Defaults.Exposed › การแก้ไข › DMARC (การป้องกัน Email Spoofing)
วิธีแก้ไข DMARC (การป้องกัน Email Spoofing)
DMARC คือการตั้งค่าหนึ่งที่บอกผู้ให้บริการเมลของโลกให้บล็อกอีเมลที่ปลอมชื่อธุรกิจของคุณจริงๆ SPF และ DKIM ตรวจสอบล็อค DMARC ตัดสินใจว่าจะเกิดอะไรขึ้นเมื่อการปลอมแปลงล้มเหลวในการตรวจสอบ — ทิ้งมัน ทำเครื่องหมาย หรือส่งผ่านมัน ตั้งผิด โดเมนของคุณปลอมแปลงได้อย่างสมบูรณ์ ตั้งถูก การแอบอ้างหยุดที่กล่องรับจดหมาย
สรุปสำหรับธุรกิจของคุณ: โดยไม่มีการบังคับใช้ DMARC อาชญากรสามารถส่งอีเมลที่ดูเหมือนมาจากธุรกิจของคุณอย่างแน่นอน — ไปยังลูกค้า พนักงาน และซัพพลายเออร์ของคุณ — และมันตกอยู่ใน inbox ของพวกมัน ไม่ใช่ spam ผู้คนถูกหลอกลวงในชื่อของคุณ และพวกมันโทษคุณ
สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย
- นักต้มตุ๋นส่งอีเมลให้ลูกค้าของคุณด้วยใบแจ้งหนี้ที่ดูจริงจาก 'ทีมบัญชีของคุณ' พร้อมรายละเอียดธนาคารของพวกมันเอง ลูกค้าจ่าย คุณพบสัปดาห์ต่อมาเมื่อพวกมันตามเก็บสินค้าที่จ่ายไปแล้ว — และพวกมันถือคุณรับผิดชอบ
- ทีม IT ของผู้มีโอกาสเป็นลูกค้ารายใหญ่รันการตรวจสอบความปลอดภัยบนโดเมนของคุณก่อนลงนาม มันกลับมา 'อีเมลไม่ได้รับการปกป้อง — สามารถปลอมแปลงได้' คุณสูญเสียดีลให้กับคู่แข่งที่โดเมนผ่าน
- โดเมนของคุณถูกใช้ในคลื่น phishing ลูกค้าที่ถูกหลอกลวงทิ้งรีวิวโกรธและเตือนผู้อื่น ความเสียหายต่อชื่อเสียงคงอยู่นานกว่าการโจมตีเป็นเดือน
- แม้แต่อีเมลจริงของคุณเริ่มถูก junk เพราะ Google และ Yahoo ไม่ไว้วางใจมากขึ้น — และตอนนี้บางครั้งปฏิเสธ — โดเมนที่ไม่มี DMARC ที่บังคับใช้
เหตุใดจึงสำคัญ อีเมลไม่ถูกสร้างมาเพื่อพิสูจน์ว่าใครส่งจริงๆ ดังนั้นการปลอมแปลงที่อยู่ 'from' ทำได้ง่าย DMARC เป็นเพียงการควบคุมที่เปลี่ยน 'เราสามารถตรวจจับของปลอม' เป็น 'ของปลอมถูกบล็อก' — และมันยังให้รายงานรายวันที่เปิดเผยว่าใครกำลังส่งเมลในนามของแบรนด์ของคุณ ผู้ให้บริการกล่องรับจดหมายรายใหญ่ตอนนี้ถือ DMARC ที่หายไปหรือไม่ได้บังคับเป็นสัญญาณความไม่น่าเชื่อถือต่อคุณ ดังนั้นมันส่งผลต่อว่าอีเมลของคุณเองถูกส่งด้วย
วิธีแก้ไข ทีละขั้นตอน
- ตั้ง SPF หรือ DKIM ก่อน. DMARC สร้างบนพวกมัน ตรวจสอบให้แน่ใจว่าอย่างน้อยหนึ่งถูกตั้งและ aligned ก่อนที่คุณเริ่ม
- เผยแพร่ระเบียน monitoring. เพิ่ม TXT record ที่ _dmarc.yourdomain ด้วย v=DMARC1; p=none; rua=mailto:you@yourdomain เพื่อรวบรวมรายงานโดยไม่ส่งผลต่อการส่ง
- อ่านรายงาน. ในหนึ่งถึงสองสัปดาห์ ใช้รายงาน aggregate เพื่อยืนยันว่าเมลที่ถูกต้องทั้งหมดของคุณผ่าน
- ย้ายเป็น quarantine. เมื่อเมลที่ถูกต้องผ่านอย่างสะอาด ยกระดับ policy เป็น p=quarantine เพื่อให้เมลที่ปลอมไปอยู่ใน spam
