eWAY s.r.o.

DMARC - čo to je a na čo slúži?

DMARC je otvorený e-mailový autentifikačný protokol, ktorý poskytuje ochranu e-mailového kanála na úrovni domény. Autentifikácia DMARC zisťuje a zabraňuje technikám spoofingu e-mailov používaných pri phishingu, ohrození obchodných e-mailov (BEC) a iných útokoch založených na e-mailoch. Stavajúc na existujúcich štandardoch – SPF a DKIM – DMARC je prvá a jediná široko nasadená technológia, vďaka ktorej je dôveryhodná  hlavička domény e-mailu. Vlastník domény môže zverejniť záznam DMARC v systéme DNS (Domain Name System) a vytvoriť politiku, ktorá určí, čo sa má robiť s e-mailami, ktoré zlyhali pri autentifikácii.

SPF a DKIM

Sender Policy Framework (SPF) je e-mailový overovací protokol, ktorý umožňuje organizácii určiť, kto môže odosielať e-maily z ich domén. Organizácie môžu autorizovať odosielateľov v rámci záznamu SPF zverejneného v systéme názvov domén (DNS). Tento záznam obsahuje schválené adresy IP odosielateľov e-mailov vrátane adries IP poskytovateľov služieb, ktorí sú oprávnení odosielať e-maily v mene organizácie. Publikovanie a kontrola SPF záznamov je spoľahlivým spôsobom, ako zastaviť phishing a iné e-mailové hrozby, ktoré falšujú odosielateľov e-mailu.

Domain Keys Identified Mail (DKIM) je e-mailový overovací protokol, ktorý umožňuje príjemcovi skontrolovať, či bol e-mail z konkrétnej domény skutočne autorizovaný vlastníkom tejto domény. Umožňuje organizácii prevziať zodpovednosť za prenos správy tým, že k nej pripojí digitálny podpis. Overenie sa vykonáva prostredníctvom kryptografickej autentifikácie pomocou verejného kľúča podpisovateľa zverejneného v DNS. Podpis zaisťuje, že časti e-mailu neboli zmenené od času pripojenia digitálneho podpisu.

Ako funguje DMARC?

Aby správa prešla overením DMARC, musí prejsť overením SPF a zarovnaním SPF a/alebo prejsť overením DKIM a zarovnaním DKIM. Ak správa zlyhá v DMARC, odosielatelia môžu prostredníctvom politiky DMARC inštruovať príjemcov, čo majú s touto správou robiť. Existujú tri zásady DMARC, ktoré môže vlastník domény presadiť: „none“ (správa je doručená príjemcovi a report DMARC je odoslaný vlastníkovi domény), karanténa (správa je presunutá do priečinka karantény) a odmietnutie (správa nie je doručené vôbec).

Politika DMARC „none“ je dobrým prvým krokom. Týmto spôsobom môže vlastník domény zabezpečiť, aby sa všetky legitímne e-maily správne overili. Vlastník domény dostáva DMARC reporty, ktoré mu pomáhajú uistiť sa, že všetky legitímne e-maily sú identifikované a prechádzajú overením. Keď je vlastník domény presvedčený, že identifikoval všetkých legitímnych odosielateľov a vyriešil problémy s autentifikáciou, môže prejsť na politiku „odmietania“ a blokovania phishingu, BEC útokov a iných podvodných e-mailov.
Ako príjemca e-mailov môže organizácia zabezpečiť, aby jej secure mail gateaway (zabezpečená e-mailová brána) presadzovala politiku DMARC implementovanú pre vlastníka domény. To ochráni zamestnancov pred hrozbami prichádzajúcej pošty.

dmarc systém , SPF, DKIM

Autentifikácia SPF začína identifikáciou všetkých legitímnych IP adries, ktoré by mali odosielať e-maily z danej domény, a potom tento zoznam zverejní v DNS. Pred doručením správy poskytovatelia e-mailu overia záznam SPF tak, že vyhľadajú doménu zahrnutú v adrese „od“ v skrytej technickej hlavičke e-mailu. Ak IP adresa odosielajúca e-mail v mene tejto domény nie je uvedená v zázname SPF domény, správa zlyhá pri overení SPF.

