Zásady DMARC nejsou povoleny? Jak to udělat v 5 snadných krocích

Pokud vaše doména stále nemá povolenou zásadu DMARC, necháváte svůj e-mailový systém nechráněný proti jedné z nejčastějších forem kybernetického zneužití: podvržení.

Zásada DMARC říká přijímajícím poštovním serverům, co mají dělat, když zprávy neprojdou kontrolou ověření. Bez ní mohou vaši doménu využívat spammeři a phisheři a vy o tom ani nebudete vědět.

Nastavení DMARC je jednodušší, než se zdá, ale musíte mít přístup k DNS (systému názvů domén) vaší organizace. Pokud ho nemáte, požádejte o pomoc své vývojáře.

Jakmile budou záznamy SPF a DKIM fungovat, můžete v několika krocích publikovat a začít používat DMARC.

Co je to zásada DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) je standard pro ověřování e-mailů, který vychází ze standardů SPF a DKIM.

Při odesílání e-mailu poskytovatelé poštovních schránek kontrolují:

• zda je odesílající server autorizován vaším záznamem SPF.
• Zda má e-mail platný podpis DKIM.
• Zda domény použité v SPF a DKIM odpovídají vaší viditelné adrese From.

Vaše zásady DMARC říkají přijímajícímu serveru, co má dělat, pokud tyto kontroly selžou.

Můžete si vybrat, zda:

• Sledovat: Neprovádět žádné akce, pouze shromažďovat hlášení.
• Do karantény: Podezřelé zprávy odeslat do spamu.
• Odmítnout: Zcela zablokovat neautorizované zprávy.

Proč musí odesílatelé hromadných e-mailů povolit DMARC?

Povolení DMARC chrání vaši značku, zlepšuje doručitelnost a pomáhá vám pochopit, jak je vaše doména používána.

Zde se dozvíte, co se stane, když nemáte zavedené zásady:

• Útočníci se mohou vydávat za vaši doménu ve phishingových e-mailech.
• Poskytovatelé poštovních schránek nevěří vašim zprávám, což snižuje doručitelnost e-mailů.
• Nemáte přehled o tom, kdo vaším jménem odesílá poštu.

Když povolíte DMARC, získáte kontrolu. Každý den budete dostávat zprávy, které ukazují, které servery odesílají zprávy z vaší domény a zda prošly ověřením.

Kompletní přehled a plán implementace DMARC, od nastavení až po průběžné monitorování a další, najdete v našem průvodci monitorováním a dodržováním DMARC.

Zde jsou uvedeny jednoduché kroky k povolení DMARC.

Poznámka: K tomu budete potřebovat přístup k systému DNS. Pokud jej nemáte, obraťte se na vývojáře ve vaší organizaci, kteří jej mají.

Krok 1: Zkontrolujte SPF a DKIM

Před povolením DMARC se ujistěte, že jsou správně nakonfigurovány protokoly SPF a DKIM.

SPF

Zveřejněte záznam SPF v DNS vaší domény, který zahrnuje všechny služby, které mají povoleno odesílat e-maily pro vaši doménu. Příklad:

DKIM

Většina poskytovatelů e-mailových služeb umožňuje vygenerovat klíč DKIM. Musíte jej přidat do DNS jako záznam TXT pod názvem selektoru. Příklad:

Krok 2: Vytvoření záznamu DMARC

Záznam DMARC je jednoduchý záznam TXT v systému DNS. Začněte s nastavením pouze pro monitorování (tj. se zásadou "žádná"), abyste mohli shromáždit data před přijetím opatření.

Příklad:

• v=DMARC1: Značka verze.
• p=none: Typ politiky. "Žádný" znamená pouze monitor.
• rua: Kam se zasílají souhrnná hlášení.
• aspf/adkim: Režimy zarovnání. "r" je uvolněné, "s" je přísné.

Po přidání této položky do DNS začne vaše doména odesílat hlášení DMARC.

Krok 3: Prohlédněte si zprávy

Poskytovatelé poštovních schránek odesílají soubory XML zvané souhrnné zprávy na adresu, kterou jste zadali v záznamu.

Tyto zprávy obsahují např:

• IP adresy a domény, které odesílají vaším jménem.
• Výsledky úspěšného/neúspěšného ověření.
• Počty zpráv podle zdrojů.

Data můžete číst pomocí prohlížeče sestav DMARC nebo automatizovaného nástroje. Cílem je identifikovat legitimní odesílatele, u kterých došlo k selhání SPF nebo DKIM, abyste je mohli opravit před přechodem k vynucování.

Krok 4: Přechod k vynucení

Po dvou až třech týdnech monitorování byste měli mít jasný přehled o zdrojích e-mailů.

Jakmile opravíte všechny legitimní odesílatele, kteří selhali při ověřování, je čas přejítz p=none na p=quarantine:

Tím se nezařazené nebo neověřené zprávy odešlou do spamu, místo aby byly rovnou odmítnuty. pokud vaše zprávy zůstanou několik týdnů čisté, udělejte poslední krok k plné ochraně:

Krok 5: Údržba a monitorování

DMARC není něco, co jednou nastavíte a zapomenete. Pravidelně kontrolujte hlášení, abyste zachytili nové odesílatele nebo změny v konfiguraci.

Je také dobré:

• Každých 6-12 měsíců obměňujte klíče DKIM.
• Čtvrtletně revidovat záznamy SPF.
• Přidávat nové platformy do SPF a DKIM dříve, než začnou odesílat.

Jak vaše firma roste a přidává nástroje, které odesílají e-maily, aktualizace DMARC vám zajistí ochranu a udržení dobré pověsti odesílatele.

Běžné chyby při nastavení DMARC

I drobné chyby v konfiguraci mohou způsobit problémy s doručitelností. Dejte si na ně pozor:

1. Použití nesprávné syntaxe v DNS. Ujistěte se, že tam nejsou žádné mezery navíc nebo chybějící středníky.
2. Neplatná e-mailová adresa v RUA. Pokud vaše adresa pro zasílání zpráv není platná, nebudete zprávy dostávat.
3. Vynechání zarovnání SPF nebo DKIM. Aby DMARC fungoval, musí se obě tyto adresy zarovnat s doménou "Od".
4. Příliš brzké nastavení p=reject. Vždy nejprve ověřte, zda se ověřují legitimní poštovní toky.

Jak DMARCeye pomáhá s monitorováním hlášení DMARC

Když povolíte DMARC, poskytovatelé poštovních schránek začnou denně odesílat zprávy XML. Jejich ruční čtení může být obtížné.

DMARCeye tyto reporty shromažďuje a organizuje do přehledného panelu. Na první pohled vidíte všechny zdroje odesílání, výsledky ověřování a trendy vyrovnání. Zjednodušuje to:

• sledování výkonu DMARC.
• Identifikaci pokusů o podvržení.
• Sledování zlepšení při přechodu od monitorování k vynucování.

DMARCeye vám umožní soustředit se na zlepšování důvěryhodnosti a doručitelnosti vaší domény namísto správy hrubých dat.

Získejte bezplatnou zkušební verzi DMARCeye ještě dnes a začněte chránit svou e-mailovou doménu.