Defaults.Exposed

Defaults.Exposedการแก้ไข › DMARC (การป้องกัน Email Spoofing)

วิธีแก้ไข DMARC (การป้องกัน Email Spoofing)

DMARC คือการตั้งค่าหนึ่งที่บอกผู้ให้บริการเมลของโลกให้บล็อกอีเมลที่ปลอมชื่อธุรกิจของคุณจริงๆ SPF และ DKIM ตรวจสอบล็อค DMARC ตัดสินใจว่าจะเกิดอะไรขึ้นเมื่อการปลอมแปลงล้มเหลวในการตรวจสอบ — ทิ้งมัน ทำเครื่องหมาย หรือส่งผ่านมัน ตั้งผิด โดเมนของคุณปลอมแปลงได้อย่างสมบูรณ์ ตั้งถูก การแอบอ้างหยุดที่กล่องรับจดหมาย

สรุปสำหรับธุรกิจของคุณ: โดยไม่มีการบังคับใช้ DMARC อาชญากรสามารถส่งอีเมลที่ดูเหมือนมาจากธุรกิจของคุณอย่างแน่นอน — ไปยังลูกค้า พนักงาน และซัพพลายเออร์ของคุณ — และมันตกอยู่ใน inbox ของพวกมัน ไม่ใช่ spam ผู้คนถูกหลอกลวงในชื่อของคุณ และพวกมันโทษคุณ

สิ่งนี้อาจทำให้คุณเสียค่าใช้จ่าย

เหตุใดจึงสำคัญ อีเมลไม่ถูกสร้างมาเพื่อพิสูจน์ว่าใครส่งจริงๆ ดังนั้นการปลอมแปลงที่อยู่ 'from' ทำได้ง่าย DMARC เป็นเพียงการควบคุมที่เปลี่ยน 'เราสามารถตรวจจับของปลอม' เป็น 'ของปลอมถูกบล็อก' — และมันยังให้รายงานรายวันที่เปิดเผยว่าใครกำลังส่งเมลในนามของแบรนด์ของคุณ ผู้ให้บริการกล่องรับจดหมายรายใหญ่ตอนนี้ถือ DMARC ที่หายไปหรือไม่ได้บังคับเป็นสัญญาณความไม่น่าเชื่อถือต่อคุณ ดังนั้นมันส่งผลต่อว่าอีเมลของคุณเองถูกส่งด้วย

วิธีแก้ไข ทีละขั้นตอน

  1. ตั้ง SPF หรือ DKIM ก่อน. DMARC สร้างบนพวกมัน ตรวจสอบให้แน่ใจว่าอย่างน้อยหนึ่งถูกตั้งและ aligned ก่อนที่คุณเริ่ม
  2. เผยแพร่ระเบียน monitoring. เพิ่ม TXT record ที่ _dmarc.yourdomain ด้วย v=DMARC1; p=none; rua=mailto:you@yourdomain เพื่อรวบรวมรายงานโดยไม่ส่งผลต่อการส่ง
  3. อ่านรายงาน. ในหนึ่งถึงสองสัปดาห์ ใช้รายงาน aggregate เพื่อยืนยันว่าเมลที่ถูกต้องทั้งหมดของคุณผ่าน
  4. ย้ายเป็น quarantine. เมื่อเมลที่ถูกต้องผ่านอย่างสะอาด ยกระดับ policy เป็น p=quarantine เพื่อให้เมลที่ปลอมไปอยู่ใน spam
  5. บังคับใช้ด้วย reject. สุดท้ายตั้ง p=reject เพื่อให้อีเมลปลอมถูกปฏิเสธทันที — การตั้งค่าที่หยุดการแอบอ้างจริงๆ

ป้องกันไม่ให้คะแนนนี้ลดลง

Domain Watch ตรวจสอบ โดเมนของคุณ ตามกำหนดเวลาและแจ้งเตือนคุณทันทีที่มีสิ่งใดถดถอย

