Wprowadzenie DMARC Nowy Standard Bezpieczeństwa Poczty E-mail

Roland Piątkowski
26 maja, 2015
Porady

Czym jest DMARC

Spis treści

DMARC to nowy standard bezpieczeństwa używany do zabezpieczenia poczty E-mail. Jest on rozszerzeniem zabezpieczeń SPF i DKIM, również działający na podstawie wpisu DNS, ale nie tylko na tym oparty. Podstawową zasadą DMARC jest informowanie administratorów domen o tym, że ktoś próbuje się podszyć pod ich domenę i wysyłać z nich fałszywe maile.

Wprowadzenie do nowego standardu zabezpieczeń DMARC:

Pierwszą rzeczą, jaką musimy wiedzieć o DMARC jest, że wymaga on wprowadzenia SPF i DKIM. Bez obu tych rozszerzeń DMARC może wprowadzić nam niezłe zamieszanie w poczcie, a nawet uniemożliwić jej wysyłanie do serwerów obsługujących go. Przykładowy wpis DMARC:

Od razu można zauważyć, że wpis DMARC podobnie jak SPF zawsze znajduje się w jednym miejscu (_dmarc.domena.pl rekord txt), nie wymaga on znajomości selektora jak to jest w przypadku DKIM. Reszta wygląda podobnie do SPF, ale są pewne wyjątki:

v – używana wersja DMARC (wymagany)
p – polityka co zrobić z wiadomościami (wymagany)
pct – procent wiadomości (np. 20), które mają być podane polityce (domyślnie 100, niewymagane)
rua – podany adres e-mail, na które mają być wysyłane raporty o ewentualnych nadużyciach (niewymagane)
sp – polityka dla sub domen, czyli np. zlodziej.roan24.pl (niewymagane)
aspf – polityka odnośnie DKIM i SPF – patrz niżej (niewymagane)

P oraz SP – podane znaczniki przyjmują trzy opcje

none – czyli nie podejmuj żadnej specjalnej akcji na podstawie DMARC tylko zbieraj informacje – dobre jak dopiero wprowadzamy DMARC, może nas ochronić przed fałszywymi pozytywami gdzie na przykład zapomnieliśmy dodać jakiś serwer SPF albo podpisujemy wiadomości DKIM, ale nie posiadamy wpisu DNS, bardzo dobra opcja, żeby przetestować swoje ustawienia.
quarantine – czyli jeśli wiadomość nie przejdzie testu DMARC to należy ją dostarczyć, ale oznaczyć jako spam.
reject – taka wiadomość, jeśli nie przejdzie testu DMARC ma zostać odrzucona.

Aspf – Ważny element, który niedługo w naszym wpisie będzie ustawiony na s – czyli strict gdzie wiadomość musi przejść test SPF oraz DKIM perfekcyjnie, w przypadku. Natomiast druga opcja to domyślne r – czyli relaxed, wiadomość może przejść test SPF albo DKIM tylko w części, na przykład prawidłowy podpis DKIM, ale nieprawidłowa domena.

Zbierając wszystkie informacje zalecam na początek użyć takiego wpisu jak podany jest dla naszej domeny tylko zmienić adres email na swój i testować. Jak testy wypadną pomyślnie powoli zmieniać.

Przykładowe raporty

Czyli raporty, jakie przykładowo dostaliśmy od hotmail.com:

Gdzie od razu widać, że hotmail miał chwilowy problem z połączeniem się z jednym z naszych serwrów DNS, ponieważ adres IP był jak najbardziej prawidłowy, a koło DKIM i SPF widzimy, że jest to tylko tymczasowy błąd. Ważną też informacją jest zakres czasu podany w formie unix time stamp. Co pomaga później ustalić czas wysłania wiadomości, jeśli odbyło się to z naszego serwera.

Natomiast 163.com wysłało nam:

Po czym jednoznacznie widać, że ktoś próbował się podszyć pod nasz adres domeny, jednak jak widać wiadomość oblała oba testy zarówno na DKIM, jak i SPF.

Podsumowanie

DMARC jest taką czereśnią na torcie z DKIM i SPF, gdyż pomaga jednoznacznie określić co zrobić, z jaką wiadomością i kogo poinformować o ewentualnej próbie podszycia się pod naszą domenę i warto go wprowadzić, aby chociaż dostawać raporty o nieprawidłowym działaniu poczty.

Po więcej informacji można sięgnąć na główną stronę projektu. Lub pytać w komentarzach.