- บังคับใช้ด้วย reject. สุดท้ายตั้ง p=reject เพื่อให้อีเมลปลอมถูกปฏิเสธทันที — การตั้งค่าที่หยุดการแอบอ้างจริงๆ
ป้องกันไม่ให้คะแนนนี้ลดลง
Domain Watch ตรวจสอบ โดเมนของคุณ ตามกำหนดเวลาและแจ้งเตือนคุณทันทีที่มีสิ่งใดถดถอย
ติดตาม โดเมนของคุณ ด้วย Domain Watch →DMARC คืออะไร เป็นคำพูดง่ายๆ
อีเมลมีความลับที่สกปรก: บรรทัด “from” เป็นเพียงข้อความที่พิมพ์เข้ามา ใครก็ตาม ที่ไหนก็ได้ สามารถพิมพ์ชื่อและที่อยู่ธุรกิจของคุณลงในฟิลด์ “from” ของอีเมลและส่งมัน อินเทอร์เน็ตไม่ถูกออกแบบมาเพื่อหยุดพวกมัน
มีการตั้งค่าสามอย่างที่ร่วมกันแก้ไขสิ่งนี้ คิดว่าพวกมันเป็นระบบรักษาความปลอดภัยของอาคาร:
- SPF คือรายการว่าใครได้รับอนุญาตผ่านประตูหน้า (บริการเมลใดอาจส่งในนามของคุณ)
- DKIM คือตราประทับป้องกันการดัดแปลงที่พิสูจน์ว่าข้อความไม่ถูกเปลี่ยนแปลงในระหว่างการส่ง
- DMARC คือเจ้าหน้าที่รักษาความปลอดภัยที่ตรวจสอบรายการและตราประทับ — และสำคัญที่สุด ตัดสินใจว่าจะทำอะไรเมื่อพวกมันไม่ตรงกัน: ให้ผ่าน ส่งไป spam หรือกลับไปที่ประตู
คุณสามารถมีรายการ (SPF) และตราประทับ (DKIM) และยังไม่มีเจ้าหน้าที่ นั่นเป็นสถานการณ์ที่พบบ่อยที่สุดและอันตรายที่สุด: ล็อคมีอยู่ แต่ไม่มีอะไรบังคับใช้พวกมัน DMARC คือการบังคับใช้ มันเป็นความแตกต่างระหว่าง “เราสามารถบอกได้ว่าอีเมลนี้ปลอม” และ “อีเมลปลอมนี้ไม่มีวันเข้าถึงลูกค้าของคุณ”
สิ่งนี้อาจทำให้คุณสูญเสียอะไร
-
การหลอกลวงใบแจ้งหนี้ปลอม อาชญากรส่งอีเมลให้ลูกค้าของคุณสิ่งที่ดูเหมือนใบแจ้งหนี้จริงจากทีมบัญชีของคุณอย่างแน่นอน — ชื่อเดียวกัน โดเมนเดียวกัน layout มืออาชีพ — แต่พร้อมรายละเอียดธนาคารของพวกมันเอง เพราะโดเมนของคุณไม่ได้บังคับใช้ มันตกอยู่ใน inbox ไม่ใช่ spam ลูกค้าจ่าย คุณค้นพบมันหลายสัปดาห์ต่อมาเมื่อพวกมันถามว่าออร์เดอร์ของพวกมันอยู่ที่ไหน
-
การโอนเงิน wire ปลอม CEO อีเมลปรากฏว่ามาจากคุณ เจ้าของ ไปยังฝ่ายการเงินของคุณ: “คุณสามารถผลักดันการชำระเงินนี้ผ่านอย่างเร่งด่วน ฉันอยู่ในการประชุม” มันดูจริงอย่างสมบูรณ์เพราะมัน เป็น ที่อยู่ของคุณ — เพียงแต่ปลอมแปลง การชำระเงินออกไป รูปแบบนี้ — Business Email Compromise — เป็นหนึ่งในการหลอกลวงที่มีค่าใช้จ่ายสูงที่สุดที่ทำร้ายธุรกิจขนาดเล็ก
-
สัญญาที่สูญเสีย ผู้มีโอกาสเป็นลูกค้าที่จริงจังรันการตรวจสอบความปลอดภัยหรือการจัดซื้อก่อนลงนาม tooling ของพวกมันรายงานว่าโดเมนของคุณ “spoofable — ไม่มีการบังคับใช้ authentication อีเมล” สัญลักษณ์สีแดงเดียวนั้นอาจเพียงพอในการมอบสัญญาให้คู่แข่งที่โดเมนผ่าน
-
ความเสียหายต่อชื่อเสียงที่คุณไม่สามารถยกเลิกได้ โดเมนของคุณถูกดึงเข้าในแคมเปญ phishing ผู้ที่ถูกหลอกลวงโพสต์คำเตือนและรีวิว การโจมตีคงอยู่หนึ่งสัปดาห์ คำถาม “บริษัทนี้ปลอดภัยไหม?” คงอยู่เป็นเดือน
-
อีเมลของคุณเองไปอยู่ใน spam Google และ Yahoo ตอนนี้ไม่ไว้วางใจโดเมนที่ไม่มี DMARC ที่บังคับใช้อย่างแข็งขัน ใบเสนอราคา ใบแจ้งหนี้ และการตอบกลับที่คุณส่งจริงๆ เริ่มตกอยู่ใน spam folder อย่างเงียบๆ
มันคืออะไรจริงๆ และ “ดี” ดูเหมือนอะไร
DMARC อยู่เป็นบรรทัดข้อความเดียวในการตั้งค่าโดเมนของคุณ — DNS “TXT” record ที่เผยแพร่ที่ชื่อพิเศษ _dmarc.yourdomain ภายในมีคำสั่งสั้นๆ สองอย่างที่สำคัญที่สุด:
1. Policy (p=) — คำสั่งของเจ้าหน้าที่ สามารถเป็นหนึ่งในสามสิ่ง:
p=none— ดูเท่านั้น เจ้าหน้าที่สังเกตว่าใครผ่านมาแต่ไม่หยุดใคร ไม่ปกป้องคุณจากสิ่งใด (engine ของเราให้คะแนนนี้เป็น fail)p=quarantine— ส่งของปลอมไปยัง spam การป้องกันจริง แต่ผู้โจมตีที่มุ่งมั่นพึ่งพาผู้คนตรวจสอบ spam folder ของพวกมัน earning ประมาณครึ่งคะแนนp=reject— ปฏิเสธของปลอมที่ประตู อีเมลปลอมไม่มีวันถูกส่ง นี่เป็นการตั้งค่าเดียวที่ปกป้องคุณอย่างสมบูรณ์และได้คะแนนเต็ม
สิ่งที่ “ดี” ดูเหมือน: p=reject อะไรก็ตามที่น้อยกว่าทิ้งช่องว่าง
2. Reporting address (rua=) — visibility ของคุณ tag rua= ขอให้ผู้ให้บริการเมลทุกรายในโลกส่งสรุปรายวันว่าใครพยายามส่งอีเมลในนามโดเมนของคุณ โดยไม่มีมัน คุณบินในความมืด: คุณไม่รู้ว่าใครกำลังใช้ประโยชน์จากชื่อของคุณ ธุรกิจค้นพบ 5 ถึง 50 sender ที่ไม่ได้รับอนุญาตในวันแรกเป็นประจำ
วิธีแก้ไข (ฟรี ~30 นาทีกระจายเป็นสองสัปดาห์)
ส่งส่วนนี้ให้ผู้ที่จัดการโดเมน เว็บไซต์ หรือ IT ของคุณ — การแก้ไขฟรีอย่างสมบูรณ์
กฎทองคำ: อย่าข้ามตรงไปยัง reject เปิด monitoring ก่อน ดูรายงาน ยืนยันว่าเมลจริงของคุณได้รับการรับรอง จากนั้นเพิ่มความเข้มงวด ทำในลำดับนี้มันปลอดภัย ทำอย่างรีบเร่งมันสามารถ junk อีเมลของคุณเอง
ขั้นที่ 1 — ตรวจสอบให้แน่ใจว่า SPF และ DKIM มีอยู่ก่อน DMARC พึ่งพาพวกมัน
ขั้นที่ 2 — เผยแพร่ระเบียน monitoring พร้อม reporting เปิด เพิ่ม DNS TXT record:
- Host / name:
_dmarc.yourdomain - Type: TXT
- Value:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s
ขั้นที่ 3 — อ่านรายงานเป็นเวลา ~2 สัปดาห์ ใช้บริการ reporting ฟรี (เช่น dmarcian หรือเครื่องมือ DMARC ฟรีของ Postmark) เพื่อแปลงเป็น dashboard ที่อ่านได้ ยืนยันว่า sender ที่ถูกต้องทุกราย — กล่องรับจดหมาย เครื่องมือจดหมายข่าว CRM helpdesk app ออกใบแจ้งหนี้ — ผ่าน
ขั้นที่ 4 — ย้ายเป็น quarantine เมื่อเมลจริงสะอาด เปลี่ยน p=none เป็น p=quarantine ดูอีกสองสามวัน
ขั้นที่ 5 — ย้ายเป็น reject สุดท้ายเปลี่ยน p=quarantine เป็น p=reject ตอนนี้คุณได้รับการปกป้องอย่างสมบูรณ์ ระเบียนสุดท้ายมีลักษณะเช่น:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s
หมายเหตุต่อแพลตฟอร์มทั่วไป:
- Google Workspace / Microsoft 365: ทั้งสองรองรับ DMARC อย่างสมบูรณ์ ระเบียน DMARC เองอยู่ในผู้ให้บริการ DNS ของคุณ ไม่ใช่ใน Google หรือ Microsoft admin console — ตรวจสอบให้แน่ใจว่า SPF และ DKIM เปิดใน admin console ก่อน จากนั้นเผยแพร่ DMARC TXT record ที่ registrar/DNS host ของคุณ
- Cloudflare: DNS > Records > Add record > TXT, ชื่อ
_dmarc, วางค่า Cloudflare ยังเสนอการจัดการ DMARC ในตัว - โฮสต์ทั่วไป / registrar (Blacknight, GoDaddy, ฯลฯ): มองหา “DNS”, “DNS Zone” หรือ “Advanced DNS” เพิ่ม TXT record ด้วยชื่อ
_dmarcและค่าด้านบน
ข้อผิดพลาดทั่วไป
- หยุดที่
p=noneข้อผิดพลาดที่พบบ่อยที่สุด การ monitoring เป็นจุดเริ่มต้น ไม่ใช่จุดสิ้นสุด — โดเมนที่ติดอยู่บนnoneยังสามารถปลอมแปลงได้อย่างสมบูรณ์ - ข้ามตรงไปยัง
rejectโดยไม่ monitor หากไม่มีขั้นตอน reporting คุณอาจไม่รู้ว่า sender ที่ถูกต้อง (มักเป็นเครื่องมือจดหมายข่าวหรือออกใบแจ้งหนี้) ไม่ aligned — และคุณจะเริ่มบล็อกเมลของคุณเอง - ลืม subdomain policy
p=rejectที่แข็งแกร่งพร้อมsp=noneทิ้งช่องทางด้านข้างไว้เปิด ผู้โจมตีเพียง spoof subdomain แทน - Reporting address ที่เสียหาย
rua=ที่พิมพ์ผิด (หรืออันที่ขาด prefixmailto:) หมายความว่ารายงานไม่มีที่ไปและคุณอยู่ในความมืดโดยไม่รู้ตัว - “เราไม่ส่งอีเมลดังนั้นเราจะข้าม” โดเมนที่ไม่ส่งเป็นเป้าหมายหลักเพราะไม่มีใคร watch เผยแพร่
rejectpolicy เข้มงวดเพื่อล็อคมันอย่างสมบูรณ์
หมายเหตุเกี่ยวกับการให้คะแนน
การตรวจสอบpolicy (p=) เป็นหนึ่งในรายการที่มีน้ำหนักสูงที่สุดในการประเมินทั้งหมด — เพราะมันเป็นปัจจัยเดียวที่ใหญ่ที่สุดในว่าธุรกิจของคุณสามารถถูกแอบอ้างได้หรือไม่ reject ได้คะแนนเต็ม quarantine ได้ประมาณครึ่ง none และระเบียนที่หายไปได้คะแนนเป็น fail นโยบาย subdomain ที่อ่อนแอกว่าหรือการ rollout บางส่วน pct= ดึงคะแนนลงเพื่อให้ตรงกับระดับการปกป้องที่แท้จริงที่คุณมีจริงๆ
ตั้งค่าบนโฮสต์ของคุณ
ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:
- ตั้งค่า DMARC บน GoDaddy
- ตั้งค่า DMARC บน Namecheap
- ตั้งค่า DMARC บน Cloudflare
- ตั้งค่า DMARC บน Google Workspace
- ตั้งค่า DMARC บน Microsoft 365
- ตั้งค่า DMARC บน Squarespace
- ตั้งค่า DMARC บน Wix
- ตั้งค่า DMARC บน AWS Route 53
- ตั้งค่า DMARC บน Hostinger
- ตั้งค่า DMARC บน Porkbun
- ตั้งค่า DMARC บน IONOS
- ตั้งค่า DMARC บน Bluehost
สถานการณ์ทั่วไป
- 'DMARC policy not enabled'
- DMARC fails but SPF and DKIM pass
- Moving from p=none to p=reject
- Someone is spoofing your domain
- Newsletter platform failing DMARC
- Gmail bounce 550-5.7.26
คำถามที่พบบ่อย
ฉันไม่ใช่คนเทคนิคเลย — นี่เป็นสิ่งที่ฉันสามารถจัดการได้จริงๆ ไหม?
