Wprowadzenie DMARC

No Comments

Czym jest DMARC

DMARC jest rozszerzeniem zabezpieczeń SPF i DKIM, również działający na podstawie wpisu DNS ale nie tylko na tym oparty. Podstawową zasadą DMARC jest informowanie administratorów domen o tym że ktoś próbuje się podszyć pod ich domenę i wysyłać z nich fałszywe maile.

Pierwszą rzeczą jaką musimy wiedzieć o DMARC jest że wymaga on wprowadzenia SPF i DKIM. Bez obu tych rozszerzeń DMARC może wprowadzić nam niezłe zamieszanie w poczcie a nawet uniemożliwić jej wysyłanie do serwerów obsługujących go. Przykładowy wpis DMARC:

Od razu można zauważyć że wpis DMARC podobnie jak SPF zawsze znajduje się w jednym miejscu ( _dmarc.domena.pl rekord txt), nie wymaga on znajomości selektora jak to jest w przypadku DKIM. Reszta wygląda podobnie do SPF ale są pewne wyjątki:

  • v – używana wersja DMARC (wymagany)
  • p – polityka co zrobić z wiadomościami (wymagany)
  • pct – procent wiadomośc (np. 20) które mają być podane polityce (domyślnie 100, niewymagane)
  • rua – podany adres email na które mają być wysyłane raporty o ewentualnych nadużyciach (niewymagane)
  • sp – polityka dla sub domen czyli np. zlodziej.roan24.pl (niewymagane)
  • aspf – polityka odnośnie DKIM i SPF – patrz niżej (niewymagane)

P oraz SP – podane znaczniki przyjmują trzy opcje

  • none – czyli nie podejmuj żadnej specjalnej akcji na podstawie DMARC tylko zbieraj informacje – dobre jak dopiero wprowadzamy DMARC, może nas ochronić przed fałszywymi pozytywami gdzie na przykład zapomnieliśmy dodać jakiś serwer SPF albo podpisujemy wiadomości DKIM, ale nie posiadamy wpisu DNS, bardzo dobra opcja żeby przetestować swoje ustawienia.
  • quarantine – czyli jeśli wiadomość nie przejdzie testu DMARC to należy ją dostarczyć ale oznaczyć jako spam.
  • reject – taka wiadomość jeśli nie przejdzie testu DMARC ma zostać odrzucona.

Aspf – Ważny element który niedługo w naszym wpisie będzie ustawiony na s –  czyli strict gdzie wiadomość musi przejść test SPF oraz DKIM perfekcyjnie, w przypadku. Natomiast druga opcja to domyślne r – czyli relaxed, wiadomość może przejść test  SPF albo DKIM tylko w części, na przykład prawidłowy podpis DKIM ale nieprawidłowa domena.

Zbierając wszystkie informacje zalecam na początek użyć takiego wpisu jak podany jest dla naszej domeny tylko zmienić adres email na swój i testować. Jak testy wypadną pomyślnie powoli zmieniać.

Przykładowe raporty

Czyli raporty jakie przykładowo dostaliśmy od hotmail.com:

[codeblocks name='hotmail']

Gdzie od razu widać że hotmail miał chwilowy problem z połączeniem się z jednym z naszych serwrów DNS ponieważ adres IP był jak najbardziej prawidłowy, a koło DKIM i SPF widzimy że jest to tylko tymczasowy błąd. Ważną też informacją jest zakres czasu podany w formie unix time stamp. Co pomaga później ustalić czas wysłania wiadomości jeśli odbyło się to z naszego serwera.

Natomiast 163.com wysłało nam:

[codeblocks name='163']

Po czym jednoznacznie widać że ktoś próbował się podszyć pod nasz adres domeny, jednak jak widać wiadomość oblała oba testy zarówno na DKIM jak i SPF.

Podsumowanie

DMARC jest taką czereśnią na torcie z DKIM i SPF gdyż pomaga jednoznacznie określić co zrobić z jaką wiadomością i kogo poinformować o ewentualnej próbie podszycia się pod naszą domenę i warto go wprowadzić aby chociaż dostawać raporty  o nieprawidłowym działaniu poczty.

Po więcej informacji można sięgnąć na główną stronę projektu: http://dmarc.org. Lub pytać w komentarzach.

ROAN Agencja InterAktywna to przede wszystkim kreatywny zespół, który także uwielbia prowadzić ten Blog.

Zostaw komentarz

    Dopisz się do Newslettera!

    • To pole jest do zatwierdzania i powinno pozostać na niezmienionym poziomie.

    Sprawdź także

    Zobacz więcej
    No Comments