ติดตาม โดเมนของคุณ ด้วย Domain Watch →

DMARC คืออะไร เป็นคำพูดง่ายๆ

อีเมลมีความลับที่สกปรก: บรรทัด “from” เป็นเพียงข้อความที่พิมพ์เข้ามา ใครก็ตาม ที่ไหนก็ได้ สามารถพิมพ์ชื่อและที่อยู่ธุรกิจของคุณลงในฟิลด์ “from” ของอีเมลและส่งมัน อินเทอร์เน็ตไม่ถูกออกแบบมาเพื่อหยุดพวกมัน

มีการตั้งค่าสามอย่างที่ร่วมกันแก้ไขสิ่งนี้ คิดว่าพวกมันเป็นระบบรักษาความปลอดภัยของอาคาร:

คุณสามารถมีรายการ (SPF) และตราประทับ (DKIM) และยังไม่มีเจ้าหน้าที่ นั่นเป็นสถานการณ์ที่พบบ่อยที่สุดและอันตรายที่สุด: ล็อคมีอยู่ แต่ไม่มีอะไรบังคับใช้พวกมัน DMARC คือการบังคับใช้ มันเป็นความแตกต่างระหว่าง “เราสามารถบอกได้ว่าอีเมลนี้ปลอม” และ “อีเมลปลอมนี้ไม่มีวันเข้าถึงลูกค้าของคุณ”

สิ่งนี้อาจทำให้คุณสูญเสียอะไร

  1. การหลอกลวงใบแจ้งหนี้ปลอม อาชญากรส่งอีเมลให้ลูกค้าของคุณสิ่งที่ดูเหมือนใบแจ้งหนี้จริงจากทีมบัญชีของคุณอย่างแน่นอน — ชื่อเดียวกัน โดเมนเดียวกัน layout มืออาชีพ — แต่พร้อมรายละเอียดธนาคารของพวกมันเอง เพราะโดเมนของคุณไม่ได้บังคับใช้ มันตกอยู่ใน inbox ไม่ใช่ spam ลูกค้าจ่าย คุณค้นพบมันหลายสัปดาห์ต่อมาเมื่อพวกมันถามว่าออร์เดอร์ของพวกมันอยู่ที่ไหน

  2. การโอนเงิน wire ปลอม CEO อีเมลปรากฏว่ามาจากคุณ เจ้าของ ไปยังฝ่ายการเงินของคุณ: “คุณสามารถผลักดันการชำระเงินนี้ผ่านอย่างเร่งด่วน ฉันอยู่ในการประชุม” มันดูจริงอย่างสมบูรณ์เพราะมัน เป็น ที่อยู่ของคุณ — เพียงแต่ปลอมแปลง การชำระเงินออกไป รูปแบบนี้ — Business Email Compromise — เป็นหนึ่งในการหลอกลวงที่มีค่าใช้จ่ายสูงที่สุดที่ทำร้ายธุรกิจขนาดเล็ก

  3. สัญญาที่สูญเสีย ผู้มีโอกาสเป็นลูกค้าที่จริงจังรันการตรวจสอบความปลอดภัยหรือการจัดซื้อก่อนลงนาม tooling ของพวกมันรายงานว่าโดเมนของคุณ “spoofable — ไม่มีการบังคับใช้ authentication อีเมล” สัญลักษณ์สีแดงเดียวนั้นอาจเพียงพอในการมอบสัญญาให้คู่แข่งที่โดเมนผ่าน

  4. ความเสียหายต่อชื่อเสียงที่คุณไม่สามารถยกเลิกได้ โดเมนของคุณถูกดึงเข้าในแคมเปญ phishing ผู้ที่ถูกหลอกลวงโพสต์คำเตือนและรีวิว การโจมตีคงอยู่หนึ่งสัปดาห์ คำถาม “บริษัทนี้ปลอดภัยไหม?” คงอยู่เป็นเดือน

  5. อีเมลของคุณเองไปอยู่ใน spam Google และ Yahoo ตอนนี้ไม่ไว้วางใจโดเมนที่ไม่มี DMARC ที่บังคับใช้อย่างแข็งขัน ใบเสนอราคา ใบแจ้งหนี้ และการตอบกลับที่คุณส่งจริงๆ เริ่มตกอยู่ใน spam folder อย่างเงียบๆ

มันคืออะไรจริงๆ และ “ดี” ดูเหมือนอะไร

DMARC อยู่เป็นบรรทัดข้อความเดียวในการตั้งค่าโดเมนของคุณ — DNS “TXT” record ที่เผยแพร่ที่ชื่อพิเศษ _dmarc.yourdomain ภายในมีคำสั่งสั้นๆ สองอย่างที่สำคัญที่สุด:

1. Policy (p=) — คำสั่งของเจ้าหน้าที่ สามารถเป็นหนึ่งในสามสิ่ง:

สิ่งที่ “ดี” ดูเหมือน: p=reject อะไรก็ตามที่น้อยกว่าทิ้งช่องว่าง

2. Reporting address (rua=) — visibility ของคุณ tag rua= ขอให้ผู้ให้บริการเมลทุกรายในโลกส่งสรุปรายวันว่าใครพยายามส่งอีเมลในนามโดเมนของคุณ โดยไม่มีมัน คุณบินในความมืด: คุณไม่รู้ว่าใครกำลังใช้ประโยชน์จากชื่อของคุณ ธุรกิจค้นพบ 5 ถึง 50 sender ที่ไม่ได้รับอนุญาตในวันแรกเป็นประจำ

วิธีแก้ไข (ฟรี ~30 นาทีกระจายเป็นสองสัปดาห์)

ส่งส่วนนี้ให้ผู้ที่จัดการโดเมน เว็บไซต์ หรือ IT ของคุณ — การแก้ไขฟรีอย่างสมบูรณ์

กฎทองคำ: อย่าข้ามตรงไปยัง reject เปิด monitoring ก่อน ดูรายงาน ยืนยันว่าเมลจริงของคุณได้รับการรับรอง จากนั้นเพิ่มความเข้มงวด ทำในลำดับนี้มันปลอดภัย ทำอย่างรีบเร่งมันสามารถ junk อีเมลของคุณเอง

ขั้นที่ 1 — ตรวจสอบให้แน่ใจว่า SPF และ DKIM มีอยู่ก่อน DMARC พึ่งพาพวกมัน

ขั้นที่ 2 — เผยแพร่ระเบียน monitoring พร้อม reporting เปิด เพิ่ม DNS TXT record:

ขั้นที่ 3 — อ่านรายงานเป็นเวลา ~2 สัปดาห์ ใช้บริการ reporting ฟรี (เช่น dmarcian หรือเครื่องมือ DMARC ฟรีของ Postmark) เพื่อแปลงเป็น dashboard ที่อ่านได้ ยืนยันว่า sender ที่ถูกต้องทุกราย — กล่องรับจดหมาย เครื่องมือจดหมายข่าว CRM helpdesk app ออกใบแจ้งหนี้ — ผ่าน

ขั้นที่ 4 — ย้ายเป็น quarantine เมื่อเมลจริงสะอาด เปลี่ยน p=none เป็น p=quarantine ดูอีกสองสามวัน

ขั้นที่ 5 — ย้ายเป็น reject สุดท้ายเปลี่ยน p=quarantine เป็น p=reject ตอนนี้คุณได้รับการปกป้องอย่างสมบูรณ์ ระเบียนสุดท้ายมีลักษณะเช่น:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

หมายเหตุต่อแพลตฟอร์มทั่วไป:

ข้อผิดพลาดทั่วไป

หมายเหตุเกี่ยวกับการให้คะแนน

การตรวจสอบpolicy (p=) เป็นหนึ่งในรายการที่มีน้ำหนักสูงที่สุดในการประเมินทั้งหมด — เพราะมันเป็นปัจจัยเดียวที่ใหญ่ที่สุดในว่าธุรกิจของคุณสามารถถูกแอบอ้างได้หรือไม่ reject ได้คะแนนเต็ม quarantine ได้ประมาณครึ่ง none และระเบียนที่หายไปได้คะแนนเป็น fail นโยบาย subdomain ที่อ่อนแอกว่าหรือการ rollout บางส่วน pct= ดึงคะแนนลงเพื่อให้ตรงกับระดับการปกป้องที่แท้จริงที่คุณมีจริงๆ

ตั้งค่าบนโฮสต์ของคุณ

ทีละขั้นตอนสำหรับผู้ให้บริการยอดนิยม:

สถานการณ์ทั่วไป

คำถามที่พบบ่อย

ฉันไม่ใช่คนเทคนิคเลย — นี่เป็นสิ่งที่ฉันสามารถจัดการได้จริงๆ ไหม?

ใช่ แต่คุณไม่ต้องทำเอง การแก้ไขคือสองสามบรรทัดที่เพิ่มในการตั้งค่าโดเมนของคุณ และฟรี เส้นทางที่ง่ายที่สุดคือการส่งส่วน 'วิธีแก้ไข' ด้านล่างให้ผู้ที่รันเว็บไซต์หรือฝ่ายสนับสนุน IT ของคุณ มักใช้เวลาน้อยกว่าหนึ่งชั่วโมงใช้เวลาหนึ่งสองสัปดาห์ของการ monitoring ที่ปลอดภัย

การเปิด DMARC จะทำให้อีเมลของตัวเองไม่ถึงโดยบังเอิญไหม?

มันสามารถทำได้ — แต่เฉพาะถ้าคุณข้ามการ rollout ที่ปลอดภัย จุดทั้งหมดของการเริ่มที่ 'monitor only' (p=none) พร้อม reporting ที่เปิดอยู่คือการดูเป็นเวลาสองสัปดาห์และยืนยันว่า sender ทุกราย — กล่องรับจดหมาย เครื่องมือจดหมายข่าว app ออกใบแจ้งหนี้ — ได้รับการรับรองอย่างถูกต้องก่อนที่คุณสลับเป็นการบล็อก ทำในลำดับนั้น เมลจริงของคุณไม่ได้รับผลกระทบ

ฉันมี SPF และ DKIM ตั้งค่าแล้ว ไม่เพียงพอไหม?

ไม่ — และนี่เป็นจุดสำคัญที่สุดที่ต้องเข้าใจ SPF และ DKIM คือล็อค DMARC คือคำสั่งที่บอกว่า 'ถ้าล็อคไม่ตรงกัน ปฏิเสธอีเมล' โดยไม่มี DMARC ที่ 'reject' เซิร์ฟเวอร์รับอาจสังเกตว่าอีเมลเป็นของปลอมและยังคงส่งมัน

อะไรคือความแตกต่างระหว่าง 'none', 'quarantine' และ 'reject'? ฉันต้องการอะไร?

'none' เฉพาะดูและส่งรายงาน — มันไม่หยุดอะไร ดังนั้นมันไม่ปกป้องคุณ 'quarantine' ส่งการปลอมแปลงไปยัง spam folder 'reject' ปฏิเสธพวกมันทันที ดังนั้นพวกมันไม่มาถึงเลย 'reject' เป็นเป้าหมายและการตั้งค่าเดียวที่ได้คะแนนเต็ม 'quarantine' เป็น stepping stone ที่สมเหตุสมผล 'none' เป็นจุดเริ่มต้นสำหรับสองสัปดาห์แรก ไม่ใช่ปลายทาง

สิ่งที่ 'rua' reporting นี้คืออะไร และฉันต้องการมันไหม?

tag rua ขอให้ผู้ให้บริการเมลส่งสรุปรายวันของทุกระบบที่พยายามส่งอีเมลในนามโดเมนของคุณ — รวมถึงอาชญากร มันเป็นวิธีที่ธุรกิจค้นพบ 5 ถึง 50 sender ที่ไม่ได้รับอนุญาตที่ใช้ประโยชน์จากโดเมนในวันแรก ตั้งมันพร้อมกับระเบียน monitoring ของคุณ

เราแทบไม่ส่งอีเมล หรือเราไม่ส่งอีเมลจากโดเมนนี้เลย เรายังต้องการ DMARC ไหม?

โดยเฉพาะอย่างยิ่งแล้ว โดเมนที่ส่งอีเมลน้อยหรือไม่ส่งเลยเป็นเป้าหมายที่สมบูรณ์แบบสำหรับอาชญากรในการแอบอ้าง เพราะไม่มีใคร watch โดเมนที่คุณไม่เคยส่งเมลควรเผยแพร่ reject policy เข้มงวด — มันเป็นชัยชนะที่สะอาดและมีความเสี่ยงต่ำที่ปิดประตูทั้งหมด