ใช่ แต่คุณไม่ต้องทำเอง การแก้ไขคือสองสามบรรทัดที่เพิ่มในการตั้งค่าโดเมนของคุณ และฟรี เส้นทางที่ง่ายที่สุดคือการส่งส่วน 'วิธีแก้ไข' ด้านล่างให้ผู้ที่รันเว็บไซต์หรือฝ่ายสนับสนุน IT ของคุณ มักใช้เวลาน้อยกว่าหนึ่งชั่วโมงใช้เวลาหนึ่งสองสัปดาห์ของการ monitoring ที่ปลอดภัย
การเปิด DMARC จะทำให้อีเมลของตัวเองไม่ถึงโดยบังเอิญไหม?
มันสามารถทำได้ — แต่เฉพาะถ้าคุณข้ามการ rollout ที่ปลอดภัย จุดทั้งหมดของการเริ่มที่ 'monitor only' (p=none) พร้อม reporting ที่เปิดอยู่คือการดูเป็นเวลาสองสัปดาห์และยืนยันว่า sender ทุกราย — กล่องรับจดหมาย เครื่องมือจดหมายข่าว app ออกใบแจ้งหนี้ — ได้รับการรับรองอย่างถูกต้องก่อนที่คุณสลับเป็นการบล็อก ทำในลำดับนั้น เมลจริงของคุณไม่ได้รับผลกระทบ
ฉันมี SPF และ DKIM ตั้งค่าแล้ว ไม่เพียงพอไหม?
ไม่ — และนี่เป็นจุดสำคัญที่สุดที่ต้องเข้าใจ SPF และ DKIM คือล็อค DMARC คือคำสั่งที่บอกว่า 'ถ้าล็อคไม่ตรงกัน ปฏิเสธอีเมล' โดยไม่มี DMARC ที่ 'reject' เซิร์ฟเวอร์รับอาจสังเกตว่าอีเมลเป็นของปลอมและยังคงส่งมัน
อะไรคือความแตกต่างระหว่าง 'none', 'quarantine' และ 'reject'? ฉันต้องการอะไร?
'none' เฉพาะดูและส่งรายงาน — มันไม่หยุดอะไร ดังนั้นมันไม่ปกป้องคุณ 'quarantine' ส่งการปลอมแปลงไปยัง spam folder 'reject' ปฏิเสธพวกมันทันที ดังนั้นพวกมันไม่มาถึงเลย 'reject' เป็นเป้าหมายและการตั้งค่าเดียวที่ได้คะแนนเต็ม 'quarantine' เป็น stepping stone ที่สมเหตุสมผล 'none' เป็นจุดเริ่มต้นสำหรับสองสัปดาห์แรก ไม่ใช่ปลายทาง
สิ่งที่ 'rua' reporting นี้คืออะไร และฉันต้องการมันไหม?
tag rua ขอให้ผู้ให้บริการเมลส่งสรุปรายวันของทุกระบบที่พยายามส่งอีเมลในนามโดเมนของคุณ — รวมถึงอาชญากร มันเป็นวิธีที่ธุรกิจค้นพบ 5 ถึง 50 sender ที่ไม่ได้รับอนุญาตที่ใช้ประโยชน์จากโดเมนในวันแรก ตั้งมันพร้อมกับระเบียน monitoring ของคุณ
เราแทบไม่ส่งอีเมล หรือเราไม่ส่งอีเมลจากโดเมนนี้เลย เรายังต้องการ DMARC ไหม?
โดยเฉพาะอย่างยิ่งแล้ว โดเมนที่ส่งอีเมลน้อยหรือไม่ส่งเลยเป็นเป้าหมายที่สมบูรณ์แบบสำหรับอาชญากรในการแอบอ้าง เพราะไม่มีใคร watch โดเมนที่คุณไม่เคยส่งเมลควรเผยแพร่ reject policy เข้มงวด — มันเป็นชัยชนะที่สะอาดและมีความเสี่ยงต่ำที่ปิดประตูทั้งหมด