Pri autentifikácii DKIM odosielateľ najprv identifikuje, ktoré polia chce zahrnúť do svojho podpisu DKIM. Tieto polia môžu zahŕňať adresu odosielateľa, telo e-mailu, predmet a ďalšie. Tieto polia musia pri prenose zostať nezmenené, inak správa zlyhá pri overení DKIM. Po druhé, e-mailová platforma odosielateľa vytvorí hash textových polí zahrnutých v podpise DKIM. Po vygenerovaní hash reťazca je zašifrovaný súkromným kľúčom, ku ktorému má prístup iba odosielateľ. Po odoslaní e-mailu je na e-mailovej bráne alebo poskytovateľovi spotrebiteľskej poštovej schránky, aby overil podpis DKIM. To sa dosiahne vyhľadaním verejného kľúča, ktorý sa presne zhoduje so súkromným kľúčom. Potom sa podpis DKIM dešifruje späť na pôvodný hash reťazec.

Najlepšie postupy s DMARC

  • Vzhľadom na množstvo reportov DMARC, ktoré môže odosielateľ e-mailu prijímať, a nedostatočnú zrozumiteľnosť správ DMARC môže byť úplná implementácia overenia DMARC náročná.
  • Nástroje na analýzu DMARC môžu organizáciám pomôcť pochopiť informácie obsiahnuté v správach DMARC.
  • Dodatočné údaje a poznatky nad rámec toho, čo je zahrnuté v prehľadoch DMARC, pomáhajú organizáciám rýchlejšie a presnejšie identifikovať odosielateľov e-mailov. Pomáha to urýchliť proces implementácie autentifikácie DMARC a znižuje riziko zablokovania legitímnych e-mailov.
  • Konzultanti profesionálnych služieb s odbornými znalosťami DMARC môžu organizáciám pomôcť s implementáciou DMARC. Konzultanti môžu pomôcť identifikovať všetkých legitímnych odosielateľov, opraviť problémy s autentifikáciou a môžu dokonca spolupracovať s poskytovateľmi e-mailových služieb, aby sa uistili, že sa overujú správne.
  • Organizácie môžu vytvoriť záznam DMARC v priebehu niekoľkých minút a začať pracovať prostredníctvom správ DMARC presadzovaním zásady DMARC „none“.
  • Správnou identifikáciou všetkých legitímnych odosielateľov e-mailov – vrátane poskytovateľov e-mailových služieb tretích strán – a odstránením akýchkoľvek problémov s autentifikáciou by organizácie mali dosiahnuť vysokú úroveň spoľahlivosti pred presadzovaním zásady „odmietania“ DMARC.

Ako vytvoriť záznam DMARC

    • Záznamy DMARC sú umiestnené na vašich serveroch DNS ako záznamy TXT. Každý poskytovateľ hostingu poskytuje zákazníkom prístup DNS, takže tento záznam TXT môžete pridať u vlastníka, u ktorého bola doména zaregistrovaná, alebo na paneli poskytnutom hostiteľom webovej lokality. Kroky na vytvorenie záznamu DMARC sa líšia v závislosti od hostiteľa, ale vytvorenie záznamu je pre každú doménu rovnaké. Po overení u svojho hostiteľa vytvorte záznam DNS pomocou nasledujúcich krokov:
    • Vytvorte záznam TXT. Po spustení procesu vytvárania musíte zadať názov a hodnotu záznamu.
    • Pomenujte svoj záznam DMARC. V niektorých konfiguráciách hostiteľa sa názov domény automaticky pripojí k názvu. Ak sa nepridá automaticky, pomenujte záznam _dmarc.yourdomain.com.
    • Zadajte hodnotu pre váš záznam. Nasleduje príklad hodnoty pre DMARC:

            v=DMARCI; p=none; rua=mailto:vaša adresa@vašadoména.com

    • Tieto tri hodnoty v položke sú dôležité, keď používatelia posielajú e-maily do vašej domény. Prvá hodnota „v“ je potrebná a určuje verziu. Táto hodnota bude rovnaká pre všetky záznamy. Druhá hodnota „p“ určuje, čo sa stane, keď e-mail prejde alebo zlyhá. V tomto príklade je hodnota nastavená na „none“, čo znamená, že sa nič nestane. Táto hodnota sa na začiatku odporúča, aby sa pred umiestnením správ do karantény zabezpečilo správne fungovanie DMARC.
    • Po overení, že DMARC funguje správne, možno hodnotu „p“ zmeniť na karanténu alebo odmietnuť. Odporúča sa umiestniť správy do karantény, aby ste mohli zachytiť falošné poplachy. Správa bude odložená, kým si ju neprečítate. Možnosť „odmietnuť“ priamo zahodí správy, ktoré nespĺňajú pravidlá DMARC. Pokiaľ si nie ste istí, že správy prejdú, použite možnosť odmietnutia iba vtedy, keď ste si istí, že vaše nastavenia DMARC nezahadzujú žiadne dôležité správy.