DMARC (Domain-based Message Authentication, Reporting, and Conformance) to otwarty standard uwierzytelniania wiadomości e-mail, który pomaga w procesie zapobiegania fałszowaniu e-maili, a dokładnie zapobiega podszywaniu się pod prawdziwe domeny. DMARC jest jednym z mechanizmów utrudniających spoofing (podszywanie się) stosowany przez oszustów.
Spamerzy i oszuści mogą fałszować pola From wiadomości e-mail. Sfałszowane wiadomości wyglądają tak jakby pochodziły od nadawcy ze znanej domeny (na przykład name@instytutcyber.pl).
DMARC sprawdza, czy pole From pasuje do domeny w kontrolach uwierzytelniania DKIM i SPF, pomagając dostawcom usług internetowych (ISP) i dostawcom poczty elektronicznej wykryć sfałszowane adresy. DMARC informuje również serwery poczty e-mail, jak postępować z wiadomościami, które nie przejdą tych kontroli i umożliwia odbiorcom otrzymywanie raportów o wiadomościach e-mail, które nie przejdą uwierzytelnienia.
DMARC jest rozszerzeniem zabezpieczeń przed spamem, który rozszerza funkcje SPF oraz DKIM.
Do czego służy DMARC?
Dostawcy poczty elektronicznej i dostawcy usług internetowych używają DMARC wraz z SPF i DKIM do identyfikacji sfałszowanych adresów. Pomaga to wykrywać i zapobiegać spamowi i wiadomościom phishingowym. Platformy pocztowe używają DMARC także do monitorowania i rozwiązywania problemów z wiadomościami e-mail. Dzięki DMARC można zażądać raportów na temat wiadomości, które nie przeszły SPF i DKIM, aby pomóc zidentyfikować, dlaczego wiadomości e-mail nie są dostarczane. Raporty DMARC pokazują również, kto wysyła wiadomości e-mail z Twojej domeny, aby ostrzec Cię przed potencjalnymi oszustami nadużywającymi Twojej domeny.
Raporty DMARC
Raporty zbiorcze DMARC są dostarczane na adres podany w tagu rua w określonym odstępie czasu. Domyślnie raporty generowane są codziennie (co 24 godziny). Tak konfiguracja zapewnia możliwość porównywania trendów DMARC dzień po dniu pod kątem problemów. Istotną zaletą zbierania raportów DMARC jest to, że otrzymujemy informacje ze skrzynek odbiorczych, do których użytkownicy naszej domeny wysłali pocztę, co bezpośrednio daje wgląd w to, jak działa nasza usługa pocztowa i cały system. Raporty te zapewniają również wgląd w złośliwych aktorów, którzy mogą podszywać się pod naszą domenę i próbować wyłudzać informacje od klientów. Raporty DMARC zapewniają doskonały wgląd w środowisko poczty dostarczając bardzo dużo, istotnych z punktu widzenia bezpieczeństwa, danych.
Rodzaje raportów DMARC
Istnieją 2 rodzaje raportów DMARC, raport zbiorczy i raport śledczy (forensics). Raporty te są wysyłane przez odbiorców wiadomości e-mail do nadawców wiadomości e-mail w celu przeanalizowania różnych aspektów ich wychodzących wiadomości e-mail.
Raporty zbiorcze (RUA) są otrzymywane co 24 godziny i zawierają szczegóły pochodzenia wiadomości e-mail, w tym źródłowy adres IP, z którego wiadomość została wygenerowana, wraz z wynikiem uwierzytelnienia SPF i DKIM. Te 2 mechanizmy są wykorzystywane przez nadawców wiadomości e-mail do autoryzacji ich źródeł. Informacje z raportów zbiorczych są wykorzystywane do identyfikacji wszystkich legalnych źródeł wiadomości e-mail i ich odpowiedniej autoryzacji.
Raporty Forensic (RUF) są otrzymywane za każdym razem, gdy wiadomość e-mail z Twojej domeny nie przejdzie obu mechanizmów uwierzytelniania, SPF i DKIM. Jest to wykorzystywane do dogłębnej analizy wiadomości e-mail podszywających się pod Twoją domenę, ponieważ raporty te zawierają szczegóły podrobionej wiadomości e-mail, np. z adresu e-mail na adres e-mail, temat, a w niektórych przypadkach nagłówek wiadomości e-mail. Zaleca się włączenie tych raportów po analizie raportów zbiorczych i autoryzacji wszystkich legalnych źródeł w celu zmniejszenia szumu i otrzymywania tylko raportów kryminalistycznych dotyczących sfałszowanych wiadomości e-mail.
Jaka jest zależność między DMARC a SPF i DKIM
DMARC działa w połączeniu z SPF i DKIM w celu zweryfikowania, czy nadawca wiadomości e-mail jest autentyczny. Te trzy mechanizmy współdziałają razem:
- DKIM (DomainKeys Identified Mail) weryfikuje przy pomocy kryptografii, czy adres nadawcy i treść wiadomości nie zostały zmienione podczas przesyłania.
- SPF (Sender Policy Framework) weryfikuje, czy wiadomość e-mail została wysłana z adresu IP autoryzowanego do wysyłania wiadomości e-mail z domeny nadawcy.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) zapewnia, że domena której używały mechanizmy DKIM i SPF jest zgodna z domeną nadawcy w polu From. Określa również, w jaki sposób serwery poczty e-mail powinny obsługiwać wiadomość, która nie spełnia wymagań zarówno DKIM, jak i SPF (dostępne opcje to: zaakceptuj, odrzuć lub oznacz jako spam).
Jak skonfigurować DMARC
Aby skonfigurować DMARC musisz odwiedzić panel dostawcy usług DNS swojej domeny. Będzie to najczęściej firma w której kupiłeś domenę, lub firma hostingowa obsługująca serwery DNS gdzie domena została zaparkowana.
W panelu administratora znajdziesz opcję pozwalającą na dodatnie rekordu TXT swojej domeny. Oto linki do samouczków popularnych dostawców:
