilj i jedino podešavanje koje nosi pune bodove. 'quarantine' je razumna međustanica; 'none' je polazna tačka za prve par sedmica, ne odredište.

Šta je ova stvar s 'rua' izvještavanjem i trebam li je?

rua tag traži od mail provajdera da vam šalju dnevni sažetak svakog sistema koji je pokušao slati email kao vaš domen — uključujući kriminalce. Ovako preduzeća otkrivaju 5 do 50 neovlaštenih pošiljalaca koji tipično zloupotrebljavaju domen prvog dana. Samo po sebi nosi manje težine od politike, ali je to kako se sigurno pomjerite na 'reject' bez kvarenja vašeg pravog maila, pa to postavite u isto vrijeme.

Jedva šaljemo email ili ne šaljemo email s ovog domena uopšte. Trebamo li i dalje DMARC?

Posebno tada. Domen koji šalje malo ili nikakav pravi email je savršena, malo-bučna meta za kriminalce da imitiraju, jer niko ne gleda. Domen s kojeg nikad ne šaljete poštu treba objaviti strogu reject politiku — to je čista, malo-rizična pobjeda koja potpuno zatvara vrata.